- Un exit node en Tailscale actúa como punto de salida seguro a Internet para todo el tráfico de los dispositivos que lo usan, integrándose con la lógica de identidad y ACLs del tailnet.
- Su uso es opcional y especialmente útil en redes no confiables, requisitos de cumplimiento normativo, trabajo remoto y necesidades de salida por regiones específicas.
- Funciones avanzadas como Mullvad exit nodes, auto exit nodes, logging opcional y gestión vía MDM permiten escalar esta solución en entornos corporativos distribuidos.
- La correcta configuración de DNS, claves, permisos y alta disponibilidad es clave para evitar fugas, cortes de servicio y problemas de privacidad o rendimiento.
Los Exit Nodes en Tailscale son dispositivos que actúan como puerta de salida a Internet para otros dispositivos. Cuando lo utilizas, todo tu tráfico web sale a Internet a través de ese equipo, como si estuvieras físicamente conectado a su red. Por ejemplo, puedes configurar un ordenador en tu oficina como Exit Node y navegar desde tu portátil o móvil usando la conexión de la oficina aunque estés en otro país.
Pero en lugar de quedarnos en la explicación típica, en este artículo vamos a analizar todo esto al detalle: qué ventajas aportan los Exit Nodes, cómo se configuran y en qué casos merecen la pena. También repasaremos variantes más avanzadas y algunas consideraciones de logging, DNS y alta disponibilidad que suelen pasar desapercibidas.
Qué es un exit node en Tailscale y en qué se diferencia de una VPN clásica
Por defecto, Tailscale funciona como una red superpuesta (overlay): solo transporta tráfico entre los dispositivos que corren Tailscale dentro de tu tailnet, pero no toca tu tráfico normal a Internet. Es decir, cuando visitas Google, Twitter o tu banco, ese tráfico sale por la conexión habitual de tu dispositivo, como si Tailscale no existiera.
Este diseño es ideal para la mayoría de personas y empresas que solo necesitan comunicar de forma segura servidores, ordenadores y dispositivos sensibles entre sí, sin añadir latencia ni sobrecarga de cifrado a todo el tráfico que va a Internet. Es la forma más simple de montar una red privada basada en WireGuard, manteniendo la navegación normal intacta.
Sin embargo, hay situaciones en las que sí te interesa que todo tu tráfico a Internet pase a través de Tailscale. Por ejemplo, cuando estás en una Wi‑Fi de una cafetería poco fiable, trabajas desde un aeropuerto u hotel, o viajas a otro país y necesitas salir a Internet como si estuvieras en tu país de origen para acceder a servicios restringidos geográficamente (banca online, ciertos contenidos web, etc.).
Para esos casos existe la función de exit node: puedes designar un dispositivo de tu tailnet para que haga de punto de salida hacia Internet (egress). El resto de dispositivos se conectan a ese equipo mediante Tailscale y envían por ahí todo su tráfico público, usando rutas por defecto típicas como 0.0.0.0/0 e ::/0, tal y como lo harías con una VPN tradicional.
En términos prácticos, un exit node convierte un dispositivo Tailscale en un “VPN server” para el resto de tu red, pero manteniendo todas las ventajas del modelo de tailnet (gestión centralizada, identidad clara de usuarios, ACLs, integración con otros servicios de Tailscale, etc.).
Qué te aporta usar un exit node en Tailscale
El objetivo principal de un exit node es proteger y centralizar todo el tráfico de Internet de los dispositivos que lo usan, pero en la práctica abre bastantes más posibilidades interesantes tanto para uso personal como para empresas.
En entornos con trabajadores remotos o híbridos, un exit node bien situado permite que toda la navegación web de los empleados pase por un punto de salida controlado. Así puedes aplicar políticas corporativas, filtrar amenazas, registrar flujos de red (en planes avanzados) o cumplir con normativas que exigen uso de VPN para ciertos colectivos.
Además, desplegando exit nodes en varias regiones o nubes puedes escalar globalmente tu infraestructura de salida a Internet. Esto te permite acercar el punto de salida a los usuarios finales, minimizar latencias y probar aplicaciones desde ubicaciones diferentes sin tener que montar VPNs clásicas separadas en cada lugar.
En lo relativo a análisis de seguridad, Tailscale ofrece en planes Enterprise la posibilidad de activar destination logging para el tráfico que fluye a través de exit nodes. Este registro de destinos, almacenado en los Network flow logs, resulta muy útil para investigaciones forenses o para tener visibilidad de patrones de uso sin inspeccionar el contenido del tráfico, que permanece cifrado.
También, en empresas con requisitos estrictos de cumplimiento, los exit nodes hacen posible demostrar que todos los accesos a Internet de la plantilla pasan por un canal seguro, incluso cuando se conectan desde redes ajenas, clientes, coworkings o redes públicas altamente sospechosas.
Cuándo tiene sentido usar un exit node (y cuándo no)
Aunque tener la opción de un exit node es muy potente, no siempre es necesario activarlo. Si, por ejemplo, solo utilizas Tailscale para entrar en tu NAS, tu Mac de casa o un servidor remoto, y no tienes preocupaciones especiales sobre la red desde la que navegas, seguramente puedas seguir sin exit node sin problema.
Imagina el caso típico de alguien que accede a su Mac, una Synology y un portátil Windows en su piso desde fuera. Si todo lo que necesita es RDP, SSH, compartir ficheros o acceder a servicios internos, Tailscale ya cifra ese tráfico entre dispositivos sin tocar su navegación normal. Para esa persona, activar un exit node no aporta gran cosa en el día a día.
En cambio, si sueles trabajar fuera de casa o viajas con frecuencia, un exit node te permite asegurar todo el tráfico de tu portátil o móvil cuando estás en redes que no controlas. Incluso aunque no te conectes constantemente a tus dispositivos remotos, simplemente saber que todo tu tráfico a Internet sale por un punto de confianza puede marcar la diferencia en términos de seguridad.
Otro escenario habitual es el de quienes necesitan acceder a servicios que solo funcionan desde un país concreto. Configurando un exit node en una máquina de tu país de origen (o usando Mullvad a través de Tailscale en un servidor de esa región), tu tráfico saldrá como si estuvieras físicamente allí, sin tener que cambiar la configuración de cada aplicación por separado.
En resumen: no estás obligado a usar exit nodes. Es una función opcional que tiene mucho sentido en redes poco fiables, para cumplir normativas, o para aprovechar salidas a Internet en regiones específicas, pero si tu uso de Tailscale es puramente “intra‑tailnet” no pasa nada por ignorarla.
Requisitos previos y permisos necesarios para activar un exit node
Antes de poder convertir cualquier dispositivo en exit node, Tailscale exige cumplir una serie de requisitos técnicos y de seguridad que evitan que la función se active de forma accidental o sin control.
En primer lugar, necesitas tener un tailnet ya configurado y operativo. Todos los dispositivos implicados, tanto el que actuará como exit node como los que lo usarán, deben estar dentro de ese mismo tailnet y autenticados con la identidad correspondiente (correo, GitHub, proveedor SSO, etc.).
Además, tanto el exit node como los clientes que lo vayan a utilizar deben ejecutar Tailscale en la versión 1.20 o superior. La funcionalidad de exit nodes no está disponible en builds antiguos, y conviene mantener siempre los clientes actualizados para beneficiarse de mejoras de estabilidad y seguridad.
Respecto al sistema operativo, la máquina que actuará como exit node puede ser Linux, macOS, Windows, Android, iOS o incluso tvOS. Eso sí, en cada plataforma la implementación concreta de routing y los pasos de configuración varían ligeramente, especialmente en Linux frente a Android.
Por último, hay un aspecto clave de permisos: un exit node debe ser anunciado, aprobado y elegido de forma explícita. Es decir, un dispositivo debe anunciarse como posible exit node, un administrador (Owner, Admin o Network admin) tiene que autorizarlo en el panel de administración, y cada cliente debe optar por usarlo manualmente. No hay activaciones masivas por sorpresa.
Cómo configurar un dispositivo como exit node paso a paso
La secuencia básica para montar un exit node en Tailscale se resume en cuatro pasos claros, aunque cada paso pueda tener matices según el sistema operativo y tu entorno concreto.
Lo primero es instalar el cliente de Tailscale en el dispositivo que quieres que actúe como exit node, si aún no lo tienes instalado. Esto se hace igual que en cualquier otro equipo del tailnet: descargas el cliente, inicias sesión con tu identidad y esperas a que aparezca como máquina registrada en el panel.
Después tienes que anunciar ese dispositivo como exit node. En la mayoría de casos esto se hace desde la línea de comandos, añadiendo la opción correspondiente al ejecutar tailscale up. Un ejemplo típico en Linux podría ser usar parámetros como –advertise-exit-node y, si va a recibir rutas de otros, también –accept-routes. En algunos entornos se combina además con –ssh para habilitar acceso SSH gestionado por Tailscale.
Una vez anunciado, toca aprobarlo en la consola de administración. Desde la página de Machines, localizas la máquina en la lista y verás que aparece un distintivo de Exit Node. Desde el menú de esa máquina, abres la ventana de edición de rutas (Edit route settings) y marcas la casilla de “Use as exit node” para habilitarla como tal.
Finalmente, cada dispositivo que quiera usarlo debe activar ese exit node de forma individual. Dependiendo del sistema operativo, esto se hace desde el cliente gráfico (seleccionando el exit node en un desplegable) o desde la CLI. El cambio es inmediato: a partir de ese momento, el tráfico a Internet se enruta a través del exit node hasta que lo desactives, por ejemplo eligiendo “None” como opción de salida.
Acceso a la red local al usar un exit node
Por motivos de seguridad, cuando un dispositivo envía todo su tráfico a través de un exit node, por defecto pierde acceso a su red local. Esto reduce la superficie de ataque desde la LAN local (por ejemplo, una Wi‑Fi pública) mientras el tráfico se inspecciona o protege desde el exit node confiable.
Aun así, hay casos en los que te interesa seguir pudiendo hablar con dispositivos cercanos como una impresora, un NAS local o una smart TV incluso cuando estás usando un exit node. Para estos escenarios, Tailscale incluye la opción de “Allow Local Network Access” al activar el exit node.
Esta opción la puedes habilitar directamente desde el apartado de Exit Nodes del cliente Tailscale, o bien desde la línea de comandos pasando el parámetro –exit-node-allow-lan-access en el comando tailscale up o tailscale set. De esta forma, mantendrás tanto el túnel de salida a Internet seguro como la posibilidad de comunicarte con tu LAN.
El equilibrio ideal depende de tu contexto: si estás en una red muy sospechosa, quizá prefieras cortar el acceso a la LAN por completo; si estás en tu casa pero quieres salir a Internet por otra sede o país, puede ser más cómodo permitir ese acceso mixto.
Comprobación, logging y privacidad del tráfico de salida
Una vez configurado el exit node en tus dispositivos, es muy recomendable verificar que el tráfico realmente está saliendo por el nodo que has elegido. La forma más simple consiste en comprobar tu dirección IP pública con cualquier servicio online; si todo está bien, verás la IP del exit node en lugar de la de tu conexión local.
Por defecto, Tailscale desactiva el destination logging del tráfico que pasa por los exit nodes. Esta decisión se toma por motivos de privacidad, seguridad y para minimizar posibles abusos, ya que registrar todos los destinos a los que navegan los usuarios puede ser muy sensible.
En tailnets con plan Enterprise es posible activar este logging a nivel de red, de modo que los destinos del tráfico de salida queden reflejados en los Network flow logs. Esto proporciona más visibilidad y ayuda a la hora de investigar incidentes, comportamientos anómalos o posibles compromisos de seguridad.
La activación o desactivación se realiza desde el panel de Logs de la consola de administración, dentro de Network flow logs y el menú de Logging Actions, donde se pueden habilitar o deshabilitar específicamente los registros de destino para exit nodes con unos pocos clics.
Comportamiento en Android y diferencias de implementación
En Android, la implementación técnica de los exit nodes es diferente a la de Linux estándar: el exit node funciona en espacio de usuario (userspace), en lugar de utilizar el modelo habitual basado en kernel y routing del sistema.
Esto quiere decir que, aunque la funcionalidad es la misma a nivel de usuario, el rendimiento y la madurez de la solución pueden variar respecto a un exit node corriendo en Linux con integración de kernel. Tailscale documenta estas diferencias bajo el paraguas de “Kernel vs. netstack subnet routing y exit nodes”.
En la práctica, si observas un comportamiento algo distinto o una ligera penalización en Android, es normal: la pila de red en userspace introduce algunos matices, y Tailscale sigue optimizando esta vía con el tiempo. Para usos normales de navegación y protección en movilidad suele ser suficiente.
Gestión de claves caducadas y alta disponibilidad de exit nodes
Los exit nodes, igual que los subnet routers o app connectors de Tailscale, dependen de claves de dispositivo que caducan con el tiempo. Cuando la key de uno de estos conectores expira, las rutas que anunciaba siguen apareciendo en los demás dispositivos, pero dejan de ser alcanzables.
Este comportamiento se denomina política de “fail close”: Tailscale mantiene las rutas configuradas para evitar fugas de tráfico hacia redes no confiables si, por ejemplo, se eliminan automáticamente rutas que antes pasaban cifradas por un conector.
Para que este mecanismo no provoque interrupciones prolongadas en tu infraestructura, puedes desactivar la caducidad de la clave en el exit node correspondiente o configurar un esquema de alta disponibilidad, con varios nodos preparados para asumir el rol de salida si uno falla o pierde su validez.
Si prefieres que las rutas se retiren explícitamente cuando una clave expira, puedes gestionar este comportamiento desde la consola de administración o mediante la API, deshabilitando o habilitando rutas anunciadas en función de las condiciones que tú definas (monitorización, automatizaciones, etc.).
Mullvad como exit node dentro de tu tailnet
Además de usar tus propios dispositivos como exit nodes, Tailscale ofrece la opción de usar la infraestructura de Mullvad VPN como salida a Internet mediante el complemento (add‑on) Mullvad VPN. En este esquema, los servidores de Mullvad actúan como exit nodes de tu tailnet.
Estos Mullvad exit nodes funcionan de forma muy parecida a los exit nodes normales, con compatibilidad con funciones como los exit nodes sugeridos o los exit nodes obligatorios, pero tienen también limitaciones y requisitos específicos que conviene revisar antes de activarlos.
Para empezar, debes comprar el add‑on de Mullvad VPN desde la consola de Tailscale; sin este complemento no tendrás acceso a los servidores de Mullvad como posibles exit nodes. Una vez activo, puedes gestionarlo desde la sección de configuración general del tailnet.
Hay algunas restricciones importantes: los Mullvad exit nodes no funcionan con servidores DERP personalizados, las políticas de control de acceso que los afectan no se integran con grupos sincronizados desde Google, y si usas Tailnet Lock tendrás que firmar cada Mullvad exit node para que forme parte del mapa de red confiable.
Licencias, gestión de dispositivos y control de acceso a Mullvad
El add‑on de Mullvad incluye un paquete base de licencias que cubre varios dispositivos, y es posible ampliar ese número tanto en el proceso de compra inicial como más adelante desde la sección de Billing de la consola, usando la opción de gestionar add‑ons.
Cada licencia de Mullvad permite que hasta cinco dispositivos del tailnet tengan acceso a los servidores de Mullvad como exit nodes. A medida que añades o eliminas dispositivos con acceso, tu facturación mensual se ajusta automáticamente según el uso real del complemento.
En cuanto a la gestión del acceso, tienes dos vías: la interfaz de la consola de administración, o la configuración avanzada mediante el tailnet policy file. Si optas por gestionar Mullvad a través del fichero de políticas, ten en cuenta que no podrás mezclar ambos métodos; toda la lógica de quién puede usar Mullvad deberá vivir en ese archivo.
Desde la consola, otorgar acceso es tan simple como ir a la sección Mullvad VPN en la configuración general, pulsar en Configure, añadir los dispositivos que deseas que puedan usar Mullvad y guardar. Para revocarlo, basta con eliminar el dispositivo de esa lista. Si usas el policy file, la gestión se hace a través de nodeAttrs y atributos mullvad asociados a nodos o grupos de nodos.
Consideraciones de DNS y privacidad al usar Mullvad con Tailscale
El uso de Mullvad exit nodes trae consigo aspectos de DNS especialmente delicados, sobre todo con versiones concretas del cliente Tailscale (como la 1.48.1 y 1.48.2), donde los exit nodes de Mullvad utilizan la configuración DNS local del dispositivo.
Si tu dispositivo conserva el DNS local mientras enruta el tráfico a través de Mullvad, existe el riesgo de perder acceso a DNS o que se produzcan fugas de DNS fuera del túnel, lo que, además de romper solicitudes, puede afectar a tu privacidad. Para evitarlo, Tailscale propone dos configuraciones alternativas.
Por un lado, puedes sobrescribir el DNS local y hacer que todos los clientes de Tailscale utilicen un servidor DNS concreto mientras están conectados, incluso sin estar usando un exit node. Si eliges los servidores DNS públicos de Mullvad, toda la resolución irá por Mullvad, obteniendo un resultado limpio en tests de fugas DNS. También puedes optar por configurar AdGuard Home para el DNS como alternativa local y centralizada.
Por otro, tienes la opción de permitir que el exit node acceda a la red local, lo que mantiene operativo el DNS de la LAN (nombres locales, impresoras, NAS, etc.), aunque con la desventaja de que podrían producirse fugas de DNS si parte de las peticiones no se canalizan por Mullvad.
En el plano de la privacidad, es importante entender que Tailscale genera y gestiona las cuentas de Mullvad en nombre de los usuarios. Tailscale es consciente de la identidad de sus usuarios (no admite tailnets anónimos) y sabe qué cuentas de Mullvad corresponden a qué usuarios, así como qué servidores de Mullvad utilizan a nivel de metadatos.
Aun así, el tráfico real que se envía a los servidores de Mullvad viaja cifrado mediante túneles WireGuard y Tailscale no puede leer su contenido, solo conoce información de conexión, no de payload. Mullvad, por su parte, no recibe datos de identidad del usuario por parte de Tailscale, manteniendo su filosofía de minimización de datos personales.
Auto exit nodes y selección automática del mejor nodo de salida
Otra función interesante es la de auto exit nodes, pensada para conectar automáticamente a los usuarios al exit node más cercano y con mejor rendimiento para su acceso a Internet. Esto resulta especialmente útil en organizaciones con empleados dispersos geográficamente.
Con trabajadores en oficinas, coworkings, cafeterías, aeropuertos y hoteles, no tiene sentido obligar a todos a salir por un único punto lejano. Los auto exit nodes permiten que cada cliente use un exit node recomendado por Tailscale según la latencia medida, manteniendo la conexión hasta que el usuario decida cambiarla o vuelva a solicitar una recomendación.
En clientes para macOS, Windows, iOS y próximamente Android, los usuarios pueden elegir una opción de exit node recomendado desde la interfaz. En Linux o mediante CLI, se puede usar un comando del estilo tailscale exit-node suggest para aceptar el nodo sugerido en cada momento.
Además, si tienes contratado el add‑on de Mullvad, los auto exit nodes también pueden sugerir servidores de Mullvad como nodos de salida, combinando geolocalización IP y la localización de los servidores disponibles, junto con pistas de balanceo de carga que proporciona Mullvad en sus centros de datos.
Exit nodes forzados y despliegue masivo en flotas corporativas
En entornos corporativos más exigentes, muchas veces lo que se busca no es tanto dar la opción de exit node, sino imponer su uso a toda la flota de dispositivos para garantizar la seguridad y el cumplimiento normativo, sin depender de que el usuario final active nada a mano.
Tailscale permite, en planes Premium y Enterprise, forzar el uso de exit nodes en todos los dispositivos, eligiendo o bien que se conecten siempre a un exit node recomendado automáticamente, o bien a un exit node específico de la organización (por ejemplo, uno en la oficina central o en una nube concreta).
La configuración forzada se puede distribuir usando herramientas MDM como Jamf, Microsoft Intune, Kandji, TinyMDM y otras soluciones similares. Así, cualquier dispositivo gestionado se levanta ya con la política necesaria para conectarse al exit node marcado, sin intervención del usuario.
En caso de que un exit node concreto deje de estar disponible, Tailscale intentará reconectar al siguiente nodo disponible según la lógica configurada, evitando que los usuarios se queden sin acceso o que empiecen a salir por conexiones no controladas fuera del tailnet corporativo.
Este tipo de despliegue cobra especial importancia cuando se trata de proteger el acceso a SaaS corporativos, portales de partners o datos sensibles a los que se accede desde redes potencialmente hostiles, como Wi‑Fi de hoteles o redes de clientes en las que no tienes visibilidad ni control.
Redactor especializado en temas de tecnología e internet con más de diez años de experiencia en diferentes medios digitales. He trabajado como editor y creador de contenidos para empresas de comercio electrónico, comunicación, marketing online y publicidad. También he escrito en webs de economía, finanzas y otros sectores. Mi trabajo es también mi pasión. Ahora, a través de mis artículos en Tecnobits, intento explorar todas las novedades y nuevas oportunidades que el mundo de la tecnología nos ofrece día a día para mejorar nuestras vidas.

