DevSEO
#Tailscale #Raspberry Pi #IoT #Networking #VPN #Seguridad

Tailscale Subnet Router: Acceso Remoto a Cámaras y Dispositivos sin App

4 min read

Tailscale es una red privada virtual (VPN) basada en WireGuard que permite conectar todos tus dispositivos de forma segura sin configurar firewalls ni abrir puertos. Es, posiblemente, la forma más sencilla de crear una red interna segura entre ordenadores y móviles a través de Internet.

Normalmente, el flujo es simple: instalas la aplicación en cada equipo y ya están conectados. Pero, ¿qué ocurre con esa impresora 3D, un NAS antiguo o esa cámara IP donde no se puede instalar software de terceros?

Aquí es donde entra el Subnet Router. Vamos a configurar una Raspberry Pi para que actúe como puente transparente hacia el resto de tu casa. El objetivo es que puedas usar las IPs privadas originales (ej. 192.168.1.50) desde cualquier lugar como si estuvieras en el sofá de casa.

🛠️ Fase 1: Preparación de la Raspberry Pi

La Raspberry Pi (o cualquier mini-PC con Linux) actuará como puerta de enlace. Conéctala preferiblemente por cable Ethernet para minimizar la latencia y asegurar la estabilidad del túnel.

  1. Instalación de Tailscale: Usa el script de instalación automática que detecta tu distribución.

    curl -fsSL https://tailscale.com/install.sh | sh

  2. Vinculación de la cuenta: Levanta el servicio y sigue el enlace que aparecerá en la terminal para loguearte.

    sudo tailscale up

⚙️ Fase 2: Configuración del IP Forwarding

Por defecto, Linux bloquea el tráfico que entra por una interfaz (Tailscale) y quiere salir por otra (Ethernet). Necesitamos habilitar el reenvío de paquetes en el kernel para que el “puente” funcione.

Ejecuta estos comandos para que el cambio sea persistente tras los reinicios:

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

🌐 Fase 3: Publicación de las Rutas

Ahora debemos decirle a Tailscale qué parte de nuestra red local queremos exponer al exterior. Tienes dos opciones principales dependiendo de tu necesidad:

  • Opción A: Exponer toda la red local (Recomendado): 
    sudo tailscale up --advertise-routes=192.168.1.0/24
  • Opción B: Exponer un único dispositivo (Por ej. una cámara IP específica): 
    sudo tailscale up --advertise-routes=192.168.1.179/32

Nota: Sustituye 192.168.1.x por el rango real de tu red local. Puedes consultarlo con el comando ip route.

🛡️ Fase 4: Autorización en el Panel de Control

Tailscale no activará el enrutamiento automáticamente por seguridad. Debes autorizarlo manualmente desde su web:

  1. Entra en tu Admin Console.
  2. Busca la Raspberry Pi en la lista y pulsa en los tres puntos (…) -> Edit route settings.
  3. En la sección Subnet routes, marca la casilla que corresponde al rango que anunciamos en el paso anterior.
  4. Tip Senior: Pulsa en “Disable key expiry” en ese mismo menú para que la Raspberry no se desconecte cada 6 meses.

📱 Fase 5: Acceso desde Clientes Externos

Con el servidor listo, solo queda configurar tus dispositivos clientes (móvil, tablet o portátil) para que acepten estas rutas.

  • En Android/iOS: Entra en los ajustes de la app de Tailscale y asegúrate de que “Use Tailscale DNS” y “Accept Routes” estén activos.
  • En Linux/Windows: Por defecto suelen aceptarse, pero puedes forzarlo con tailscale up --accept-routes.

A partir de ahora, si estás con datos móviles y abres el navegador con la IP 192.168.1.179, entrarás directamente al panel de tu cámara o impresora 3D.

⚡ Resumen rípido

ComponenteFunción
Subnet RouterLa Raspberry Pi que sirve de entrada a la red.
Target DeviceEl dispositivo sin app (Cámara, TV, PLC).
IP ForwardingAjuste necesario para permitir el paso de datos.

Consejo final: Para que esto sea fiable, asigna una IP estática a tus dispositivos (cámaras, impresoras) desde la configuración de tu router principal. Si la IP local cambia, el acceso remoto se romperá.