NetBird – rede de confiança zero de código aberto

 (netbird.io)
8 pontos por GN⁺ 2026-02-02 | 3 comentários | Compartilhar no WhatsApp
  • Plataforma de código aberto que combina uma rede overlay baseada em WireGuard® com Zero Trust Network Access (ZTNA) para oferecer conexões seguras e confiáveis
  • Pode ser implantada rapidamente sem gateway VPN nem configuração de firewall, reforçando o controle de acesso com SSO, MFA e verificações de segurança do dispositivo
  • Simplifica a operação de redes corporativas com gerenciamento centralizado da rede, políticas granulares e logs de atividade em tempo real
  • Funciona em diversos ambientes, como Linux, Windows, macOS, mobile, Docker e roteadores, e pode ser auto-hospedada sob a licença BSD-3
  • Uma solução moderna de acesso à rede que elimina a complexidade das VPNs tradicionais e garante segurança e escalabilidade ao mesmo tempo

Visão geral do NetBird

  • O NetBird é uma plataforma de código aberto que integra uma rede peer-to-peer baseada em WireGuard® com Zero Trust Network Access
    • Fornece conexões remotas seguras e confiáveis
    • Oferece, em uma única plataforma, recursos integrados de acesso à rede, autenticação e gerenciamento
  • É possível começar gratuitamente e também solicitar uma demonstração enterprise

Principais recursos

Secure Remote Access

  • Permite provisionamento de usuários e grupos, segmentação de rede e definição de políticas com base no princípio do menor privilégio
    • Reforça o controle de acesso com MFA e verificações do estado de segurança do dispositivo
    • Importa e gerencia diretamente usuários e grupos do provedor de identidade

Zero-Config Deployment

  • Oferece uma rede P2P baseada em WireGuard® para substituir VPNs tradicionais
    • Funciona sem configuração de firewall nem abertura de portas
    • Garante acesso remoto seguro com SSO e MFA
    • Permite configurar conexões entre VPCs e ambientes on-premises em poucos minutos

Seamless SSO with MFA

  • Integra-se com os principais provedores de identidade, como Okta, Microsoft e Google
    • Protege o acesso à rede com SSO e MFA baseados em sessão
    • Oferece reauthenticação periódica para trabalhadores remotos

Dynamic Posture Checks

  • Permite acesso apenas a dispositivos que atendem às regras de segurança
    • Realiza várias verificações, como firewall, antivírus e políticas baseadas em localização
    • Pode integrar-se com soluções de MDM e EDR

Centralized Network Management

  • Em um único console, permite agrupar recursos internos e gerenciar acessos
    • Suporta configuração de DNS, adição de nameservers privados e automação via API
    • Permite controle de acesso e gerenciamento de recursos por equipe

Detailed Activity Logging

  • Permite rastrear quem fez o quê e quando dentro da rede
    • Registra alterações de configuração e eventos de tráfego de conexão
    • Suporta streaming de eventos em tempo real para plataformas SIEM

Casos de clientes

  • A Select Tech Group opera mais de 55 filiais e implementou MFA, SSO e controle de acesso granular com o NetBird
  • Empresas como Axiros, netgo e DeltaQuad relatam a eliminação da complexidade das VPNs existentes e maior segurança
  • Os usuários destacam como principais vantagens a configuração simples, a alta estabilidade e a aderência aos princípios de confiança zero

Três características centrais do NetBird

1. Simples e seguro

  • Criação de rede em menos de 5 minutos, conexões criptografadas e sem necessidade de configurações complexas de firewall
  • Apenas usuários e dispositivos autorizados podem acessar recursos internos

2. Conecte-se de qualquer lugar

  • Suporte a diversas plataformas, como Linux, Windows, macOS, mobile, Docker e roteadores
  • Oferece conectividade fluida entre ambientes em nuvem e on-premises

3. Totalmente open source

  • Distribuído sob a licença BSD-3, permitindo auto-hospedagem
  • Pode ser executado no NetBird Cloud ou em servidores próprios
  • Os usuários podem auditar o código e operar diretamente dentro de sua própria infraestrutura

Efeitos da modernização da rede

  • Uma arquitetura baseada em SDN elimina a complexidade de gerenciar gateways VPN e firewalls
  • Configura o acesso a recursos remotos a partir de um único portal de gerenciamento
  • A separação granular da rede permite que apenas usuários autorizados acessem recursos específicos

Conclusão

  • O NetBird é uma solução de rede open source que supera as limitações das VPNs tradicionais e implementa um modelo de confiança zero
  • Oferece segurança, simplicidade e escalabilidade ao mesmo tempo, sendo uma ferramenta moderna de gerenciamento de acesso adequada tanto para equipes de desenvolvimento quanto para equipes de operações de TI

Leituras relacionadas

3 comentários

 
hiseob 2026-02-02

Mudei do ZeroTier para o NetBird, mas depois surgiu um problema no Windows em que ele não funcionava por cerca de um mês (como eu usava principalmente para jogar em casa e só às vezes para entrar às pressas, consegui aguentar esse mês), aí migrei para o Tailscale e vi a luz no fim do túnel.
De qualquer forma, passa muito a sensação de ser uma cópia inferior do Tailscale... e, se você ainda usar o Headscale, sinceramente o NetBird acaba não tendo muito atrativo.
 
sixthtokyo 2026-02-06

Ao ver o título da matéria, fiquei pensando qual seria a diferença em relação ao Tailscale, mas os comentários ajudaram bastante haha
 
GN⁺ 2026-02-02
Comentários do Hacker News
  • A equipe do NetBird é transparente e acessível
    Há 2 anos migrei completamente do Tailscale para o NetBird e opero em um ambiente self-hosted
    As atualizações de versão também aconteceram sem atritos, então ficou claro para mim que é uma equipe que valoriza não só a nuvem, mas também os usuários de self-hosting
    • Nossa equipe tentou o NetBird, mas o cliente não se registrava no servidor self-hosted
      Provavelmente foi erro de configuração do usuário
      Na documentação, a distinção entre recursos de nuvem e recursos self-hosted não é clara, então é preciso tomar cuidado
      Algumas funcionalidades não existem na versão comunitária, então é bom planejar com antecedência
      Ainda assim, parece mais maduro que o Headscale e, por não exigir alterações no registro como o Tailscale, acho que é uma solução mais promissora para self-hosting
  • Dei uma olhada nos recursos de controle de acesso do NetBird, e parece que não têm o que eu quero
    Quero uma estrutura em que, ao se conectar a um endpoint WireGuard, o usuário só possa acessar a sub-rede padrão e, após autenticação MFA, ganhe acesso a sub-redes adicionais
    Por exemplo, acessar primeiro só a wiki ou o chat interno e, com MFA, expandir o acesso para recursos sensíveis como o GitLab
  • Estou desenvolvendo o Connet
    Em vez de um overlay L4 como WireGuard ou de endpoints públicos L7 como o ngrok, a proposta é projetar serviços remotos localmente
    Se você colocar o Caddy em um VPS, também pode usá-lo como um ngrok
    As opções existentes como NetBird, Tailscale, frp e rathole não ofereciam acesso P2P self-hosted intuitivo e baseado em FOSS
    O Connet resolve isso, e a versão em nuvem connet.dev também é apenas uma forma de empacotar o projeto FOSS
    • Isso parece ser voltado só para computadores
      Pelo README, é preciso executar comandos, então em smartphone seria difícil
      Em ambiente móvel, uma configuração no estilo do ngrok parece mais realista
    • A ideia é interessante, mas projetar todos os serviços em localhost traz riscos de segurança
      Se usar um espaço de IP CGNAT como o Twingate, dá para atribuir um IP único a cada serviço e isolá-los
  • Fui usuário de longa data do ZeroTier, mas recentemente migrei para o NetBird (self-hosted em uma VPS da Hetzner)
    O recurso de DNS é excelente e o modelo de controle de acesso é intuitivo
    Também é fácil conceder acesso temporário quando necessário
    Só que o app de Android não está no F-Droid e às vezes há quedas durante roaming
    Mesmo assim, no geral é um software excelente e espero que continue evoluindo
    • Fico curioso se ZeroTier ou NetBird oferecem algo além de um wrapper GUI para WireGuard
      Também queria saber se é fácil integrá-los a uma malha WireGuard já existente
    • Nossa empresa também usa ZeroTier, mas recentemente tivemos quedas intermitentes de conexão e problemas de DNS
      Queria saber como está o app de iOS do NetBird
    • Eu uso o app JetBird do F-Droid; não usei o app oficial, mas minha experiência com o JetBird foi boa
  • Interessante. Queria saber em que ele difere do Tailscale (ou Headscale)
    Eu estava considerando o Tailscale para substituir minha configuração atual de WireGuard
  • Recomendo o Headscale
    É gratuito, compatível com os clientes oficiais do Tailscale e muito fácil de configurar
    https://headscale.net/stable/
    • Será que você poderia explicar rapidamente para que ele serve?
      O site do Tailscale tem muitos termos, então não consigo visualizar bem como isso seria usado em casa
    • Nós gerenciamos duas redes com cerca de 400 máquinas cada dentro da China usando o Headscale
      O DERP oficial do Tailscale não funciona, mas com o DERP embutido ativado estamos operando sem problemas
    • Pelo documento de requisitos do Headscale,
      em vez de abrir só uma porta para o WireGuard, é preciso expor várias portas
      como tcp/80, tcp/443, udp/3478 e tcp/50443, o que é um peso a mais em termos de segurança
      Mesmo com reverse proxy, é uma pena ter de expor tantas portas
    • Recentemente o suporte a Postgres foi descontinuado e agora só sqlite é recomendado
      Isso parece um sinal de que o Tailscale quer limitar implicitamente o escopo de uso do Headscale
    • Queria saber se é possível usar junto um VPN como o Mullvad como exit node
  • Estou desenvolvendo o Octelium
    É uma plataforma de acesso seguro zero-trust baseada em FOSS, que pode ser usada como VPN, ZTNA, API gateway, PaaS e alternativa ao ngrok
    Oferece vários recursos, como acesso com cliente/sem cliente, SSH sem senha, OIDC/SAML, MFA com WebAuthn e observabilidade baseada em OpenTelemetry
    Tudo está detalhado no README
    • Resumindo, o Octelium opera na camada 7 do OSI, enquanto o Tailscale opera nas camadas 3~4
    • O projeto parece interessante
      A longo prazo, vocês pretendem ter um plano enterprise? E, para contribuições externas, exigem CLA?
  • O ciclo de releases é rápido demais
    Eu mantenho o projeto em um overlay do Gentoo e, quando vou atualizar a versão, já saiu outra
    É preciso ajustar a frequência de releases para algo como no máximo uma vez por semana
  • Na minha configuração, o Tailscale é a única parte não self-hosted, e isso sempre me incomodou
    Tenho um container com Caddy na Tailnet e rotei todos os subdomínios para lá
    O SSL também é tratado pelo Caddy
    Não uso Funnel; deixo os serviços apenas atrás da VPN
    Mas a limitação de expiração da Auth Key em 90 dias é incômoda para gerenciar dispositivos embarcados remotos
    Estou procurando uma forma de autenticação mais duradoura e automatizada
    • No Tailscale, é possível desativar a expiração da chave. Eu configurei assim no gateway
      Todos os dispositivos internos ficam sob o domínio .home e são roteados pela Tailnet
    • Segundo a documentação oficial,
      é possível desativar manualmente a expiração da chave. Também dá para fazer isso com base em tags
    • Se você usar autenticação de nó baseada em tags, pode manter a expiração em 6 meses ou desativá-la completamente
    • Nós usamos o Headscale como control plane self-hosted e ele tem funcionado de forma estável
    • Concordo com a configuração do Caddy dentro da Tailnet. Aqui também funciona bem
  • O progresso do projeto é impressionante
    Como alternativas semelhantes, há OpenZiti, Headscale e Nebula
    Como material de referência, recomendo awesome-tunneling