ADR-005: NetBird + WireGuard como estrategia de acceso¶
Fecha: 2026-05-11 Estado: aceptado Decisión: SmallCountry usará NetBird como VPN (red privada virtual) principal (malla Zero Trust (modelo de seguridad sin confianza implícita) con OIDC (protocolo de autenticación OpenID Connect)) y mantendrá un túnel WireGuard independiente como acceso de emergencia. NetBird es para los usuarios; WireGuard es para el administrador cuando NetBird falla.
Contexto: Una VPN (red privada virtual) es el único punto de entrada a SmallCountry desde el exterior. Si la VPN falla, nadie puede acceder. Una sola VPN es un SPOF (punto único de fallo). Pero dos VPNs gestionadas independientemente añaden complejidad. La decisión es cuánta redundancia es necesaria y con qué arquitectura.
Alternativas consideradas:
| Alternativa | Ventajas | Por qué se descartó |
|---|---|---|
| Solo NetBird | Zero Trust, OIDC (protocolo de autenticación OpenID Connect), políticas por usuario | Sin backup si NetBird falla. SPOF (punto único de fallo) en el acceso remoto |
| Solo WireGuard | Simple, rápido, kernel nativo | Sin Zero Trust, sin OIDC, sin políticas granulares. Cada peer se gestiona manualmente |
| Tailscale | Excelente UX, OIDC, DERP relays | Vendor lock-in. El coordination server es propietario. Viola el principio de soberanía |
| OpenVPN | Muy probado, maduro | Pesado, complejo de configurar, no es malla. Peor rendimiento que WireGuard |
| NetBird + WireGuard como failover automático | Redundancia transparente | Complejidad adicional. El failover automático puede enmascarar problemas |
Consecuencias:
- ✅ NetBird para el día a día: Zero Trust, OIDC con Authentik, políticas por grupo
- ✅ WireGuard para emergencias: independiente, ligero, sin dependencias. Si todo falla, el admin puede entrar
- ✅ Separación de roles: NetBird para usuarios (familia, empresa, finca), WireGuard solo para admin
- ✅ Bypass de Zero Trust: WireGuard no depende de Authentik. Si Authentik falla, el admin aún puede entrar
- ❌ Dos VPNs = dos configuraciones que mantener, dos juegos de claves, dos superficies de ataque
- ❌ Los usuarios no tienen backup de acceso. NetBird es su único camino. Si NetBird falla, dependen del admin
Referencias: - Ficha: NetBird - Ficha: WireGuard - Principio 3: Aislamiento del núcleo - Runbook: VPN caída