El tejido multicloud para pobres: reducir las facturas de egresos con mesh tunneling en 2026
El tejido multicloud para pobres: reducir las facturas de egresos con mesh tunneling en 2026
Los proveedores de la nube han convertido el egreso de datos en uno de los mecanismos de bloqueo más efectivos en la historia del software empresarial. Las cifras son deliberadamente punzantes: para 2026, AWS cobra $0.09 por GB por egreso estándar a internet, Azure cobra $0.087 por GB, y GCP cobra $0.12 por GB por el primer terabyte—con GCP duplicando sus tarifas de CDN Interconnect y peering en Norteamérica a partir del 1 de mayo de 2026. Un análisis de CloudZero en 2025 encontró que la transferencia de datos representa entre el 6 y el 12% de las facturas típicas de la nube, sin embargo, la mayoría de los equipos de ingeniería no pueden identificar dónde se concentra su gasto en egresos hasta que se convierte en una crisis. Con 100 TB en AWS, solo moverlo a otro proveedor cuesta $8,700 en egresos antes de que el nuevo proveedor gane un dólar contigo.
Hay una salida. Construyendo una red mesh encriptada peer-to-peer entre nubes, los equipos de ingeniería pueden enrutar el tráfico internube a través de túneles overlay definidos por software que evaden o minimizan significativamente la superficie de medición de los gateways estándar de internet. Esto no es un truco teórico: es la arquitectura que alimenta a startups lean y multicloud que no tienen intención de pagar precios de interconexión empresarial.
Por qué las VPNs tradicionales son la herramienta equivocada
En una arquitectura convencional de VPN sitio-a-sitio, cada paquete entre dos redes debe pasar por un gateway centralizado en cada lado. Si una carga de trabajo en AWS EC2 necesita acceder a una base de datos en GCP Compute Engine, ese paquete viaja hasta el Gateway VPN de AWS, cruza internet público hasta el Gateway VPN de GCP, y luego se enruta hasta el destino. Esta topología de hub-and-spoke crea un punto de estrangulamiento que introduce latencia, concentra riesgos de fallo y—críticamente—pasa cada byte por el motor de medición del hyperscaler.
Una red mesh peer-to-peer elimina completamente el hub. Cuando un daemon de túnel ligero se ejecuta directamente en máquinas virtuales o hosts de contenedores en diferentes nubes, los nodos negocian túneles encriptados directos punto a punto entre sí. El resultado es una subred privada virtual única y plana—normalmente el bloque 100.64.0.0/10 reservado por IANA para NAT de grado carrier—que abarca todos los entornos conectados. Desde la perspectiva de una aplicación en AWS, un clúster de bases de datos en GCP parece estar en el mismo switch local, direccionable mediante una IP privada estándar.
[ AWS VPC ] [ GCP VPC ]
+--------------------+ +--------------------+
| +--------------+ | | +--------------+ |
| | EC2 Node A |==|===============|==| GCE Node B | |
| | 100.64.1.1 | | WireGuard | | 100.64.2.1 | |
| +--------------+ | P2P Tunnel | +--------------+ |
+---------||----------+ +---------||----------+
|| ||
|| +------------------+ ||
\==========| On-Prem / Bare |=======/
| Metal Node C |
| 100.64.3.1 |
+------------------+
[ Rack físico ]
Los protocolos detrás del mesh
WireGuard: El motor criptográfico
Prácticamente todas las soluciones modernas de túneles mesh usan WireGuard como su protocolo de plano de datos. WireGuard reemplazó protocolos legados como IPsec y OpenVPN operando completamente en el espacio del kernel de Linux—o mediante implementaciones altamente optimizadas en espacio de usuario—usando criptografía moderna: ChaCha20 para cifrado simétrico, Poly1305 para autenticación, y Curve25519 para intercambio de claves. Su arquitectura sin conexión UDP significa que no mantiene un apretón de manos ruidoso cuando está inactivo, manteniendo el uso de memoria pequeño y la carga de CPU mínima.
Los números de rendimiento son significativos. Benchmarks independientes en hardware AMD EPYC 9654 publicados por Phoronix encontraron que WireGuard en modo kernel lograba aproximadamente 7.5 a 8.0 Gbps de rendimiento TCP de flujo único con aproximadamente un 15% menos uso de CPU que las alternativas en espacio de usuario. OpenVPN, en comparación, alcanzaba aproximadamente 1.1 Gbps en el mismo hardware. IPsec vía strongSwan alcanzó 6.8 Gbps pero consumió alrededor de un 30% más de CPU que WireGuard a línea de tasa.
WireGuard no tiene debilidades criptográficas conocidas hasta mediados de 2026. Una revisión de Quarkslab en 2018 y análisis académicos posteriores no encontraron vulnerabilidades en el protocolo. La decisión entre WireGuard y las capas de gestión construidas sobre él es operativa, no basada en seguridad.
Tailscale: Capa de coordinación sin configuración
Tailscale construye un plano de control gestionado sobre WireGuard, automatizando el intercambio de claves, descubrimiento de pares y traversal NAT que WireGuard deja deliberadamente al operador. Cada conexión de Tailscale es un túnel WireGuard estándar en la capa de transporte—las características de cifrado y plano de datos son idénticas. Lo que Tailscale añade es el servidor de coordinación que distribuye claves públicas y metadatos de endpoints a todos los nodos en un tailnet.
Capacidades clave para despliegues multicloud:
Traversal NAT vía STUN/ICE. Las VPCs en la nube ocultan máquinas virtuales tras gateways NAT de múltiples capas. Tailscale usa STUN (Session Traversal Utilities for NAT) para descubrir los puertos públicos de cada nodo, habilitando conexiones P2P directas incluso a través de firewalls empresariales restrictivos. Las conexiones peer-to-peer directas añaden aproximadamente 1 ms de latencia comparado con la línea base sin cifrado.
Reenvío DERP como respaldo. En casos donde los firewalls bloquean completamente la coordinación UDP directa, Tailscale recurre a su red global de servidores de Reenvío Encriptado Designado para Paquetes (DERP), garantizando conectividad mientras el sistema intenta restablecer un camino directo. Las conexiones relay de DERP añaden entre 10 y 50 ms dependiendo de la proximidad del servidor relay.
Ruteadores de subred. En lugar de instalar el agente de Tailscale en cada contenedor o servidor, los ingenieros designan una VM pequeña en cada VPC como un Ruteador de Subred. Este nodo anuncia el bloque CIDR interno de su VPC anfitriona (por ejemplo, 10.100.0.0/16) al resto del mesh tailnet, permitiendo que recursos no gestionados se comuniquen a través de la tela sin agentes adicionales.
Bloqueo de Tailnet. A principios de 2026, la versión Enterprise de Tailscale soporta Tailnet Lock, que requiere autorización de múltiples partes antes de admitir una nueva clave de dispositivo en la malla—mitigando riesgos de un servidor de coordinación comprometido. Trail of Bits auditó Tailscale en 2024 y Doyensec en 2025; ambos reportaron cero hallazgos críticos.
Benchmarks de rendimiento en hardware Linux idéntico muestran que Tailscale alcanza aproximadamente 6.8 Gbps en conexiones punto a punto con espacio de usuario en WireGuard, superando los 10 Gbps con optimizaciones en kernel habilitadas mediante segmentación UDP. Para cargas prácticas de microservicios y bases de datos, la diferencia de rendimiento versus WireGuard en crudo es insignificante una vez que se activa la escalabilidad de ventanas TCP.
El precio de Tailscale en 2026 es de $6 por usuario activo al mes en el plan Starter, escalando a $18 por usuario al mes en Premium con funciones avanzadas de SSO y ACL. La capa gratuita cubre hasta 3 usuarios y 100 dispositivos, suficiente para la mayoría de despliegues de homelab y startups de dos personas.
Alternativa autoalojada: Headscale. Para equipos con requisitos estrictos de soberanía de datos, Headscale es una alternativa de código abierto que reemplaza al servidor de coordinación de Tailscale. Los dispositivos siguen usando el cliente oficial de Tailscale, pero apuntan a una instancia de Headscale en tu infraestructura propia. La distribución de claves, descubrimiento de pares y aplicación de ACL ocurren completamente en hardware que controlas. La última versión a principios de 2026 es v0.26.1.
Nebula: Mesh empresarial descentralizado
Originalmente desarrollado por Slack y lanzado como proyecto de código abierto, Nebula está diseñado específicamente para despliegues masivos de infraestructura sin depender de un plano de control gestionado por un proveedor. En su lugar, usa Lighthouses autohospedados.
Descubrimiento descentralizado. Los nodos de Nebula registran sus direcciones IP internas y externas con un servidor Lighthouse—cualquier VM económica con IP pública estática servirá. Cuando el Nodo A quiere conectarse al Nodo B, consulta al Lighthouse por las coordenadas actuales del Nodo B, establece un túnel encriptado directo, y luego se comunica completamente de forma independiente del Lighthouse. El Lighthouse actúa como bootstrap de coordinación, no como encaminador de tráfico.
Identidad basada en certificados. Nebula implementa un modelo PKI estricto. Cada nodo debe tener un certificado criptográfico firmado por una Autoridad de Certificación interna privada. Los certificados dictan no solo la IP del nodo en la malla, sino también sus grupos de seguridad, etiquetas de entorno y reglas de firewall. Nebula usa AES-256-GCM para cifrado simétrico (en comparación con ChaCha20 en soluciones basadas en WireGuard) y el Noise Protocol Framework para el intercambio de claves.
Políticas de firewall nativas. Nebula gestiona las reglas de firewall dentro de su daemon en espacio de usuario, permitiendo a los operadores definir políticas granulares de ingreso y egreso basadas en propiedades del nodo—por ejemplo, permitir que nodos etiquetados gcp-ai-worker solo accedan a nodos etiquetados aws-rds-replica.
Para una nota práctica de seguridad: Nebula aún no soporta SSO o gestión de usuarios de forma nativa. El acceso a nodos se gestiona completamente mediante emisión de certificados. Los grupos se usan para segmentar máquinas en lugar de identidades de usuario. Los equipos que necesitan integración SAML u OIDC deberían evaluar Tailscale o NetBird en su lugar.
NetBird y Netmaker: Planes de control abiertos
Para equipos que desean la usabilidad de Tailscale con plena soberanía de datos autohospedada, NetBird y Netmaker han ganado tracción significativa. Ambos ofrecen consolas de gestión de código abierto con interfaces web, integración con proveedores de identidad vía OAuth2 y OIDC, y soporte para configuraciones nativas de WireGuard en kernel. NetBird también aprovecha integraciones eBPF para enrutamiento de paquetes a velocidad de línea. Hasta 2026, NetBird usa Go 1.23, que ofrece aproximadamente un 18% de mejora en rendimiento en escenarios de alta concurrencia respecto a versiones anteriores, gracias a mejoras en la programación de goroutines y gestión de memoria.
Plano arquitectónico: construyendo un mesh privado multicloud
Para implementar un tejido resistente y rentable en AWS, GCP y en infraestructura local, sigue este patrón.
+------------------------------------------------+
| PLAN DE CONTROL DEL MESH / LIGHTHOUSE |
| (Distribución de claves y descubrimiento) |
+-------------------+----------------------------+
|
+------------------------+------------------------+
| | |
+--------v--------+ +----------v------+ +------------v----+
| VPC AWS | | VPC GCP | | Rack On-Prem |
| 10.100.0/16 | | 10.200.0/16 | | 192.168.1/24 |
| | | | | |
| [Ruteador de |<--->| [Ruteador de |<--->| [Bare-Metal] |
| Subred] | | Subred] | | |
| IP overlay: | | IP overlay: | | IP overlay: |
| 100.64.1.1 | | 100.64.2.1 | | 100.64.3.1 |
+-----------------+ +-----------------+ +-----------------+
Túneles P2P en WireGuard encriptados y NAT-traversados
Paso 1: Aislamiento CIDR — Primero esto
Antes de desplegar un agente de mesh, asegúrate de que ningún entorno tenga superposiciones en el espacio IP privado. Las subredes superpuestas causan corrupción en las tablas de enrutamiento que ningún software de mesh puede arreglar.
| Entorno | CIDR recomendado |
|---|---|
| VPC AWS | 10.100.0.0/16 |
| VPC GCP | 10.200.0.0/16 |
| On-Prem / Oficina | 192.168.1.0/24 |
| Mesh overlay (tailnet) | 100.64.0.0/10 |
El bloque 100.64.0.0/10 es el rango NAT de grado carrier reservado por IANA para este uso de overlay privado. Evita conflictos con los bloques RFC 1918 usados por la mayoría de las VPCs en la nube.
Paso 2: Desplegar nodos gateway redundantes
En lugar de correr un daemon de túnel en cada contenedor—lo que añade complejidad de configuración y uso de memoria—despliega instancias gateway dedicadas en cada entorno.
- Lanza dos instancias optimizadas para cómputo en la subred pública de cada nube. Un
c6i.largeen AWS y unc3-standard-2en GCP son adecuados. Ejecuta dos en cada entorno para alta disponibilidad. - Habilita el reenvío IP a nivel de infraestructura. En AWS, desactiva explícitamente la opción Source/Destination Check en la interfaz de red de EC2. En GCP, configura la opción
can_ip_forwarddurante la creación de la instancia. - Instala el daemon de mesh elegido en estas instancias gateway.
Paso 3: Configurar anuncios de rutas
Una vez que los daemons estén autenticados y conectados al overlay, configura cada gateway para anunciar el CIDR de su nube al resto del mesh.
En el nodo gateway de AWS:
tailscale up --advertise-routes=10.100.0.0/16 --accept-routes
En el nodo gateway de GCP:
tailscale up --advertise-routes=10.200.0.0/16 --accept-routes
El plano de control sincroniza estos anuncios en todos los nodos conectados. Cada par ahora sabe que los paquetes destinados a 10.200.0.0/16 deben ser encapsulados y tunelados a la IP overlay del gateway de GCP.
Paso 4: Actualizar tablas de enrutamiento en la nube
El paso final conecta la capa de red nativa de la nube con el tejido overlay. Las instancias regulares—que no conocen el mesh—necesitan saber dónde enviar el tráfico internube.
Tabla de enrutamiento de AWS: Añade una ruta estática con destino 10.200.0.0/16 (subred GCP) y destino al ID de la interfaz de red del gateway de mesh local.
Rutas en GCP: Añade una ruta con destino 10.100.0.0/16 (subred AWS) y próximo salto al VM gateway de GCP.
Una vez aplicado, un paquete desde un contenedor en AWS destinado a un endpoint API en GCP pasa por la tabla de enrutamiento de AWS al gateway local, se encapsula en un paquete UDP de WireGuard, cruza internet público, se desempaqueta en el gateway de GCP y llega a la instancia destino—todo sobre IP privada.
La economía: de dónde provienen los ahorros
El caso financiero depende de cómo los hyperscalers miden el tráfico a través de diferentes interfaces estructurales.
Egreso estándar por internet (AWS $0.09/GB, GCP $0.12/GB) no tiene costos fijos ni tarifas por puerto, pero cobra por byte enviado a internet.
Interconexiones dedicadas como AWS Direct Connect reducen el egreso por GB a aproximadamente $0.02/GB—pero llevan una tarifa fija de puerto de $0.03/hora por una conexión de 1 Gbps, haciéndolas rentables solo por encima de aproximadamente 5 TB de egresos mensuales donde el ahorro por GB supera los costos fijos. Una startup que transfiera menos paga más en Direct Connect que en egreso estándar por internet, una vez sumados los costos de puerto.
El enfoque overlay envía tráfico sobre UDP estándar de internet, ganando varias ventajas:
- Compresión en el gateway. Aplicar compresión Zstandard antes del encapsulado de WireGuard reduce la huella de datos en bruto antes de que llegue al motor de medición del hyperscaler. Los ahorros reales dependen de la compresibilidad de los datos, pero logs fríos y cargas JSON frecuentemente comprimen 4:1 o mejor.
- Intermedios de egreso cero. Cloudflare R2 cobra $0 por egresar datos. Los operadores pueden posicionar proxies de enrutamiento o cachés de objetos dentro de entornos sin egresos. El mesh enruta automáticamente el tráfico a través de estos intermediarios, abstraiendo la complejidad del enrutamiento de la lógica de la aplicación.
- Programación fuera de picos. Transferencias masivas de datos—copias de seguridad de bases de datos, puntos de control de modelos, archivos de logs—pueden ser enrutadas a través de nodos en local con ancho de banda de fibra simétrica ilimitado o barato durante horas valle. Un nodo de rebote dentro de un rack físico con upstream generoso elimina completamente los costos de egreso en la nube para esa clase de tráfico.
- Incremento en las tarifas de GCP en mayo de 2026. Google Cloud duplicó sus tarifas de CDN Interconnect y peering directo en Norteamérica desde el 1 de mayo de 2026. Los equipos que ya operan tejidos overlay están protegidos contra este aumento; los que enrutan a través de egresos CDN estándar ven saltos en la factura de aproximadamente $2,800 a $4,000/mes para cargas de trabajo de 50 TB representativas. La arquitectura del mesh proporciona estabilidad en costos de egreso que los ajustes de precios del hyperscaler no pueden socavar unilateralmente.
Guía de implementación: Nebula en metal desnudo
Para una implementación de código abierto, sin dependencias, Nebula ofrece un mesh multicloud completo sin control plane de proveedor. La siguiente es una plantilla de configuración práctica.
Generar la Autoridad Certificadora
En una máquina segura y offline, inicializa la PKI:
nebula-cert ca -name "YourOrg-MultiCloud-Mesh"
Esto genera ca.crt (distribuido públicamente a todos los nodos) y ca.key (guardado estrictamente offline y en secreto).
Firmar certificados de nodos
Emite certificados para cada gateway, asignando IPs overlay estáticas:
# Gateway AWS
nebula-cert sign -name "aws-gateway" -ip "172.16.1.1/16" -groups "routers,aws"
# Gateway GCP
nebula-cert sign -name "gcp-gateway" -ip "172.16.2.1/16" -groups "routers,gcp"
# Nodo local
nebula-cert sign -name "onprem-node" -ip "172.16.3.1/16" -groups "routers,onprem"
Configuración del Gateway AWS (/etc/nebula/config.yaml)
pki:
ca: /etc/nebula/ca.crt
cert: /etc/nebula/aws-gateway.crt
key: /etc/nebula/aws-gateway.key
static_host_map:
"172.16.0.1": ["
your-lighthouse-public-ip
:4242"]
lighthouse:
am_lighthouse: false
interval: 10
hosts:
- "172.16.0.1"
listen:
host: 0.0.0.0
port: 4242
tun:
dev: nebula1
drop_local_broadcast: true
drop_multicast: false
tx_queue_len: 500
mtu: 1300 # Reducido para acomodar encabezados de encapsulación
firewall:
conntrust: true
inbound:
- port: any
proto: any
group: routers # Permitir todos los routers verificados
outbound:
- port: any
proto: any
Una vez que el servicio Nebula inicia con systemctl start nebula, los gateways realizan un apretón de manos criptográfico P2P y establecen el túnel internube sin dependencia continua del Lighthouse para el tráfico de plano de datos.
Riesgos y compensaciones de rendimiento
Rendimiento en espacio kernel vs. espacio usuario
El rendimiento de tu mesh depende críticamente de si el daemon de túnel procesa paquetes en espacio kernel o en espacio usuario. El enrutamiento tradicional con iptables y análisis de paquetes en espacio usuario puede reducir el rendimiento total en un 60-70% bajo cargas de red concurrentes y pesadas.
eBPF elimina esta sobrecarga. La ruta de datos de Cilium en eBPF—que en 2025 fue adoptada por AWS EKS como CNI predeterminado—ofrece un 30-40% más de rendimiento que las redes tradicionales iptables al evitar la pila de red estándar y procesar paquetes encapsulados directamente en el controlador de interfaz de red. Los benchmarks de Cilium muestran que soluciones basadas en eBPF superan incluso las mediciones de referencia nodo a nodo en kernels modernos, porque eBPF evita la capa iptables que la línea base aún atraviesa.
Para WireGuard en modo kernel, el límite práctico en hardware de servidor actual es aproximadamente 7.5–8.0 Gbps. Para implementaciones en espacio usuario (incluyendo la configuración predeterminada de Tailscale), el rendimiento es aproximadamente 6.8 Gbps punto a punto, superando los 10 Gbps con optimizaciones en kernel y offloading de segmentación UDP habilitado en Linux.
MTU y ajuste de tamaño
El Ethernet estándar tiene un MTU de 1500 bytes. Los encabezados de encapsulación de WireGuard y Nebula consumen entre 40 y 80 bytes, por lo que un paquete con carga completa de 1500 bytes no cabe en un paquete encapsulado. Sin ajuste de MTU, el gateway fragmentará cada paquete grande, causando picos severos de latencia, pérdida de paquetes y sobrecarga de CPU.
La solución es ajuste de MTU en el gateway: forzar que TCP negocie un tamaño máximo de segmento (MSS) que deje espacio para los encabezados de encapsulación. El rango seguro suele ser 1280–1420 bytes. En Nebula, configura mtu: 1300 en la sección tun como se muestra arriba. En Tailscale, esto se maneja automáticamente.
Latencia y jitter
Un túnel mesh sobre internet público no garantiza la latencia de un circuito de fibra dedicado. Los paquetes atraviesan la infraestructura ISP global estándar, lo que significa que los tiempos de ping base son ligeramente mayores y el jitter (variabilidad en la latencia) es mayor que un enlace Direct Connect o Cloud Interconnect.
Para cargas de trabajo sincrónicas y de latencia ultra baja—comercio de alta frecuencia, motores de caché en tiempo real distribuidos—el subyacente de internet público puede ser insuficiente. Para APIs de microservicios estándar, colas de mensajes, réplicas de bases de datos asincrónicas, transferencias de datos de entrenamiento ML y pipelines de logs, la diferencia de latencia es inmaterial para la experiencia del usuario final. La sobrecarga de 1 ms de un túnel peer-to-peer de WireGuard es insignificante comparada con el tiempo de procesamiento de una aplicación típica.
Consideraciones del modelo de confianza
Al usar soluciones de mesh gestionadas, el límite de confianza cambia. Con WireGuard en crudo, confías en el kernel de Linux y en tu propia distribución de claves. Con Tailscale, además confías en el servidor de coordinación cerrado de Tailscale. Tailscale mitiga esto con Tailnet Lock (que requiere autorización de múltiples partes para añadir una nueva clave de dispositivo) y mecanismos de transparencia de claves públicas. Los equipos con requisitos estrictos de zero-trust o cumplimiento deberían evaluar Headscale, Nebula o NetBird, donde la infraestructura de coordinación corre completamente en hardware controlado por el operador.
Cómo elegir la herramienta adecuada: un marco de decisión
| Requisito | Herramienta recomendada |
|---|---|
| Configuración rápida, control gestionado aceptable | Tailscale |
| UX gestionada + control completo autohospedado | Headscale (cliente Tailscale + servidor autohospedado) |
| Código abierto, sin dependencia de proveedor, PKI nativo | Nebula |
| Código abierto con interfaz web + integración SSO | NetBird |
| Nativo en Kubernetes, rendimiento eBPF | Cilium con cifrado WireGuard |
| Empresarial, WireGuard en kernel + gestión avanzada | Netmaker |
Conclusión
La combinación de tarifas de egreso en la nube—$0.09/GB en AWS, $0.12/GB en GCP con aumentos activos—y la madurez de protocolos de túneles mesh de código abierto ha hecho del tejido multicloud definido por software la opción arquitectónica clara para equipos de ingeniería lean en 2026. El techo de rendimiento en modo kernel de WireGuard de 7.5–8.0 Gbps, la automatización de NAT de Tailscale, el modelo de identidad basado en certificados de Nebula, y la capacidad de eBPF para evitar completamente la sobrecarga de iptables, brindan a equipos pequeños acceso a primitivas de red que antes requerían hardware empresarial dedicado y contratos de interconexión de seis cifras.
La sobrecarga de implementación es real: la planificación CIDR debe hacerse antes del despliegue, el ajuste de MTU es obligatorio, y los equipos deben tomar decisiones deliberadas sobre su modelo de confianza en el control plane. Pero ninguna de estas requiere recursos especializados en ingeniería de redes. Un equipo de infraestructura de dos personas puede montar un mesh multicloud de nivel productivo en una tarde y comenzar a enrutar tráfico a través de AWS, GCP y metal desnudo en local mediante túneles P2P encriptados—pagando solo por el cómputo en los nodos gateway.
En el entorno actual de tarifas de egreso, eso no es solo una optimización de costos. Es soberanía de infraestructura.
Todos los datos de tarifas de egreso verificados contra la documentación oficial de AWS, GCP y Azure y fuentes independientes a mayo de 2026. Benchmarks de rendimiento de WireGuard extraídos de la revisión de VPN en Linux de Phoronix en hardware AMD EPYC 9654. Resultados de auditoría de Tailscale de Trail of Bits (2024) y Doyensec (2025).
Related Topics
Keep building with InstaTunnel
Read the docs for implementation details or compare plans before you ship.