Tailscale + Escritorio Remoto: accede a tu PC con Windows sin abrir puertos en el router
Abrir el puerto 3389 de Escritorio Remoto en internet es una mala práctica. Con Tailscale puedes conectarte a una PC con Windows desde otra red usando una IP privada tipo `100.x.x.x`, sin configurar port forwarding, sin IP pública fija y sin exponer RDP directamente.
Por Equipo Starbyte
Tailscale + Escritorio Remoto: accede a tu PC con Windows sin abrir puertos en el router
Necesitas entrar a tu PC de la oficina o de casa desde otro lugar. Lo primero que muchos intentan es abrir el puerto 3389 del router para usar Escritorio Remoto de Windows.
Funciona, pero no es una buena idea.
Exponer RDP directamente a internet aumenta mucho el riesgo de ataques, escaneos automatizados e intentos de inicio de sesión.
Una forma más segura y práctica es usar Tailscale.
Tailscale crea una red privada entre tus dispositivos. Así puedes conectarte a tu PC por Escritorio Remoto usando una IP privada de Tailscale, sin abrir puertos en el router y sin depender de una IP pública fija.
Qué vas a lograr
Al terminar, podrás:
- Acceder a una PC Windows desde otra red.
- Usar Escritorio Remoto sin abrir el puerto 3389.
- Conectarte usando una IP privada tipo
100.x.x.x. - Evitar configuraciones complicadas de router.
- Mantener RDP accesible solo dentro de tu red privada.
- Administrar tus equipos desde el panel de Tailscale.
Requisitos previos
Necesitas:
- Una cuenta de Tailscale.
- Tailscale instalado en la PC remota.
- Tailscale instalado en el equipo desde donde te conectarás.
- Windows 10 o Windows 11 en la PC remota.
- Escritorio Remoto habilitado en la PC remota.
- Usuario de Windows con contraseña.
- Conexión a internet en ambos equipos.
Importante:
La PC que recibirá la conexión debe tener una edición de Windows que permita actuar como host de Escritorio Remoto.
Normalmente esto aplica a:
- Windows Pro.
- Windows Enterprise.
- Windows Education.
Windows Home puede conectarse a otras PCs por RDP, pero no suele funcionar como host RDP de forma nativa.
Paso 1: instalar Tailscale en ambos equipos
Instala Tailscale en:
- La PC Windows a la que quieres conectarte.
- La laptop o PC desde donde harás la conexión.
Después de instalar, inicia sesión con la misma cuenta de Tailscale en ambos equipos.
Cuando ambos dispositivos estén conectados, aparecerán dentro de tu red privada o tailnet.
Paso 2: verificar que Tailscale está activo
En la PC remota, abre PowerShell y ejecuta:
tailscale status
Deberías ver una lista de dispositivos conectados a tu tailnet.
También puedes obtener la IP privada de Tailscale con:
tailscale ip -4
El resultado será una IP parecida a:
100.87.45.23
Esa IP no es una IP pública normal. Es una IP privada dentro de tu red Tailscale.
Paso 3: habilitar Escritorio Remoto en Windows
En la PC que recibirá la conexión:
- Abre Configuración.
- Entra a Sistema.
- Abre Escritorio remoto.
- Activa Escritorio remoto.
- Confirma la advertencia.
También puedes abrir directamente la configuración con:
ms-settings:remotedesktop
Verifica el nombre del equipo y el usuario con el que iniciarás sesión.
Paso 4: confirmar que tu usuario tiene contraseña
RDP no suele funcionar bien con cuentas locales sin contraseña.
Verifica que el usuario de Windows tenga una contraseña real.
Si usas cuenta Microsoft, normalmente iniciarás con:
correo@ejemplo.com
Si usas cuenta local, puedes iniciar con:
NOMBRE-PC\usuario
También puedes revisar el nombre del equipo con:
hostname
Paso 5: probar conectividad por Tailscale
Desde el equipo desde donde te conectarás, prueba si puedes alcanzar la PC remota.
Ejecuta:
tailscale ping 100.87.45.23
Cambia 100.87.45.23 por la IP real de la PC remota.
Si responde, ambos equipos pueden verse por Tailscale.
También puedes probar:
ping 100.87.45.23
Si tailscale ping responde, pero ping normal no responde, puede ser una restricción de firewall o ICMP. Eso no siempre impide usar RDP.
Paso 6: conectarte por Escritorio Remoto
En el equipo cliente, presiona:
Windows + R
Escribe:
mstsc
Presiona Enter.
En el campo Equipo, escribe la IP de Tailscale de la PC remota:
100.87.45.23
Luego pulsa Conectar.
Ingresa las credenciales del usuario de Windows de la PC remota.
Si todo está correcto, entrarás al escritorio de la PC sin haber abierto puertos en el router.
Paso 7: usar el nombre MagicDNS en lugar de la IP
Si tienes MagicDNS activado en Tailscale, puedes conectarte usando el nombre del dispositivo en vez de la IP.
Ejemplo:
pc-oficina
o un nombre completo del tailnet, según tu configuración.
Para ver los nombres disponibles, usa:
tailscale status
Usar nombres es más cómodo que recordar IPs.
Paso 8: no abras el puerto 3389 en el router
Este punto es clave.
No necesitas abrir el puerto RDP en el router.
No necesitas configurar NAT.
No necesitas redireccionar el puerto 3389.
No necesitas exponer la PC a internet.
La conexión debe hacerse usando la IP privada de Tailscale o el nombre del dispositivo dentro del tailnet.
Comparación rápida
| Método | Requiere abrir puertos | IP pública fija | Exposición a internet | Dificultad |
|---|---|---|---|---|
| RDP directo por router | Sí | Recomendable | Alta | Media |
| VPN tradicional | Depende | Depende | Media | Media/Alta |
| Tailscale + RDP | No | No | Baja | Baja |
Flujo recomendado
Usa este orden:
- Instala Tailscale en ambos equipos.
- Inicia sesión con la misma cuenta.
- Verifica ambos equipos con
tailscale status. - Obtén la IP con
tailscale ip -4. - Activa Escritorio Remoto en la PC host.
- Confirma usuario y contraseña.
- Prueba conectividad con
tailscale ping. - Abre
mstsc. - Conecta usando la IP
100.x.x.x. - No abras puertos en el router.
Errores comunes y soluciones
No puedo conectarme por RDP.
Verifica que la PC remota tenga Windows Pro, Enterprise o Education. Windows Home normalmente no actúa como host RDP nativo.
Tailscale aparece conectado, pero RDP no entra.
Revisa que Escritorio Remoto esté activado en Windows y que el usuario tenga permisos para conectarse.
El usuario no inicia sesión.
Prueba con el formato:
NOMBRE-PC\usuario
o usa el correo completo si es cuenta Microsoft.
No sé cuál es la IP de Tailscale.
En la PC remota ejecuta:
tailscale ip -4
El equipo remoto aparece offline.
Verifica que:
- La PC esté encendida.
- Tailscale esté conectado.
- El equipo tenga internet.
- No esté suspendido.
- La sesión no haya sido cerrada en Tailscale.
La PC se suspende y ya no puedo entrar.
Configura energía para evitar suspensión automática si necesitas acceso remoto.
Ruta sugerida:
Configuración > Sistema > Energía
Ajusta suspensión según tu caso.
Me aparece advertencia de certificado.
Es común en conexiones RDP. Si estás seguro de que te conectas a tu propia PC mediante la IP de Tailscale, puedes continuar.
El ping normal falla, pero Tailscale está conectado.
Prueba primero:
tailscale ping IP_DEL_EQUIPO
El firewall puede bloquear ICMP, pero RDP puede seguir funcionando si está permitido.
Buenas prácticas
- No abras el puerto 3389 al internet público.
- Usa contraseñas fuertes en las cuentas de Windows.
- Mantén Tailscale actualizado.
- Usa nombres claros para tus dispositivos.
- Elimina de Tailscale equipos que ya no uses.
- Revisa periódicamente qué dispositivos están en tu tailnet.
- No compartas tu cuenta principal con terceros.
- Usa permisos o usuarios separados si trabajas con más personas.
- Mantén Windows actualizado.
- Si la PC queda siempre accesible, usa bloqueo automático de pantalla.
- Si es un equipo crítico, considera autenticación más estricta y políticas de acceso.
Cuándo conviene usar esta solución
Conviene usar Tailscale + RDP cuando:
- Necesitas entrar a tu PC desde fuera de casa u oficina.
- No quieres abrir puertos en el router.
- No tienes IP pública fija.
- Tu proveedor usa CGNAT.
- Quieres una solución más limpia que configurar port forwarding.
- Administras varias PCs personales o de trabajo.
- Necesitas soporte remoto privado entre tus propios equipos.
Cuándo no es suficiente
Esta solución no reemplaza una estrategia empresarial completa si necesitas:
- Auditoría avanzada.
- Gestión centralizada de muchos usuarios.
- Grabación de sesiones.
- Políticas complejas de acceso.
- Integración con mesa de ayuda.
- Control granular por horario o grupo.
- Acceso para clientes externos no administrados.
Para uso personal, técnico, pequeña oficina o soporte controlado, puede ser una opción muy práctica.
Comandos útiles
Ver estado de Tailscale:
tailscale status
Ver IP privada de Tailscale:
tailscale ip -4
Probar conectividad con otro equipo:
tailscale ping 100.x.x.x
Abrir Escritorio Remoto:
mstsc
Abrir configuración de Escritorio Remoto:
ms-settings:remotedesktop
Ver nombre del equipo:
hostname
Idea clave
El acceso remoto no debería empezar abriendo puertos en el router.
Con Tailscale puedes acceder a una PC Windows por Escritorio Remoto usando una red privada entre tus dispositivos.
La diferencia es importante:
No expones RDP a internet.
No dependes de IP pública.
No peleas con CGNAT.
Y puedes conectarte a tu PC de forma más segura, ordenada y profesional.