Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalten wir eine kleine Provision — für dich ändert sich der Preis nicht. Hardware wird vor jeder Empfehlung mindestens vier Wochen im eigenen Homelab getestet.
Ein klassisches WireGuard-Setup verbindet einen Client mit einem Server — das ist die Standard-Variante für den Remote-Zugriff von unterwegs. Sobald du aber mehrere Standorte vernetzen willst — das Heimlab, das Ferienhaus, vielleicht den Eltern-Server — brauchst du ein Mesh-VPN. Drei Optionen haben sich 2026 etabliert: reines WireGuard (manuell aber transparent), Tailscale (komfortabel, aber Cloud-abhängig) und Headscale (Tailscale-Komfort selbst gehostet). In diesem Spoke schauen wir, wann sich welche Option lohnt und wie der Aufbau konkret aussieht.
TL;DR — der Vergleich auf einen Blick
- Tailscale — einfachster Einstieg, Konto bei Tailscale nötig, magische Mesh-Konnektivität ohne Port-Forwarding.
- Headscale — Tailscale-Komfort, aber komplett selbst gehostet. Open Source, kein externer Account.
- Reines WireGuard im Mesh — volle Kontrolle, aber manuelle Schlüssel-Verwaltung pro Knoten.
- Faustregel: Schnellster Start mit Tailscale; Privacy-Maximalist und Cloud-frei mit Headscale; alle anderen Setups mit klassischem WireGuard.
- Vorab-Lektüre: Wer das WireGuard-Grund-Setup noch nicht beherrscht, sollte zuerst unseren Spoke WireGuard VPN-Server einrichten durchgehen.
Was ist ein Mesh-VPN — und warum?
Ein klassisches VPN ist sternförmig: ein Server in der Mitte, Clients drumherum. Wenn Client A mit Client B reden will, läuft der Traffic über den Server. Das funktioniert, ist aber langsam, fehleranfällig (Server fällt aus = nichts geht) und nicht skalierbar bei mehreren Standorten.
Ein Mesh-VPN dagegen ist ein Netz aus gleichberechtigten Knoten: Jeder Knoten kann mit jedem anderen direkt reden, idealerweise sogar Peer-to-Peer ohne Umweg. Drei typische Anwendungsfälle:
- Mehrere Homelabs: Du hast einen Server zu Hause, einen im Ferienhaus, einen bei den Eltern als Backup-Ziel. Alle drei sehen sich gegenseitig per IP.
- Mobile Geräte: Laptop im Café, Smartphone unterwegs, Tablet auf dem Sofa — alle nahtlos im internen Netz.
- Multi-Site-Cluster: Proxmox-Cluster mit Knoten an verschiedenen Standorten (siehe Spoke Proxmox SDN mit VXLAN) brauchen das Mesh als Untergrund.
Tailscale, Headscale und reines WireGuard im Vergleich
| Kriterium | Tailscale | Headscale | Reines WireGuard |
|---|---|---|---|
| Setup-Aufwand | 5 Minuten | 30 Minuten | 1-2 Stunden |
| Server selbst hosten | nein (Cloud) | ja | ja (alle Peers) |
| NAT-Traversal | magisch (DERP) | integriert | manuell (oft Port-Forwarding nötig) |
| Schlüssel-Management | automatisch | automatisch | manuell |
| ACL / Firewall-Regeln | Web-UI | Konfigfile | iptables/nftables |
| Subnet-Routing | einfach | einfach | komplex |
| Privacy | Metadata bei Tailscale | komplett bei dir | komplett bei dir |
| Lizenz | BSD (Client), proprietär (Server) | BSD | GPLv2 |
| Kostenlose Tier | 3 User, 100 Geräte | unbegrenzt | unbegrenzt |
Tailscale aufsetzen — der entspannte Einstieg
Tailscale ist die einfachste Variante, weil das Schlüssel-Management komplett automatisiert ist. Die Cloud-Komponente „DERP“ sorgt für magische NAT-Traversal — selbst hinter mehreren Firewall-Schichten verbinden sich die Peers fast immer Peer-to-Peer.
- Konto bei tailscale.com anlegen (mit Google, Microsoft, GitHub oder Apple-ID).
- Tailscale-Client auf jedem Gerät installieren — Linux per
curl -fsSL https://tailscale.com/install.sh | sh, macOS per App-Store, Windows per Installer. - Erste Anmeldung:
sudo tailscale up— öffnet einen Browser-Login. Nach erfolgreicher Authentifizierung bekommt der Knoten eine 100.x.y.z-IP. - Zweiten Knoten auf einem anderen Gerät genau gleich einrichten. Beide Knoten erscheinen im Tailscale-Web-UI und können sich per IP oder Hostnamen erreichen.
- Subnet-Routing einschalten, falls ein Knoten ein ganzes Heimnetz exposen soll:
sudo tailscale up --advertise-routes=192.168.1.0/24auf dem Heim-Server.
Tailscale’s MagicDNS macht die IP-Memorierung überflüssig: Jeder Knoten ist per node-name.tail-xxxxx.ts.net erreichbar, dazu kommen Tags und Access-Control-Lists per JSON-Konfiguration. Für die meisten Homelab-Setups das beste Tool, das es 2026 gibt — sofern du mit der Cloud-Komponente einverstanden bist.
Headscale — Tailscale-Komfort selbst gehostet
Headscale ist eine Open-Source-Implementierung des Tailscale-Control-Servers. Du betreibst die Cloud-Komponente bei dir, die Tailscale-Clients verbinden sich mit deinem Headscale statt mit tailscale.com. Vorteile: Volle Kontrolle, kein externer Account, keine Telemetrie.
Setup als Docker-Container mit einer schlanken docker-compose.yml:
services:
headscale:
image: headscale/headscale:0.23
container_name: headscale
restart: unless-stopped
command: serve
ports:
- "8080:8080"
- "9090:9090"
volumes:
- ./config:/etc/headscale
- ./data:/var/lib/headscaleIn der config.yaml setzt du die Server-URL (z. B. https://headscale.deine-domain.de), legst per CLI einen Namespace und einen Pre-Auth-Key an. Der Tailscale-Client wird dann mit tailscale up --login-server=https://headscale.deine-domain.de --authkey=<key> registriert — verhält sich danach 1:1 wie ein normaler Tailscale-Client.
Was du verlierst: Den DERP-Service. Den kannst du selbst hosten oder die öffentlichen DERPs von Tailscale nutzen (das ist erlaubt — nur die Authentifizierung läuft über deinen Headscale).
Reines WireGuard im Mesh — manuell, aber transparent
Wer maximale Kontrolle und Transparenz will, baut sich ein Mesh-VPN aus reinem WireGuard. Das ist mehr Arbeit pro Knoten, aber ohne irgendeinen Cloud-Anbieter im Spiel.
Der einfachste Aufbau: Ein zentraler Coordinator-Server (z. B. ein Mini-VPS für 3 Euro/Monat) mit öffentlicher IP, alle Peers verbinden sich dorthin. Bei zwei Peers, die direkt miteinander reden wollen, hilft das Werkzeug wg-easy-mesh oder wireguard-network, das die Konfigurationsdateien automatisch verteilt.
Konkrete Topologie für drei Standorte:
- Standort A (Heim): WireGuard-Server hinter dyn-DNS, exponiert das interne Netz 192.168.1.0/24.
- Standort B (Eltern): WireGuard-Client mit Auto-Reconnect und Subnet-Routing für 192.168.2.0/24.
- Standort C (Mobile): WireGuard-Client auf Laptop und Smartphone, kein eigenes Subnet.
Die Schlüssel werden einmalig generiert und manuell auf jeden Peer gebracht. Wer öfter Peers hinzufügt, automatisiert das mit Ansible-Playbooks oder schickt die Verwaltung an Headscale ab.
Konkrete Topologie-Empfehlungen
- 1 Standort + mobile Geräte: Klassisches WireGuard reicht. Setup im Wire-Guard-Tutorial.
- 2-3 Standorte, du willst Komfort: Tailscale-Free-Tier ist genau dafür da. 5 Minuten Setup, kein Konfigurations-Aufwand.
- 2-3 Standorte, Privacy-Maximalist: Headscale auf einem kleinen VPS oder einem Standort. Tailscale-Komfort ohne Cloud.
- 10+ Knoten oder kommerzieller Einsatz: Tailscale Premium oder Headscale mit eigener DERP-Implementation.
- Forschung / Experimentier-Setup: Reines WireGuard mit Ansible-Verwaltung — lernst nebenbei am meisten.
Performance und Praxis-Tipps
- MTU richtig setzen: Die WireGuard-Default-MTU von 1420 ist meist passend. Bei Mobilfunk- oder PPPoE-Strecken auf 1380 reduzieren, sonst gibt es Fragmentation.
- PersistentKeepalive: Auf NAT-getrennten Peers (also fast allen) den Wert
25setzen. Sonst trennt das NAT die Verbindung nach wenigen Minuten Inaktivität. - Bandbreite: WireGuard erreicht auf Gigabit-Strecken nahezu Wire-Speed (900+ Mbit/s). Mobile-Hotspots oder VDSL-Strecken sind eher das Limit.
- Battery-Drain auf Mobile: Tailscale ist im Hintergrund-Verbrauch optimierter als reines WireGuard. Wer iOS/Android-Akkus schont, profitiert von Tailscale.
- Logging: WireGuard logt von Haus aus wenig. Bei Problemen mit
WG_DEBUG=1oder über systemd-Journal die Verbindungen verfolgen.
Häufige Fragen
Tailscale oder ZeroTier?
Beide sind Mesh-VPN-Anbieter mit ähnlichem Ansatz. Tailscale ist 2026 deutlich besser dokumentiert, schneller im Aufbau und hat das saubere Magic-DNS-Feature. ZeroTier ist genauso solide, etwas älter, etwas weniger poliert. Wer neu einsteigt: Tailscale.
Wie sicher ist Tailscale gegenüber Headscale?
Tailscale-Clients sind Open Source und nutzen WireGuard-Verschlüsselung — der Traffic ist also auch bei Tailscale sicher gegen Tailscale selbst. Was Tailscale sieht: die Metadaten (welche Knoten kommunizieren, wann, wie viel Traffic). Wer das nicht will, geht auf Headscale.
Brauche ich eine öffentliche IP?
Bei Tailscale und Headscale: nein. NAT-Traversal kümmert sich darum. Bei reinem WireGuard: mindestens ein Knoten braucht eine öffentliche IP — oder du gehst über einen kleinen VPS als Coordinator. Bei Carrier-Grade-NAT (häufig bei Mobile) hilft nur Tailscale-DERP-Relay.
Kann ich auf einem Knoten ein ganzes Subnet exposen?
Ja. Tailscale: tailscale up --advertise-routes=192.168.1.0/24. Headscale: gleicher Befehl, aber zusätzlich im Web-UI/CLI freigeben (headscale routes enable). Reines WireGuard: in der Server-Config AllowedIPs entsprechend setzen, IP-Forwarding aktivieren.
Was, wenn der Tailscale-Server-Dienst ausfällt?
Bestehende Verbindungen laufen weiter (Peer-to-Peer-Connections sind unabhängig vom Control-Server). Nur neue Anmeldungen sind in der Zeit nicht möglich. In der Praxis sehr selten — Tailscale hat eine sehr hohe Verfügbarkeit.
Wie viele Peers schafft ein Mesh?
Tailscale Free Tier: 100 Geräte. Headscale: theoretisch unbegrenzt, in der Praxis testbar bis 200-500 Knoten. Reines WireGuard: skaliert technisch sehr gut, der Engpass ist die manuelle Verwaltung.
Gibt es Geo-IP-Sperren?
WireGuard und Tailscale sind technisch global verfügbar. Manche Länder mit aggressiver Internet-Zensur blockieren WireGuard-Traffic per DPI — dort hilft wstunnel oder shadowsocks als Tarnung darüber. In Europa kein Thema.
Wo es weitergeht
- Homelab für Anfänger 2026 — die Pillar-Page, in der Mesh-VPN ein Baustein ist.
- WireGuard VPN-Server einrichten — die Single-Server-Variante als Voraussetzung.
- Heimnetz absichern mit VLANs und Firewall — die Netzwerk-Basis, in die das Mesh sich einbettet.
- Proxmox SDN mit VXLAN — die Cluster-Variante für Multi-Site-Hypervisoren.
- Reverse Proxy fürs Homelab — um Dienste an spezifische Mesh-Standorte zu binden.
Externe Pflichtquellen:
- tailscale.com/kb — offizielle Tailscale-Doku.
- Headscale auf GitHub — offizielles Repo mit kompletter Doku.
- wireguard.com — das Original-Projekt mit RFC und Cryptography-Hintergrund.
- r/Tailscale — Community-Forum.
Du planst gerade ein Multi-Site-Mesh und kommst nicht weiter? Schreib uns eine Mail an admin@lapalutschi.de.