Tailscale VPN einrichten: Sicheres Mesh-Netzwerk ohne Portweiterleitung

Tailscale VPN einrichten ist verblüffend einfach – und das Ergebnis ist ein sicheres, verschlüsseltes Mesh-Netzwerk, das alle deine Geräte verbindet, egal wo auf der Welt sie sich befinden. Kein Öffnen von Ports, kein kompliziertes NAT-Traversal, keine teuren Router-Konfigurationen. In diesem Guide zeige ich dir, wie du Tailscale in wenigen Minuten zum Laufen bringst – inklusive Subnet Router, Exit Nodes, Headscale als Self-Hosted-Alternative und Synology-Integration.

Was ist Tailscale und warum ist es so beliebt?

Tailscale basiert auf dem WireGuard-Protokoll und nutzt ein sogenanntes Mesh-VPN-Modell. Anstatt allen Traffic durch einen zentralen VPN-Server zu leiten, verbinden sich die Geräte direkt miteinander (Peer-to-Peer). Das Ergebnis:

• Sehr niedrige Latenz: Direktverbindung zwischen Geräten ohne Umweg
• Automatisches NAT-Traversal: Funktioniert hinter NAT und Firewalls
• Ende-zu-Ende-Verschlüsselung: WireGuard-Protokoll mit modernen Algorithmen
• Keine Portweiterleitung nötig: Tailscale koordiniert die Verbindungen über Relay-Server
• Kostenloser Plan: Bis zu 100 Geräte und 3 Benutzer kostenlos

Tailscale ist besonders praktisch für Homelab-Nutzer, die von unterwegs auf ihre Heimdienste zugreifen möchten, ohne ihren Router für das Internet öffnen zu müssen.

Tailscale Account erstellen

Bevor du Tailscale VPN einrichten kannst, brauchst du einen Account auf tailscale.com. Die Anmeldung ist kostenlos und funktioniert über SSO-Provider wie Google, GitHub, Microsoft oder Apple – kein separates Passwort nötig.

Tailscale installieren

Linux (Debian/Ubuntu)

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Nach tailscale up erhältst du einen Link zur Authentifizierung im Browser. Öffne diesen und melde dich mit deinem Tailscale-Account an.

Raspberry Pi / Proxmox LXC Container

# Installation
curl -fsSL https://tailscale.com/install.sh | sh

# Starten mit aktiviertem IP-Forwarding (für Subnet Router)
sudo tailscale up --advertise-routes=192.168.1.0/24

Windows

Lade den Tailscale-Client von der offiziellen Website herunter und installiere ihn. Nach der Installation erscheint ein Tailscale-Symbol in der Taskleiste. Klicke darauf und melde dich an.

macOS und iOS / Android

Tailscale ist im App Store und Play Store verfügbar. Installieren und anmelden – fertig.

Tailscale Admin-Konsole verstehen

Unter login.tailscale.com/admin siehst du alle verbundenen Geräte, ihre Tailscale-IP-Adressen (im 100.x.x.x-Bereich) und ihren Status. Jedes Gerät bekommt automatisch eine eindeutige IP im Tailscale-Netzwerk (Tailnet).

Subnet Router: Das gesamte Heimnetzwerk einbinden

Einer der mächtigsten Features von Tailscale ist der Subnet Router. Damit kannst du von unterwegs auf alle Geräte in deinem Heimnetzwerk zugreifen – nicht nur auf die mit Tailscale installierten.

Schritt 1: Subnet Router aktivieren

# Auf deinem Heimserver (z.B. Raspberry Pi oder VM)
sudo tailscale up --advertise-routes=192.168.1.0/24 --accept-routes

# IP-Forwarding dauerhaft aktivieren
echo "net.ipv4.ip_forward = 1" | sudo tee -a /etc/sysctl.conf
echo "net.ipv6.conf.all.forwarding = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Schritt 2: Route in der Admin-Konsole freigeben

In der Tailscale Admin-Konsole erscheint dein Gerät mit einer ausstehenden Subnet-Route. Klicke auf das Gerät → Edit Route Settings → aktiviere die Route 192.168.1.0/24.

Jetzt kannst du von unterwegs mit deinem Smartphone auf die IP-Adresse deines Heimrouters (z.B. 192.168.1.1) oder deines NAS zugreifen, als wärst du im Heimnetzwerk.

Exit Node: Gesamten Traffic über das Heimnetzwerk leiten

Mit einem Exit Node leitest du deinen gesamten Internettraffic über deinen Heimserver – praktisch wie ein klassisches VPN, aber ohne die Komplexität:

# Auf dem Heimserver
sudo tailscale up --advertise-exit-node

Genehmige den Exit Node in der Admin-Konsole. Auf deinem Mobilgerät oder Laptop wähle unter Tailscale-Einstellungen den Exit Node aus. Dein Traffic läuft jetzt verschlüsselt über dein Heimnetzwerk.

MagicDNS: Geräte mit Namen ansprechen

Tailscale bietet eine automatische DNS-Funktion namens MagicDNS. Damit kannst du Geräte im Tailnet mit ihrem Hostnamen ansprechen statt mit der 100.x.x.x-IP:

ssh mein-server.tailnet-name.ts.net
# oder einfach
ssh mein-server

Aktiviere MagicDNS in der Admin-Konsole unter DNS.

Tailscale VPN einrichten: Erweiterte Funktionen und Tipps

Tailscale SSH: Sicherer Zugriff ohne Portweiterleitung

Tailscale bietet eine eigene SSH-Funktion, die den SSH-Zugriff auf deine Server ohne offene Ports ermöglicht. Aktiviere Tailscale SSH auf dem Server:

sudo tailscale up --ssh

Danach kannst du dich per ssh user@server-hostname verbinden – Tailscale authentifiziert den Zugriff automatisch anhand deiner Tailscale-Identität.

ACLs: Zugriffsregeln definieren

Im Admin-Panel unter „Access Controls“ definierst du, welche Geräte auf welche anderen Geräte zugreifen dürfen. Das ist besonders wichtig für geteilte Tailnets (mehrere Benutzer):

{
  "acls": [
    {"action": "accept", "src": ["group:family"], "dst": ["tag:homeserver:*"]}
  ]
}

Funnel: Dienste öffentlich zugänglich machen

Mit Tailscale Funnel kannst du Dienste auf deinem Heimserver sicher über das Internet zugänglich machen – ohne Portweiterleitung und mit automatischem HTTPS-Zertifikat:

sudo tailscale funnel 443

Dein Dienst ist dann unter https://hostname.tailnet-name.ts.net erreichbar.

Tailscale auf dem Router (OpenWRT)

Installiere Tailscale direkt auf deinem Router (falls dieser OpenWRT unterstützt), um das gesamte Heimnetz ohne dedizierte Hardware in dein Tailnet einzubinden. Das spart einen Raspberry Pi als Subnet Router.

Headscale: Tailscale komplett selbst hosten

Wer vollständige Kontrolle über seinen VPN-Koordinationsserver möchte, kann Headscale nutzen – ein Open-Source-Klon des Tailscale-Kontrollservers, den du auf deinem eigenen Server betreibst.

Headscale auf einem Linux-Server installieren:

# Aktuelles Release herunterladen
wget https://github.com/juanfont/headscale/releases/latest/download/headscale_linux_amd64.deb
sudo dpkg -i headscale_linux_amd64.deb

# Konfiguration anpassen
sudo nano /etc/headscale/config.yaml
# server_url auf deine Domain oder IP setzen, z.B.:
# server_url: https://headscale.deine-domain.de:8080

# Headscale starten
sudo systemctl enable headscale
sudo systemctl start headscale

Clients verbinden sich mit tailscale up --login-server=https://headscale.deine-domain.de:8080 – der Tailscale-Client selbst bleibt identisch, nur der Koordinationsserver ist ein anderer. Headscale unterstützt alle Tailscale-Features: Subnet Router, Exit Nodes und MagicDNS.

Vorteil: Deine Geräteschlüssel und Metadaten verbleiben vollständig auf deinem Server. Kein Datentransfer zu Tailscale. Perfekt für Datenschutzbewusste oder Unternehmensumgebungen.

Tailscale auf Synology NAS einrichten

Viele Homelab-Nutzer haben ein Synology NAS – und Tailscale lässt sich direkt auf DSM installieren:

1. Öffne das Paket-Zentrum im DSM-Webinterface
2. Klicke auf Einstellungen → Paketquellen und füge die Tailscale-Quelle hinzu: https://pkgs.tailscale.com/stable/
3. Suche nach „Tailscale“ und installiere das Paket
4. Starte Tailscale und melde dich über das bereitgestellte Authentifizierungs-URL an

Das NAS erscheint danach als Gerät im Tailnet und ist von überall sicher erreichbar. Du kannst direkt auf SMB-Freigaben, die DSM-Weboberfläche und alle NAS-Dienste zugreifen – ohne Portweiterleitung. Optional richtest du das NAS als Subnet Router ein, um das gesamte Heimnetz über das NAS zugänglich zu machen.

Tailscale VPN einrichten: Troubleshooting und häufige Probleme

Manchmal funktioniert Tailscale nicht wie erwartet. Diese Befehle helfen bei der Diagnose:

# Aktuellen Status prüfen
tailscale status

# Netzwerk-Check (zeigt NAT-Typ und Relay-Nutzung)
tailscale netcheck

# Debug-Infos anzeigen
tailscale debug

Häufige Probleme:

• Verbindung nur über DERP-Relay (kein direktes Peer-to-Peer): Passiert hinter Carrier-Grade-NAT. Lösung: Starte tailscale netcheck um den NAT-Typ zu sehen. UDP-Port 41641 in der Firewall freigeben verbessert die Direktverbindungsrate.
• Gerät erscheint offline: Überprüfe ob der tailscaled-Dienst läuft: sudo systemctl status tailscaled
• DNS-Probleme mit MagicDNS: Deaktiviere MagicDNS temporär mit tailscale up --accept-dns=false um Konflikte mit bestehenden DNS-Konfigurationen auszuschließen.

Tailscale vs. WireGuard selbst hosten

Eine häufige Frage: Warum nicht WireGuard direkt einrichten, wenn es eh dasselbe Protokoll ist? Hier sind die Unterschiede:

• Tailscale: Keine Server-Konfiguration, funktioniert hinter NAT, kostenlos bis 100 Geräte, zentrale Verwaltung – aber Tailscale-Koordinationsserver ist nicht Open Source und man vertraut Tailscale für Key Management
• WireGuard selbst hosten: Volle Kontrolle, aber manuelle Konfiguration, statische IPs nötig, kein automatisches NAT-Traversal
• Headscale (Self-hosted Tailscale): Open-Source-Koordinationsserver als Alternative zu Tailscale Cloud – ideale Wahl für maximale Privatsphäre

Fazit: Tailscale für ein sicheres Heimnetzwerk

Tailscale ist die einfachste Methode, ein sicheres VPN zwischen all deinen Geräten aufzubauen. Die Installation dauert Minuten, und du benötigst keinerlei Netzwerk-Expertise. Für Homelab-Nutzer ist der Subnet Router besonders wertvoll – damit erreichst du alle Heimgeräte sicher von überall auf der Welt. Wer volle Kontrolle bevorzugt, kombiniert Headscale mit dem offiziellen Tailscale-Client und behält alle Metadaten im eigenen Rechenzentrum.

Wenn du mehr Kontrolle möchtest, lohnt sich ein Blick auf Wireguard VPN selbst einrichten – dazu gibt es ebenfalls einen ausführlichen Guide auf Lapalutschi.de.

*Affiliate-Hinweis: Dieser Artikel enthält Affiliate-Links. Wenn du über diese Links kaufst, erhalte ich eine kleine Provision – für dich entstehen keine Mehrkosten.