Tailscale: VPN fuer dein Homelab in 5 Minuten 🔒

Tailscale ist ein Zero-Config VPN auf Basis von WireGuard. Du verbindest deine Geraete in Minuten miteinander, ohne Portfreigaben, ohne komplizierte Firewall-Regeln. Perfekt fuers Homelab.

Was ist Tailscale? 🤔

Stell dir vor, du koenntest all deine Geraete, egal ob zuhause, im Buero oder unterwegs, in ein privates Netzwerk packen, ohne einen einzigen Port zu oeffnen. Genau das macht Tailscale. Es baut ein sogenanntes Mesh-VPN auf, bei dem jedes Geraet direkt mit jedem anderen kommunizieren kann.

Im Gegensatz zu klassischen VPNs wie OpenVPN brauchst du keinen zentralen Server. Tailscale nutzt unter der Haube WireGuard, eines der schnellsten und sichersten VPN-Protokolle ueberhaupt. Die Verbindungen werden Peer-to-Peer aufgebaut, was fuer minimale Latenz sorgt.

Tailscale | Secure Connectivity for AI, IoT & Multi-Cloud

The connectivity platform for devs, IT, and security teams. Zero Trust identity-based access that deploys in minutes.

Tailscale

WireGuard unter der Haube ⚙️

WireGuard ist das Fundament von Tailscale. Es ist ein modernes VPN-Protokoll mit nur ~4.000 Zeilen Code (OpenVPN hat ueber 100.000). Das bedeutet:

• Weniger Angriffsflaeche, einfacher zu auditieren
• Blitzschnelle Verbindungen, Handshake in Millisekunden
• Geringer Overhead, perfekt fuer Raspberry Pi & Co.

Tailscale uebernimmt dabei den ganzen nervigen Teil: Schluesselaustausch, NAT-Traversal und Koordination der Peers. Du musst dich um nichts kuemmern.

Installation in 5 Minuten 🚀

Die Installation ist unkompliziert. Hier die Schritte fuer die gaengigsten Plattformen:

Linux (Debian/Ubuntu)

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Docker

services:
  tailscale:
    image: tailscale/tailscale:latest
    container_name: tailscale
    hostname: mein-server
    environment:
      - TS_AUTHKEY=tskey-auth-xxxxx
      - TS_STATE_DIR=/var/lib/tailscale
    volumes:
      - ./tailscale-state:/var/lib/tailscale
      - /dev/net/tun:/dev/net/tun
    cap_add:
      - net_admin
      - sys_module
    restart: unless-stopped

Windows / macOS / iOS / Android

Einfach die App aus dem jeweiligen Store herunterladen, anmelden, fertig. Tailscale unterstuetzt alle gaengigen Plattformen.

Tailscale Documentation

Learn how to set up and use Tailscale for secure networking.

Tailscale

Geraete verbinden 🔗

Nach der Installation meldest du dich mit deinem Google-, Microsoft- oder GitHub-Konto an. Jedes Geraet bekommt eine stabile IP-Adresse im Bereich 100.x.y.z. Diese aendert sich nicht, egal wo du bist.

# Status aller verbundenen Geraete anzeigen
tailscale status

# Ergebnis sieht etwa so aus:
# 100.64.0.1   mein-laptop    user@github   linux   active
# 100.64.0.2   homeserver     user@github   linux   active
# 100.64.0.3   handy          user@github   android active

Ab jetzt kannst du z.B. per SSH direkt auf deinen Homeserver zugreifen, egal ob du im Cafe oder im Zug sitzt:

ssh user@homeserver  # MagicDNS macht's moeglich!

MagicDNS 🪄

MagicDNS ist eines der Killer-Features von Tailscale. Statt dir IP-Adressen merken zu muessen, verwendest du einfach die Hostnamen deiner Geraete. Tailscale kuemmert sich automatisch um die DNS-Aufloesung innerhalb deines Netzwerks.

Du kannst sogar einen eigenen DNS-Server (z.B. Pi-hole oder AdGuard Home) in deinem Tailnet konfigurieren, sodass alle Geraete automatisch Werbung blockieren.

Funnel & Serve 🌐

Mit Tailscale Serve kannst du einen lokalen Dienst fuer andere Geraete in deinem Tailnet freigeben:

# Lokalen Port 3000 im Tailnet freigeben
tailscale serve 3000

Mit Tailscale Funnel gehst du noch einen Schritt weiter und machst einen Dienst oeffentlich im Internet erreichbar, mit automatischem HTTPS-Zertifikat:

# Dienst oeffentlich erreichbar machen
tailscale funnel 3000

Perfekt, um z.B. schnell eine Demo zu zeigen oder einen Webhook zu testen, ohne Portforwarding oder Reverse-Proxy einrichten zu muessen.

Traefik + CrowdSec: Dein Homelab gegen Angriffe absichern 🛡️

Traefik und CrowdSec schützen dein Homelab vor Angriffen und unerwünschtem Traffic.

disane.dev

Access Control Lists (ACLs) 🔐

Tailscale bietet feingranulare Zugriffssteuerung ueber ACLs. Du definierst in einer einfachen JSON-Datei, welche Geraete oder Nutzer auf welche Dienste zugreifen duerfen:

{
  "acls": [
    {
      "action": "accept",
      "src": ["group:admins"],
      "dst": ["*:*"]
    },
    {
      "action": "accept",
      "src": ["group:freunde"],
      "dst": ["homeserver:80,443"]
    }
  ],
  "groups": {
    "group:admins": ["user@github"],
    "group:freunde": ["freund@github"]
  }
}

So kannst du z.B. Freunden Zugriff auf deinen Jellyfin-Server geben, ohne dass sie an deine anderen Dienste kommen.

Exit Nodes 🚪

Ein Exit Node leitet deinen gesamten Internetverkehr ueber ein anderes Geraet in deinem Tailnet. Das ist nuetzlich, wenn du:

• In einem unsicheren WLAN surfst und deinen Traffic schuetzen willst
• Von unterwegs so surfen moechtest, als waerst du zuhause
• Geo-Beschraenkungen umgehen willst

# Auf dem Homeserver: Als Exit Node anbieten
sudo tailscale up --advertise-exit-node

# Auf dem Laptop: Exit Node nutzen
sudo tailscale up --exit-node=homeserver

Subnet Routing 📡

Nicht jedes Geraet in deinem Heimnetz kann Tailscale installieren (z.B. IoT-Geraete, Drucker, NAS). Mit Subnet Routing machst du dein gesamtes lokales Netz ueber Tailscale erreichbar:

# Auf dem Geraet im lokalen Netz (z.B. Homeserver):
sudo tailscale up --advertise-routes=192.168.1.0/24

Danach musst du die Route noch im Tailscale Admin-Panel genehmigen. Anschliessend kannst du von ueberall auf Geraete wie 192.168.1.50 (z.B. deinen Drucker) zugreifen.

Proxmox vs. Unraid: Welches System für deinen Homeserver? ⚖️

Ein Vergleich der beiden beliebtesten Homeserver-Betriebssysteme.

disane.dev

Mit Freunden teilen 🤝

Tailscale macht es einfach, einzelne Geraete mit anderen zu teilen. Ueber die Sharing-Funktion im Admin-Panel kannst du:

• Einzelne Nodes fuer andere Tailscale-Nutzer freigeben
• Den Zugriff per ACLs auf bestimmte Ports beschraenken
• Jederzeit den Zugriff wieder entziehen

So kannst du deinem Kumpel Zugriff auf deinen Minecraft-Server geben, ohne dein ganzes Netzwerk offenzulegen.

Self-Hosted mit Headscale 🏠

Du willst die volle Kontrolle? Dann schau dir Headscale an, eine Open-Source-Implementierung des Tailscale Coordination Servers. Damit laeuft alles auf deiner eigenen Infrastruktur.

services:
  headscale:
    image: headscale/headscale:latest
    container_name: headscale
    volumes:
      - ./headscale-config:/etc/headscale
      - ./headscale-data:/var/lib/headscale
    ports:
      - "8080:8080"
      - "9090:9090"
    command: serve
    restart: unless-stopped

Die Clients verbinden sich dann mit deinem eigenen Server statt mit den Tailscale-Servern. Du behaeltst die volle Datenkontrolle, perfekt fuer Privacy-Enthusiasten.

Fazit 🎯

Tailscale ist eines der Tools, bei denen man sich fragt: Warum habe ich das nicht frueher benutzt? Die Kombination aus WireGuard-Performance, Zero-Config-Setup und dem grosszuegigen kostenlosen Plan macht es zum perfekten Begleiter fuers Homelab.

Ob du einfach nur sicher auf deinen Homeserver zugreifen, dein ganzes Subnetz von unterwegs erreichen oder Dienste mit Freunden teilen willst, Tailscale macht es moeglich, ohne dass du Netzwerk-Experte sein musst.