Tailscale VPS Setup-Anleitung: Sicherer Zugriff ohne Konfiguration

Tailscale erstellt ein Mesh-VPN zwischen all Ihren Geräten — VPS, Laptop, Telefon, Heimserver. Keine Port-Weiterleitung, keine Firewall-Regeln, nur sicherer Zugriff überall.

Was ist Tailscale?

Tailscale ist ein Zero-Config-VPN, das auf WireGuard aufbaut:

Mesh-Netzwerk — Jedes Gerät verbindet sich direkt mit jedem anderen
Kein zentraler Server — Datenverkehr läuft direkt von Gerät zu Gerät
NAT-Durchdringung — Funktioniert hinter Firewalls/CGNAT
SSO-Integration — Anmeldung mit Google/Microsoft/GitHub
Kostenlose Stufe — 100 Geräte, 3 Benutzer

Stellen Sie es sich als privates Internet für Ihre Geräte vor.

Warum Tailscale auf einem VPS verwenden?

Ohne Tailscale

Ihr Laptop → Internet → VPS (Port 22 offen, Angriffen ausgesetzt)

Mit Tailscale

Ihr Laptop → Tailscale-Netzwerk → VPS (keine offenen Ports, verschlüsselt)

Vorteile:

Port 22 für das Internet schließen
VPS von überall ohne IP-Whitelisting aufrufen
VPS mit Heimnetzwerk-Ressourcen verbinden
Zugriff sicher mit Teammitgliedern teilen

Erste Schritte

Schritt 1: Tailscale-Konto erstellen

Gehen Sie zu tailscale.com
Registrieren Sie sich mit Google/Microsoft/GitHub
Sie erhalten ein einzigartiges Tailnet (z. B. ihrname.ts.net)

Schritt 2: Auf Ihrem Computer installieren

macOS:

brew install tailscale
tailscale up

Linux:

curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

Windows: Von tailscale.com/download herunterladen

Nach dem Ausführen von tailscale up im Browser autorisieren.

Schritt 3: Auf dem VPS installieren

Melden Sie sich wie gewohnt per SSH bei Ihrem VPS an (letzte Mal über die öffentliche IP):

ssh root@your-vps-ip

# Tailscale installieren
curl -fsSL https://tailscale.com/install.sh | sh

# Starten und authentifizieren
sudo tailscale up

Sie erhalten eine URL zur Autorisierung — öffnen Sie diese im Browser.

Schritt 4: Über Tailscale verbinden

Ihr VPS hat jetzt eine Tailscale-IP (wie 100.x.x.x):

# Tailscale-IP Ihres VPS finden
tailscale ip -4

# Von Ihrem Laptop aus per SSH über Tailscale verbinden
ssh root@100.x.x.x

Funktioniert von überall — Café, Hotel, Telefon-Hotspot.

Ihren VPS absichern

Jetzt, da Tailscale funktioniert, schließen Sie den öffentlichen SSH-Zugang (Teil der guten VPS-Sicherheitspraxis):

# Auf Ihrem VPS (über die Tailscale-Verbindung!)
sudo ufw deny 22/tcp

# Oder die Regel vollständig löschen
sudo ufw delete allow 22/tcp

# Überprüfen
sudo ufw status

Port 22 ist jetzt für das Internet geschlossen. Nur Tailscale-Verbindungen funktionieren.

MagicDNS verwenden

Aktivieren Sie MagicDNS in der Tailscale-Administrationskonsole für freundliche Namen:

# Statt:
ssh root@100.64.0.2

# Verwenden:
ssh root@my-vps
# oder
ssh root@my-vps.yourname.ts.net

Viel einfacher zu merken.

Exit-Node: Datenverkehr über VPS leiten

Machen Sie Ihren VPS zu einem VPN-Exit-Node:

# Auf dem VPS
sudo tailscale up --advertise-exit-node

In der Administrationskonsole genehmigen, dann auf Ihrem Laptop:

# Den gesamten Datenverkehr über den VPS leiten
tailscale up --exit-node=my-vps

# Exit-Node nicht mehr verwenden
tailscale up --exit-node=

Jetzt wird Ihr gesamter Internetverkehr über die VPS-IP geleitet. Nützlich für:

Umgehung von Geo-Beschränkungen
Konsistente IP für Dienste mit Whitelisting
Datenschutz in öffentlichen WLAN-Netzwerken

Subnet-Router: Zugriff auf das Heimnetzwerk

Greifen Sie vom VPS aus auf Ihr Heim-LAN zu (oder umgekehrt):

# Auf dem Heimserver
sudo tailscale up --advertise-routes=192.168.1.0/24

Routen in der Administrationskonsole genehmigen. Jetzt kann Ihr VPS 192.168.1.x-Geräte erreichen.

Anwendungsfälle:

VPS greift auf Heim-NAS zu
Heimautomatisierung von überall
VPS auf Heimspeicher sichern

SSH-Konfiguration

Zur ~/.ssh/config für mehr Komfort hinzufügen:

Host vps
    HostName my-vps.yourname.ts.net
    User root

Host vps-direct
    HostName 100.64.0.2
    User root

Jetzt einfach: ssh vps

Tailscale + Docker

Damit Docker-Container Tailscale nutzen können:

Option 1: Host-Netzwerk

Container nutzt Tailscale des Hosts:

services:
  app:
    network_mode: host

Option 2: Tailscale-Sidecar

Container erhält eine eigene Tailscale-Identität:

services:
  tailscale:
    image: tailscale/tailscale
    hostname: my-service
    environment:
      - TS_AUTHKEY=tskey-xxxxx
      - TS_STATE_DIR=/var/lib/tailscale
    volumes:
      - tailscale-state:/var/lib/tailscale
    cap_add:
      - NET_ADMIN
      - SYS_MODULE

  app:
    network_mode: service:tailscale
    depends_on:
      - tailscale

volumes:
  tailscale-state:

Auth-Key in der Administrationskonsole generieren → Einstellungen → Schlüssel.

Tailscale SSH

Tailscale kann die SSH-Authentifizierung vollständig übernehmen:

# Auf dem VPS
sudo tailscale up --ssh

Jetzt funktioniert SSH mit Tailscale-Authentifizierung — keine SSH-Schlüssel erforderlich:

ssh my-vps
# Authentifizierung über Tailscale-Identität

Berechtigungen in der Administrationskonsole konfigurieren → Zugriffssteuerung.

Zugriff mit dem Team teilen

ACL-Beispiel

{
  "acls": [
    {
      "action": "accept",
      "src": ["group:devs"],
      "dst": ["tag:servers:*"]
    }
  ],
  "tagOwners": {
    "tag:servers": ["admin@company.com"]
  },
  "groups": {
    "group:devs": ["dev1@company.com", "dev2@company.com"]
  }
}

Ihren VPS taggen:

sudo tailscale up --advertise-tags=tag:servers

Jetzt kann nur group:devs auf getaggte Server zugreifen.

Funnel: Dienste öffentlich zugänglich machen

Tailscale Funnel macht Dienste über das Tailscale-Netzwerk im Internet verfügbar:

# Lokalen Port 8080 öffentlich zugänglich machen
tailscale funnel 8080

Sie erhalten eine URL wie https://my-vps.yourname.ts.net/

Vorteile:

Keine Port-Weiterleitung erforderlich
Automatisches HTTPS
Funktioniert hinter CGNAT

Nachteile:

Datenverkehr wird über Tailscale geleitet
Begrenzte Bandbreite in der kostenlosen Stufe
Nur HTTPS (Ports 443, 8443, 10000)

Beste VPS für Tailscale

Tailscale selbst ist leichtgewichtig (<50 MB RAM), aber Ihre Workloads variieren:

Anbieter	Plan	Preis	Am besten für
Hetzner	CX11	€3,79/Mo	Nur Exit-Node
Hostinger	KVM1	$4,99/Mo	Allgemeine Nutzung
Vultr	VC2	$6/Mo	Mehrere Regionen

Für Exit-Nodes an mehreren Standorten sind Vultrs 32 Regionen ideal.

Überwachung & Fehlerbehebung

Status prüfen

tailscale status
# Zeigt alle Geräte in Ihrem Tailnet an

tailscale netcheck
# Testet Konnektivität, DERP-Relays usw.

tailscale ping my-vps
# Direkter Verbindungstest

Häufige Probleme

Keine Verbindung nach Neustart:

sudo systemctl enable tailscaled
sudo systemctl start tailscaled
sudo tailscale up

Datenverkehr wird über Relay geleitet (langsam):

# Prüfen ob direkte Verbindung möglich ist
tailscale ping -c 5 my-vps
# "via DERP" bedeutet Relay, "pong from" bedeutet direkt

Direkte Verbindung erfordert:

UDP-Port 41641 ausgehend (normalerweise offen)
Oder beide Geräte im gleichen Netzwerk

Gerät in der Administrationskonsole offline:

# Auf dem Gerät
tailscale status
sudo tailscale up

Erweitert: Headscale (selbst gehostet)

Möchten Sie den Koordinationsserver von Tailscale nicht verwenden? Betreiben Sie Headscale:

docker run -d \
  -p 8080:8080 \
  -v headscale-data:/var/lib/headscale \
  headscale/headscale

Dann Clients verbinden:

tailscale up --login-server=https://your-headscale-server

Abwägungen:

Vollständige Kontrolle
Kein Tailscale-Konto erforderlich
Aber: Kein MagicDNS, Funnel oder Administrationskonsole

Für die meisten Benutzer ist Tailscales kostenlose Stufe ausreichend.

Sicherheits-Best-Practices

1. ACLs verwenden

Verwenden Sie nicht das Standard-„Alles erlauben”. Definieren Sie explizite Berechtigungen:

{"acls": [{"action": "accept", "src": ["*"], "dst": ["*:22,443"]}]}

2. Schlüsselablauf aktivieren

In der Administrationskonsole den Ablauf von Geräteschlüsseln festlegen (z. B. 90 Tage). Erzwingt erneute Authentifizierung.

3. Tags verwenden

Server taggen und tag-basierte ACLs verwenden. Einfacher zu verwalten als einzelne Geräte.

4. MFA bei SSO

Ihr Tailscale-Konto erbt die SSO-Sicherheit. MFA bei Google/GitHub aktivieren.

5. Audit-Logs

Audit-Logs in der Administrationskonsole aktivieren. Zugriffsmuster überprüfen.

FAQ

Ist Tailscale kostenlos?

Ja, die kostenlose Stufe umfasst 100 Geräte und 3 Benutzer. Mehr als genug für den persönlichen Gebrauch.

Ist Tailscale sicher?

Ja. WireGuard-Verschlüsselung, Ende-zu-Ende. Tailscale kann Ihren Datenverkehr nicht einsehen (nur Koordination).

Verlangsamt Tailscale Verbindungen?

Normalerweise nicht — direkte Verbindungen haben WireGuard-Geschwindigkeit. Weitergeleitete Verbindungen (DERP) sind langsamer, aber selten.

Kann ich Tailscale und reguläres SSH verwenden?

Ja. Port 22 für Backup-Zugriff offen lassen oder Tailscale ausschließlich nutzen.

Tailscale vs. WireGuard?

Tailscale verwendet WireGuard im Hintergrund. Tailscale fügt hinzu: Zero-Config, SSO, ACLs, NAT-Traversal.

Zusammenfassung

Tailscale verändert den VPS-Zugriff grundlegend:

Vorher	Nachher
Port 22 für das Internet offen	Keine offenen Ports
IP-Whitelist-Verwaltung	Zugriff von überall
SSH-Schlüssel überall	SSO-Authentifizierung
Komplexes VPN-Setup	Ein-Befehl-Installation

Die Einrichtung dauert 5 Minuten. Port 22 für immer schließen.

Schnellstart:

# Auf dem VPS
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up

# Öffentlichen SSH schließen
sudo ufw deny 22/tcp

Das war’s. Sicherer VPS-Zugriff von überall.

// last updated: February 8, 2026. Disclosure: This article may contain affiliate links.

Tailscale VPS Setup-Anleitung 2026: Sicherer Zugriff ohne Port-Weiterleitung