TAILSCALE MESH-VPN-ARCHITEKTUR Laptop 100.64.0.1 WireGuard Verbunden Linux-Server 100.64.0.2 Subnet-Router Verbunden Smartphone 100.64.0.3 WireGuard Verbunden Tailscale-Koordination Nur Schluesselaustausch Direkte Peer-to-Peer-WireGuard-Tunnel — kein zentrales Traffic-Relay

Die Einrichtung eines sicheren VPNs erforderte traditionell umfassende Netzwerkkenntnisse, Portweiterleitung, Schluesselverwaltung und staendige Wartung. Tailscale aendert das grundlegend. Auf WireGuard aufgebaut, erstellt Tailscale ein Mesh-VPN — genannt Tailnet — bei dem sich jedes Geraet direkt mit jedem anderen Geraet ueber verschluesselte Peer-to-Peer-Tunnel verbindet. Es gibt keinen Engpass durch einen zentralen Server, keine Ports die geoeffnet werden muessen und keine Zertifikate die verwaltet werden muessen. Du installierst den Client, authentifizierst dich, und deine Geraete koennen sicher miteinander kommunizieren — egal ob sie sich hinter NAT, Firewalls oder auf verschiedenen Kontinenten befinden.

Diese Anleitung behandelt alles von der Installation unter Linux, Windows und macOS bis hin zu erweiterten Funktionen wie Subnet-Routing, Exit-Nodes, Zugriffskontrolllisten (ACLs) und MagicDNS.

Was ist Tailscale?

Tailscale ist ein konfigurationsfreies Mesh-VPN, das intern WireGuard verwendet. Anstatt einen zentralen VPN-Server einzurichten, durch den der gesamte Datenverkehr fliesst, stellt Tailscale direkte, verschluesselte WireGuard-Tunnel zwischen deinen Geraeten her. Der Tailscale-Koordinationsserver kuemmert sich ausschliesslich um den Schluesselaustausch und die Geraeteauthentifizierung — er sieht deinen tatsaechlichen Datenverkehr nie.

Wichtige Eigenschaften von Tailscale:

  • Mesh-Topologie: Jedes Geraet verbindet sich direkt mit jedem anderen Geraet. Der Datenverkehr zwischen deinem Laptop und deinem Server laeuft nicht ueber einen zentralen Punkt.
  • WireGuard-basiert: Verwendet das WireGuard-Protokoll zur Verschluesselung und bietet moderne Kryptografie (ChaCha20, Curve25519) mit minimalem Overhead.
  • NAT-Traversal: Tailscale durchquert Firewalls und NAT automatisch mittels STUN, DERP-Relay-Servern und anderen Techniken. Keine Portweiterleitung noetig.
  • Identitaetsbasiert: Die Authentifizierung ist an deinen bestehenden Identitaetsanbieter (Google, Microsoft, GitHub) gebunden, nicht an manuell verwaltete Zertifikate oder vorgeteilte Schluessel.
  • 100.x.y.z-Adressen: Jedes Geraet erhaelt eine stabile Tailscale-IP im Bereich 100.64.0.0/10 (CGNAT-Adressraum), die sich nicht aendert, egal in welchem physischen Netzwerk sich das Geraet befindet.

Tailscale vs. herkoemmliche VPNs

Das Verstaendnis der Unterschiede zwischen Tailscale und herkoemmlichen VPN-Loesungen hilft dir zu erkennen, wann und warum du es einsetzen solltest:

MerkmalTailscaleHerkoemmliches VPN (OpenVPN/IPsec)Manuelles WireGuard
TopologieMesh (Peer-to-Peer)Hub-and-Spoke (zentraler Server)Punkt-zu-Punkt oder Hub
KonfigurationZero-ConfigKomplexe Server- + Client-EinrichtungManueller Schluesselaustausch
NAT-TraversalAutomatischErfordert PortweiterleitungErfordert Portweiterleitung
SchluesselverwaltungAutomatisch ueber KoordinationsserverManuelle PKI oder vorgeteilte SchluesselManuelle Schluesselpaare
IdentitaetSSO (Google, Microsoft, GitHub)Zertifikate oder AnmeldedatenVorgeteilte Schluessel
LeistungDirektes Peer-to-Peer, niedrige LatenzGesamter Verkehr ueber zentralen ServerDirekt, aber manuelle Einrichtung
SkalierbarkeitGeraet in Sekunden hinzufuegenServer fuer jeden Client neu konfigurierenKonfigurationen auf allen Peers bearbeiten
Mobile UnterstuetzungNative Apps (iOS, Android)Drittanbieter-ClientsDrittanbieter-Clients

Wann Tailscale die richtige Wahl ist: Wenn du ein VPN moechtest, das alle deine Geraete mit minimalem Aufwand verbindet, insbesondere ueber verschiedene Netzwerke und NAT-Umgebungen hinweg. Es ist ideal fuer den Fernzugriff auf Heimlabore, die Verbindung verteilter Teams oder die Erstellung eines privaten Overlay-Netzwerks ueber Cloud-Instanzen hinweg.

Wann manuelles WireGuard besser passt: Wenn du die volle Kontrolle ueber jeden Aspekt des VPNs benoetigt, in einer Air-Gap-Umgebung arbeitest oder Compliance-Anforderungen hast, die die Nutzung eines Drittanbieter-Koordinationsdienstes verbieten.

Voraussetzungen

Bevor du beginnst, stelle sicher, dass du Folgendes hast:

  • Ein Tailscale-Konto (kostenloser Tarif verfuegbar unter tailscale.com)
  • Mindestens zwei Geraete, die du verbinden moechtest (Linux, Windows, macOS, iOS oder Android)
  • Root- oder Sudo-Zugriff auf Linux-Servern
  • Administratorzugriff unter Windows (fuer die Installation)
  • Grundlegende Vertrautheit mit der Kommandozeile

Tailscale unter Linux installieren

Tailscale stellt offizielle Pakete fuer alle gaengigen Linux-Distributionen bereit. Die empfohlene Methode nutzt das offizielle Installationsskript.

Ubuntu / Debian

# Tailscale-Paketsignierschluessel und Repository hinzufuegen
curl -fsSL https://tailscale.com/install.sh | sh

Falls du das Repository lieber manuell hinzufuegen moechtest:

# Tailscale-GPG-Schluessel hinzufuegen
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/jammy.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null

# Tailscale-Repository hinzufuegen
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/jammy.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list

# Tailscale installieren
sudo apt update
sudo apt install -y tailscale

Fedora / RHEL / CentOS

# Tailscale-Repository hinzufuegen
sudo dnf config-manager --add-repo https://pkgs.tailscale.com/stable/fedora/tailscale.repo

# Tailscale installieren
sudo dnf install -y tailscale

# Daemon aktivieren und starten
sudo systemctl enable --now tailscaled

Arch Linux

sudo pacman -S tailscale
sudo systemctl enable --now tailscaled

Installation ueberpruefen

Nach der Installation auf einer beliebigen Distribution ueberpruefe, ob der Tailscale-Daemon laeuft:

# Status des tailscaled-Dienstes pruefen
sudo systemctl status tailscaled

# Pruefen, ob das Tailscale-CLI verfuegbar ist
tailscale version

Die Ausgabe sollte aehnlich wie folgt aussehen:

1.62.0
  tailscale commit: abcdef1234567890
  other commit: abcdef1234567890
  go version: go1.22.0

Installation unter Windows und macOS

Windows

  1. Lade den Installer von tailscale.com/download/windows herunter
  2. Fuehre den .msi-Installer aus
  3. Tailscale erscheint nach der Installation in der Taskleiste
  4. Klicke auf das Tailscale-Symbol und waehle Anmelden
  5. Authentifiziere dich im Browser mit deinem Identitaetsanbieter

Alternativ kannst du ueber die Kommandozeile mit winget installieren:

winget install Tailscale.Tailscale

macOS

Installiere ueber den Mac App Store oder mit Homebrew:

# Ueber Homebrew installieren
brew install --cask tailscale

Oder lade direkt von tailscale.com/download/mac herunter. Nach der Installation oeffne Tailscale aus dem Programme-Ordner, und es erscheint in der Menueleiste.

Docker

Fuer containerisierte Umgebungen stellt Tailscale ein offizielles Docker-Image bereit:

docker run -d \
  --name=tailscale \
  --hostname=my-container \
  --cap-add=NET_ADMIN \
  --cap-add=NET_RAW \
  -v /dev/net/tun:/dev/net/tun \
  -v tailscale-state:/var/lib/tailscale \
  -e TS_AUTHKEY=tskey-auth-xxxxxxxxxxxx \
  -e TS_STATE_DIR=/var/lib/tailscale \
  tailscale/tailscale:latest

Tipp: Verwende einen vorauthentifizierten Auth-Key (TS_AUTHKEY), um den manuellen Anmeldeschritt in Headless-Umgebungen zu umgehen. Auth-Keys kannst du in der Tailscale-Verwaltungskonsole unter Einstellungen > Schluessel generieren.

Geraete mit deinem Tailnet verbinden

Sobald Tailscale installiert ist, verbinde jedes Geraet mit deinem Tailnet:

Dein erstes Geraet authentifizieren

# Tailscale starten und authentifizieren
sudo tailscale up

Dieser Befehl gibt eine URL aus. Oeffne sie in deinem Browser, melde dich mit deinem Identitaetsanbieter an und autorisiere das Geraet. Nach der Authentifizierung tritt das Geraet deinem Tailnet bei und erhaelt eine Tailscale-IP-Adresse.

Verbindungsstatus pruefen

# Deine Tailscale-IP und den Verbindungsstatus anzeigen
tailscale status

Beispielausgabe:

100.64.0.1   laptop           user@example.com  linux   -
100.64.0.2   server           user@example.com  linux   -
100.64.0.3   phone            user@example.com  iOS     -

Konnektivitaet testen

Sobald zwei oder mehr Geraete verbunden sind, teste die Konnektivitaet:

# Ein anderes Geraet ueber seine Tailscale-IP anpingen
tailscale ping 100.64.0.2

# Oder ueber seinen MagicDNS-Namen
tailscale ping server

Der erste tailscale ping zeigt moeglicherweise Datenverkehr ueber ein DERP-Relay. Nachfolgende Pings stellen typischerweise eine direkte Peer-to-Peer-Verbindung her:

pong from server (100.64.0.2) via DERP(nyc) in 45ms
pong from server (100.64.0.2) via 203.0.113.50:41641 in 12ms
pong from server (100.64.0.2) via 203.0.113.50:41641 in 11ms

Hinweis: Das DERP-Relay wird nur verwendet, wenn keine direkte Verbindung hergestellt werden kann (selten). DERP steht fuer Designated Encrypted Relay for Packets und ist ein Fallback, nicht der Standardpfad.

Subnet-Routing

Subnet-Routing ermoeglicht es einem Tailscale-Knoten, als Gateway zu fungieren und anderen Knoten in deinem Tailnet Zugriff auf Geraete in einem lokalen Netzwerk zu geben, auf denen Tailscale nicht installiert ist.

Warum Subnet-Routing verwenden?

  • Zugriff auf Drucker, NAS-Geraete, IoT-Geraete oder andere Hardware, die Tailscale nicht ausfuehren kann
  • Ein komplettes Buero- oder Heim-LAN von jedem Geraet in deinem Tailnet erreichen
  • Die Installation von Tailscale auf jedem einzelnen Geraet in einem Netzwerk vermeiden

Subnet-Routing aktivieren

Auf dem Linux-Rechner, der als Subnet-Router dienen soll:

# IP-Forwarding aktivieren (erforderlich fuer Routing)
echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

# Das lokale Subnetz ankuendigen
sudo tailscale up --advertise-routes=192.168.1.0/24

Bei mehreren Subnetzen:

sudo tailscale up --advertise-routes=192.168.1.0/24,10.0.0.0/24

Route in der Verwaltungskonsole genehmigen

Subnet-Routen sind erst aktiv, nachdem ein Administrator sie genehmigt hat:

  1. Gehe zur Tailscale-Verwaltungskonsole
  2. Finde den Subnet-Router-Rechner
  3. Klicke auf das Drei-Punkte-Menue und waehle Routeneinstellungen bearbeiten
  4. Aktiviere die angekuendigten Routen

Subnet-Zugriff ueberpruefen

Von jedem anderen Geraet in deinem Tailnet:

# Ein Geraet im entfernten LAN anpingen (z.B. ein NAS unter 192.168.1.100)
ping 192.168.1.100

# SSH zu einem Geraet im entfernten LAN
ssh admin@192.168.1.50

Exit-Nodes

Ein Exit-Node leitet den gesamten Internetverkehr eines Geraets ueber ein anderes Geraet in deinem Tailnet. Das ist nuetzlich fuer:

  • Datenverkehr ueber ein Geraet an einem bestimmten geografischen Standort leiten
  • Die Internetverbindung eines vertrauenswuerdigen Netzwerks nutzen, wenn man sich in einem unsicheren WLAN befindet
  • Zugriff auf geobeschraenkte Inhalte ueber die eigene Heim-IP

Einen Exit-Node konfigurieren

Auf dem Geraet, das als Exit-Node dienen soll:

# Dieses Geraet als Exit-Node ankuendigen
sudo tailscale up --advertise-exit-node

Genehmige den Exit-Node in der Tailscale-Verwaltungskonsole, genau wie bei Subnet-Routen.

Einen Exit-Node verwenden

Auf dem Geraet, das den Datenverkehr ueber den Exit-Node leiten soll:

# Gesamten Datenverkehr ueber einen bestimmten Exit-Node leiten
sudo tailscale up --exit-node=server

# Oder die Tailscale-IP verwenden
sudo tailscale up --exit-node=100.64.0.2

Um die Nutzung des Exit-Nodes zu beenden:

sudo tailscale up --exit-node=

Pruefen, ob der Exit-Node funktioniert

# Deine oeffentliche IP pruefen -- sie sollte mit der oeffentlichen IP des Exit-Nodes uebereinstimmen
curl -s https://ifconfig.me

# Tailscale-Status fuer Exit-Node-Informationen pruefen
tailscale status

Wichtig: Bei Verwendung eines Exit-Nodes werden standardmaessig auch alle DNS-Abfragen ueber diesen Knoten geleitet. Das verhindert DNS-Leaks, bedeutet aber, dass die DNS-Aufloesegeschwindigkeit von der DNS-Konfiguration des Exit-Nodes abhaengt.

Zugriffskontrolllisten (ACLs)

Tailscale-ACLs legen fest, welche Geraete und Benutzer miteinander kommunizieren duerfen. Standardmaessig koennen alle Geraete in einem Tailnet alle anderen Geraete erreichen. ACLs ermoeglichen es dir, dies einzuschraenken.

ACL-Syntax verstehen

ACLs werden in der Tailscale-Verwaltungskonsole unter Zugriffskontrollen definiert. Die Richtliniendatei verwendet eine JSON-aehnliche Syntax namens HuJSON (Human JSON), die Kommentare unterstuetzt:

{
  // Allen Benutzern vollen Zugriff erlauben (Standard-Richtlinie)
  "acls": [
    {
      "action": "accept",
      "src": ["*"],
      "dst": ["*:*"]
    }
  ]
}

Beispiel einer restriktiven ACL

Eine praxisnaehere Richtlinie, die den Zugriff nach Rollen segmentiert:

{
  "groups": {
    "group:admin": ["user@example.com"],
    "group:developers": ["dev1@example.com", "dev2@example.com"]
  },
  "tagOwners": {
    "tag:server": ["group:admin"],
    "tag:database": ["group:admin"]
  },
  "acls": [
    // Administratoren koennen auf alles zugreifen
    {
      "action": "accept",
      "src": ["group:admin"],
      "dst": ["*:*"]
    },
    // Entwickler koennen auf Server ueber bestimmte Ports zugreifen
    {
      "action": "accept",
      "src": ["group:developers"],
      "dst": ["tag:server:80,443,22"]
    },
    // Nur Administratoren koennen auf Datenbanken zugreifen
    {
      "action": "accept",
      "src": ["group:admin"],
      "dst": ["tag:database:5432,3306"]
    },
    // Alle Benutzer koennen alle Geraete anpingen
    {
      "action": "accept",
      "src": ["*"],
      "dst": ["*:*"],
      "proto": "icmp"
    }
  ]
}

Tags auf Geraete anwenden

Tags werden beim Starten eines Geraets angewendet:

# Ein Geraet als Server taggen
sudo tailscale up --advertise-tags=tag:server

# Ein Geraet mit mehreren Tags versehen
sudo tailscale up --advertise-tags=tag:server,tag:database

Hinweis: Getaggte Geraete gehoeren dem Tag, nicht einem Benutzer. Das bedeutet, sie koennen nicht fuer interaktive Anmeldungen verwendet werden und sind ideal fuer Infrastrukturknoten.

ACL-Regeln testen

Nutze die ACL-Testfunktion in der Verwaltungskonsole, um deine Regeln vor der Anwendung zu ueberpruefen. Du kannst auch tailscale ping und tailscale netcheck verwenden, um die Konnektivitaet nach dem Anwenden der ACLs zu verifizieren.

MagicDNS und benutzerdefiniertes DNS

MagicDNS weist deinen Tailscale-Geraeten automatisch DNS-Namen zu, sodass du sie ueber den Namen statt ueber die IP-Adresse ansprechen kannst.

MagicDNS aktivieren

MagicDNS ist bei neuen Tailnets standardmaessig aktiviert. Falls es nicht aktiviert ist:

  1. Gehe zur Tailscale-Verwaltungskonsole
  2. Navigiere zu DNS
  3. Aktiviere MagicDNS

Mit aktiviertem MagicDNS kannst du Geraetenamen direkt verwenden:

# Statt:
ssh user@100.64.0.2

# Kannst du verwenden:
ssh user@server

# Oder den vollqualifizierten Namen:
ssh user@server.tailnet-name.ts.net

Benutzerdefinierte DNS-Nameserver hinzufuegen

Du kannst globale oder Split-DNS-Einstellungen in der Verwaltungskonsole konfigurieren:

# Globale Nameserver (fuer alle DNS-Abfragen verwendet)
# In der Verwaltungskonsole unter DNS > Nameserver konfigurieren

# Split-DNS (bestimmte Domains an bestimmte Nameserver weiterleiten)
# Beispiel: *.corp.example.com an deinen Unternehmens-DNS weiterleiten
# In der Verwaltungskonsole unter DNS > Nameserver > Split-DNS hinzufuegen

Split-DNS ist besonders nuetzlich in Kombination mit Subnet-Routing. Wenn du beispielsweise eine Route zu deinem Buero-LAN ankuendigst, kannst du auch Split-DNS konfigurieren, sodass Abfragen fuer *.office.local ueber den DNS-Server des Bueros aufgeloest werden.

Lokales DNS ueberschreiben

Um alle DNS-Abfragen ueber die in Tailscale konfigurierten Nameserver zu erzwingen:

sudo tailscale up --accept-dns=true

Um MagicDNS auf einem bestimmten Geraet zu deaktivieren:

sudo tailscale up --accept-dns=false

Knoten mit anderen Benutzern teilen

Tailscale ermoeglicht es dir, bestimmte Geraete mit Benutzern ausserhalb deines Tailnets zu teilen. Das ist nuetzlich, um einem Auftragnehmer Zugriff auf einen bestimmten Server zu geben, ohne ihn in dein gesamtes Netzwerk aufzunehmen.

Einen Knoten teilen

  1. Gehe zur Tailscale-Verwaltungskonsole
  2. Finde den Rechner, den du teilen moechtest
  3. Klicke auf das Drei-Punkte-Menue und waehle Teilen
  4. Gib die E-Mail-Adresse des externen Benutzers ein

Der geteilte Knoten erscheint im Tailnet des externen Benutzers, aber dieser kann nur auf dieses bestimmte Geraet zugreifen — nicht auf dein gesamtes Netzwerk.

Zugriff des externen Benutzers

Der externe Benutzer muss:

  1. Ein Tailscale-Konto haben
  2. Die Freigabe-Einladung annehmen
  3. Das geteilte Geraet erscheint in seiner tailscale status-Ausgabe
# Der externe Benutzer sieht das geteilte Geraet
tailscale status
# 100.64.0.50   shared-server    shared by user@example.com  linux

Tipp: Kombiniere das Teilen von Knoten mit ACLs, um einzuschraenken, auf welche Ports der externe Benutzer am geteilten Geraet zugreifen kann. Erlaube beispielsweise nur SSH (Port 22) und HTTP (Port 80).

Tailscale-Befehlsreferenz

BefehlBeschreibung
tailscale upMit deinem Tailnet verbinden und authentifizieren
tailscale downVom Tailnet trennen
tailscale statusVerbundene Geraete und ihre IPs anzeigen
tailscale ping <host>Ein Geraet anpingen und den Verbindungspfad anzeigen
tailscale netcheckEine Netzwerkdiagnose durchfuehren
tailscale ipDeine Tailscale-IP-Adressen anzeigen
tailscale dns statusAktuelle DNS-Konfiguration anzeigen
tailscale file send <Datei> <Host>Eine Datei per Taildrop an ein anderes Geraet senden
tailscale file get <Verzeichnis>Per Taildrop gesendete Dateien empfangen
tailscale ssh <Benutzer>@<Host>Per Tailscale SSH eine SSH-Verbindung herstellen
tailscale cert <Domain>Ein TLS-Zertifikat fuer eine Tailscale-Domain anfordern
tailscale logoutAbmelden und Geraet aus dem Tailnet entfernen
tailscale up --advertise-routes=<CIDR>Subnet-Routen ankuendigen
tailscale up --advertise-exit-nodeAls Exit-Node ankuendigen
tailscale up --exit-node=<Host>Einen bestimmten Exit-Node verwenden
tailscale up --advertise-tags=<Tags>ACL-Tags auf das Geraet anwenden
tailscale up --accept-dns=falseMagicDNS auf diesem Geraet deaktivieren
tailscale bugreportEinen Fehlerbericht zur Problemloesung erstellen

Fehlerbehebung

Geraet erscheint nicht in der Verwaltungskonsole

# Pruefen, ob der Daemon laeuft
sudo systemctl status tailscaled

# Authentifizierungsfehler in den Logs pruefen
sudo journalctl -u tailscaled --since "10 minutes ago"

# Erneute Authentifizierung erzwingen
sudo tailscale up --force-reauth

Andere Geraete nicht erreichbar

# Netzwerkdiagnose ausfuehren
tailscale netcheck

# Pruefen, ob die Verbindung direkt oder ueber Relay laeuft
tailscale ping <Geraetename>

# Pruefen, ob die Firewall Tailscale blockiert
sudo iptables -L -n | grep -i tailscale

# Pruefen, ob UDP-Port 41641 erreichbar ist (fuer direkte Verbindungen)
sudo ss -ulnp | grep tailscaled

Langsame Verbindungen (Relay-Datenverkehr)

Falls tailscale ping anzeigt, dass der Datenverkehr ueber ein DERP-Relay statt ueber eine direkte Verbindung laeuft:

# Netcheck ausfuehren, um NAT-Typ und Konnektivitaet zu sehen
tailscale netcheck

# Beispielausgabe mit moeglichen Problemen:
#   UDP: true
#   IPv4: yes, 203.0.113.50:41641
#   MappingVariesByDestAddr: false
#   PortMapping: UPnP
#   Nearest DERP: New York City

Haeufige Ursachen fuer Relay-Verbindungen:

  • Symmetrisches NAT auf einer oder beiden Seiten (MappingVariesByDestAddr: true)
  • Firewall blockiert UDP auf Port 41641
  • Unternehmens-Firewalls mit Deep Packet Inspection

Loesungen:

# Unter Linux sicherstellen, dass UDP nicht blockiert wird
sudo ufw allow 41641/udp

# Bei einer strikten Unternehmens-Firewall faellt Tailscale auf das DERP-Relay zurueck
# DERP ist verschluesselt und funktional, nur etwas langsamer

Subnet-Routen funktionieren nicht

# Pruefen, ob IP-Forwarding aktiviert ist
sysctl net.ipv4.ip_forward
# Sollte zurueckgeben: net.ipv4.ip_forward = 1

# Pruefen, ob die Routen angekuendigt werden
tailscale status --json | grep -A5 "AllowedIPs"

# Pruefen, ob die Routen in der Verwaltungskonsole genehmigt sind
# Nicht genehmigte Routen funktionieren nicht

MagicDNS loest nicht auf

# DNS-Status pruefen
tailscale dns status

# Pruefen, ob resolv.conf von Tailscale verwaltet wird
cat /etc/resolv.conf

# Bei Nutzung von systemd-resolved dessen Konfiguration pruefen
resolvectl status

# DNS-Aktualisierung erzwingen
sudo tailscale down && sudo tailscale up

Zusammenfassung

Tailscale verwandelt die Komplexitaet der VPN-Einrichtung in eine nahezu konfigurationsfreie Erfahrung. Durch den Aufbau auf den kryptografischen Grundlagen von WireGuard und die Ergaenzung um automatisches NAT-Traversal, identitaetsbasierte Authentifizierung und eine Mesh-Topologie ermoeglicht Tailscale die sichere Verbindung aller deiner Geraete in Minuten statt Stunden.

Zentrale Erkenntnisse aus dieser Anleitung:

  • Die Installation ist trivial: Ein Befehl zum Installieren, ein Befehl zum Verbinden
  • Mesh-Netzwerk eliminiert Engpaesse: Geraete kommunizieren direkt ohne zentralen Server
  • Subnet-Routing erweitert die Reichweite: Greife auf Geraete zu, die Tailscale nicht ausfuehren koennen, ueber einen Subnet-Router
  • Exit-Nodes bieten flexibles Traffic-Routing: Leite den gesamten Datenverkehr ueber ein beliebiges Geraet in deinem Tailnet
  • ACLs setzen das Least-Privilege-Prinzip durch: Kontrolliere granular, wer auf was zugreifen kann
  • MagicDNS vereinfacht die Adressierung: Verwende Geraetenamen statt IP-Adressen

Fuer verwandte Sicherheits- und Netzwerkanleitungen siehe unsere Artikel zum Einrichten eines WireGuard-VPN-Servers unter Ubuntu fuer die manuelle WireGuard-Konfiguration und zum SSH-Haertung fuer Linux-Server, um die SSH-Verbindungen zu deinen Tailscale-verbundenen Servern abzusichern.