Tailscale
Tailscale ist ein Mesh-VPN auf Basis von WireGuard, das Geräte und Dienste über ein verschlüsseltes Peer-to-Peer-Netz direkt verbindet und die Schlüsselverteilung über eine zentrale Steuerungsebene koordiniert.
Direkte verschlüsselte Verbindungen ohne zentralen Tunnel-Engpass
Klassische VPNs leiten den gesamten Verkehr durch einen zentralen Konzentrator. Tailscale verfolgt einen anderen Ansatz: Es baut ein Overlay-Netz auf, in dem die Knoten direkt miteinander sprechen. Die eigentliche Datenebene basiert auf WireGuard, einem schlanken und schnellen VPN-Protokoll, dessen Kernkomponenten unter der GPLv2 stehen. Der Datenverkehr ist Ende-zu-Ende verschlüsselt und fliesst, wo immer möglich, direkt zwischen den beteiligten Geräten, nicht über die Server des Anbieters. Damit verbindet Tailscale verteilte Standorte, Cloud-Ressourcen und einzelne Arbeitsgeräte so, als befänden sie sich im selben lokalen Netz.
Steuerungsebene und Datenebene sind getrennt
Tailscale trennt die Steuerung vom Datenverkehr. Eine zentrale Steuerungsebene, der Koordinationsserver, verteilt die öffentlichen Schlüssel der Knoten und vermittelt deren Erreichbarkeit. Sie trägt selbst nahezu keinen Nutzdatenverkehr: Die privaten Schlüssel verlassen das jeweilige Gerät nie, sodass nur die beiden kommunizierenden Knoten den Verkehr ver- und entschlüsseln können. Für die Verbindungsaufnahme hinter Firewalls und NAT nutzt Tailscale Verfahren zur NAT-Traversierung. Gelingt keine direkte Verbindung, vermitteln sogenannte DERP-Relays die verschlüsselten Pakete weiter, ohne sie entschlüsseln zu können.
Offene und proprietäre Komponenten im Zusammenspiel
Tailscale ist kein durchgängig quelloffenes Produkt, sondern kombiniert offene und proprietäre Bausteine. Der Client, also der Daemon und das Kommandozeilenwerkzeug, ist quelloffen und steht unter der BSD-3-Clause-Lizenz; auch die DERP-Relay-Server sind offen. Der Koordinationsserver hingegen ist proprietär und wird vom Anbieter als gehosteter Dienst betrieben. Wer die Steuerungsebene selbst betreiben möchte, kann auf Headscale zurückgreifen, eine quelloffene, eigenständig betreibbare Implementierung des Koordinationsservers unter der BSD-3-Clause-Lizenz. Headscale ist ein Community-Projekt und nicht mit Tailscale Inc. verbunden, auch wenn ein Maintainer beim Anbieter beschäftigt ist.
Einordnung im Netzwerk
Tailscale gehört zur Klasse der identitätsbasierten Overlay-Netze und lässt sich als Baustein einer Zero-Trust-Architektur einsetzen, in der jeder Zugriff explizit autorisiert wird statt aufgrund der Netzwerkposition. Im Markt steht der Dienst neben Alternativen wie NetBird, die ebenfalls ein WireGuard-basiertes Mesh aufbauen. Wer eine vollständig selbst betriebene Steuerungsebene benötigt, kombiniert den offenen Tailscale-Client mit Headscale oder wählt eine Lösung mit quelloffenem Server.
Referenzen
- Tailscale Open Source at Tailscale. Welche Teile offen sind und welche nicht. (2026). tailscale.com/opensource
- Tailscale How Tailscale Works. Architektur aus Steuerungsebene, WireGuard-Datenebene und DERP-Relays. (2020). tailscale.com/blog/how-tailscale-works
- Headscale Headscale. Quelloffene, selbst betreibbare Implementierung des Koordinationsservers. (2026). github.com/juanfont/headscale
- WireGuard WireGuard Fast, Modern, Secure VPN Tunnel. Das VPN-Protokoll der Datenebene. (2026). www.wireguard.com/
Verwandte Themen
- Zero Trust, der Zugriffskontext für Tailscale.
- Security-Strategie, der Sicherheitsrahmen für Tailscale.
- Compliance, der Kontrollrahmen für Tailscale.
KI fragen
Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.