Tailscale: Mesh-VPN-Marktführer für die private Cloud

Mesh-VPNs lösen das alte Concentrator-Modell ab. Wer in dieses Feld eintritt, kommt an einem Namen nicht vorbei: Tailscale.

Der Dienst ist seit Jahren der UX-Goldstandard im Mesh-VPN-Segment. Über 5 Millionen aktive Nutzer monatlich, BSD-3-lizenzierte Clients, MagicDNS und eine der reibungsärmsten Onboarding-Erfahrungen am Markt sprechen für sich.

Wir haben Tailscale in derselben Lab-Umgebung evaluiert, in der wir auch NetBird getestet haben. Diesmal mit zwei Brillen: einmal als reines Produkt, einmal entlang der EU-Souveränitäts-Achse, die in dieser Serie der rote Faden ist.

Stand Mai 2026, evaluiert auf Tailscale Cloud mit Standard- und Premium-Funktionen.

Update (Juni 2026): Nach der Veröffentlichung hat sich Tailscales Head of Corporate Communications, Will Moore, mit faktischen Korrekturen bei uns gemeldet, die wir unten eingearbeitet haben. Die wichtigste: Tailscales Control-Plane läuft standardmäßig in der EU (Frankfurt), nicht in den USA, wie wir ursprünglich angenommen hatten. Eine US-gehostete Control-Plane gibt es nur auf Anfrage. Zum Zeitpunkt des Schreibens war das nicht öffentlich dokumentiert; Tailscale hat es uns direkt mitgeteilt und angekündigt, dass offizielle Dokumentation folgt. Sie können das aktuelle Routing selbst überprüfen (siehe Selbst überprüfen weiter unten). Außerdem haben wir Tailscales Kundenzahlen korrigiert.

Was Tailscale ist

Tailscale ist ein WireGuard-basiertes Peer-to-Peer-Mesh mit gehosteter Control-Plane. Die Idee: WireGuard ist großartig, aber die Schlüsselverteilung und Authentifizierung sind schmerzhaft, also liefert Tailscale genau diese Schicht als verwalteten Dienst.

Drei Eigenschaften prägen das Profil:

• Made in Toronto: Die Firma wurde 2019 von Avery Pennarun, David Crawshaw, David Carney und Brad Fitzpatrick gegründet, alle mit Google-Hintergrund. Hauptsitz in Toronto, Kanada, das Team arbeitet remote-first.
• Marktdurchdringung: Rund 5 Millionen aktive Nutzer pro Monat, über 30.000 Business-Kunden sowie Millionen kostenlose Nutzer, ungefähr 290 Mitarbeitende, 2026 Webby-Award-Gewinner in „Developer Tools & APIs".
• Hybrider Lizenz-Mix: Clients sind BSD-3-Open-Source auf GitHub, die Control-Plane (Coordination Server) ist proprietär und nicht offiziell self-hostbar.

Diese letzte Eigenschaft ist der zentrale Unterschied zu NetBird und auch der Grund, warum es mit Headscale (Post 3) eine Community-Reimplementierung der Control-Plane gibt.

Architektur in einem Bild

Fünf Punkte erklären den Aufbau ohne Diagramm:

• Clients verbinden sich direkt peer-to-peer via WireGuard, sobald sie sich gegenseitig erreichen können.
• Der Coordination Server (Control-Plane) verwaltet Identitäten, ACLs, Routen und verteilt öffentliche Schlüssel.
• DERP-Relays dienen als TURN-Äquivalent, wenn eine direkte P2P-Verbindung scheitert. Tailscale betreibt ein globales DERP-Netz inklusive Standorten in Europa.
• MagicDNS verteilt sprechende Hostnamen automatisch im Tailnet, ohne dass Sie ein eigenes DNS aufsetzen müssen.
• Tailnet Lock kann optional aktiviert werden und schützt kryptografisch gegen eine kompromittierte Control-Plane (mehr dazu im Sicherheitsabschnitt).

Wichtig: Der Coordination Server läuft standardmäßig auf AWS-Linux-Hosts in der EU (Frankfurt), mit Metadaten in SQLite und Backups auf S3. Eine US-gehostete Control-Plane ist auf Anfrage verfügbar, für Kunden, die das ausdrücklich wünschen.

Features, die den Unterschied machen

Was Tailscale von einem nackten WireGuard-Setup oder einer reinen Mesh-Implementierung abhebt, sind die produktreifen Features rundherum:

• MagicDNS: Hostnamen wie db.tailnet-name.ts.net werden automatisch im gesamten Tailnet aufgelöst, ohne dass Sie ein eigenes DNS oder eine Hosts-Datei pflegen müssen.
• Tailscale SSH: SSH-Verbindungen werden über die Tailnet-ACLs autorisiert, ohne separate SSH-Keys oder Bastion-Hosts. Authentifizierung läuft über Ihren IdP, optional mit Re-Auth bei jedem Login.
• Funnel: Ein interner Dienst im Tailnet kann punktuell und TLS-terminiert ins öffentliche Internet exponiert werden, ohne eigenen Reverse-Proxy oder Public-IP.
• Serve: Das Gegenstück für rein interne Exposition, etwa um einen Dev-Server für Kollegen zugänglich zu machen, ohne Public-Exposure.
• Subnet Router und Exit Nodes: Der klassische VPN-Use-Case bleibt möglich. Ein Knoten kann ganze Subnetze in das Tailnet hineinrouten oder als Internet-Exit-Node fungieren.
• Tailnet Lock: Neue Knoten werden nur akzeptiert, wenn sie von im Tailnet vorhandenen Signing-Keys (TKA, Tailnet Key Authority) signiert sind. Selbst eine kompromittierte Control-Plane kann so keine bösartigen Knoten einschleusen.

Tailnet Lock ist der ehrlichste Sicherheits-Move des Produkts: Tailscale nimmt sich selbst als möglichen Angreifer in das Bedrohungsmodell mit auf.

Identity-Provider und SSO

Tailscale ist konsequent IdP-getrieben. Ein Sign-up mit Email und Passwort gibt es nicht, jeder Account hängt an einem externen Identity-Provider. Nativ unterstützt werden:

Für reife Enterprise-Setups ist das angenehm, weil SSO und MFA über den vorhandenen IdP laufen. Für sehr kleine Bastler-Setups kann die Pflicht zu einem externen IdP eine Hürde sein, gerade wenn keine Workspace- oder Microsoft-Lizenz vorhanden ist.

Self-Hosting der Control-Plane sieht Tailscale offiziell nicht vor. Wer das braucht, ist bei Headscale richtig, das wir im nächsten Post dieser Serie betrachten.

Cloud-Tarife: Was zahlt man wann?

Tailscale hat sein Preismodell 2025/2026 vereinfacht. Diese Tarife sind aktiv:

Wichtiger Hinweis: Bestandskunden auf den älteren Personal+-, Starter- oder Business-Tarifen bleiben vorerst auf ihren bisherigen Konditionen. Wer 2026 neu einsteigt, startet aber im aktuellen Modell mit den oben gelisteten Tiers.

Zwei Beobachtungen für den Praxisvergleich: Tailscale rechnet pro User ab, nicht pro aktivem User wie NetBird. Devices sind dabei unlimited, was in geräteintensiven Szenarien (Server-Farmen, IoT) günstiger sein kann. Pro User liegt Standard mit $8 allerdings spürbar über NetBird Team mit $5, was sich bei größeren Teams summiert.

Clients und Alltagskomfort

Die Plattform-Abdeckung ist breit: Linux, Windows, macOS, iOS, Android, dazu NixOS, Synology, FreeBSD, Docker und Router-Integrationen (OPNsense, pfSense per Add-on).

Was wir in der Evaluation positiv festgehalten haben:

• Setup-Zeit: Erstes Tailnet stand bei uns in unter zwei Minuten, von Browser-Login bis zur ersten Verbindung. Das ist die Latte für das gesamte Genre.
• Mobile-Apps: Sowohl iOS- als auch Android-Client sind poliert, Quick-Connect funktioniert, MagicDNS ist sofort aktiv.
• Auto-Updates: Auf allen Desktop-Plattformen aktivierbar, was den klassischen VPN-Rollout-Aufwand auf nahezu Null reduziert.
• Admin-UI: Das Web-Dashboard ist die ausgereifteste Admin-Oberfläche, die wir im Segment gesehen haben, inklusive Live-View des Tailnets, ACL-Editor mit JSON-Schema und Audit-Logs.

Wenn ein Produkt das ganze Genre prägt, dann ist es hier. Tailscale ist die Referenz, an der sich andere messen lassen müssen.

EU-Souveränität: ehrlich eingeordnet

In dieser Serie ist EU-Souveränität der rote Faden, und Tailscale verdient an dieser Stelle eine ehrliche Bestandsaufnahme. Ohne Bashing, aber ohne die Lücken zu beschönigen:

• Hauptsitz Toronto, Kanada. Nicht US, aber Kanada ist Mitglied der Five-Eyes-Allianz und unterliegt keiner EU-Jurisdiktion.
• Control-Plane standardmäßig auf AWS in der EU (Frankfurt). Verbindungs-Metadaten werden in der EU verarbeitet; eine US-gehostete Control-Plane gibt es nur auf Anfrage.
• Closed-Source-Control-Plane. Audit nur eingeschränkt möglich. Tailscale veröffentlicht regelmäßig Security-Updates, externe Audit-Berichte sind unter NDA für Prospects einsehbar.
• Zertifizierungen: SOC 2 Type II ja, ISO 27001 und DORA nicht aktiv ausgewiesen. GDPR-Prozesse sind dokumentiert, aber die Architektur ist nicht „EU-first".
• Tailnet Lock mildert das Vertrauen in die Control-Plane zusätzlich kryptografisch.

Die verbleibenden Souveränitäts-Caveats sind die Jurisdiktion des Anbieters (Toronto, Five Eyes) und die Closed-Source-Control-Plane.

Wichtiger Hinweis: Für NIS2- und DORA-Kontexte empfehlen wir weiterhin eine ergänzende Sourcing-Bewertung vor dem Einsatz von Tailscale – weniger wegen der Datenresidenz (die Control-Plane liegt standardmäßig in der EU) als wegen der Nicht-EU-Jurisdiktion des Anbieters, der Closed-Source-Control-Plane und der fehlenden ISO-27001-/DORA-Zertifizierungen.

Selbst überprüfen

Weil Tailscale die Control-Plane-Lage noch nicht veröffentlicht hatte, haben wir sie unabhängig verifiziert. Führen Sie das auf einem beliebigen Linux-Host aus. Es löst den Control-Plane-Endpunkt auf und schlägt Geo/ASN jeder IP nach:

1dig +short A controlplane.tailscale.com | xargs -n1 -I{} sh -c 'echo "=== {} ==="; curl -s "https://ipinfo.io/{}"; echo'

In unseren Checks lösten die Endpunkte auf AWS-Ranges in Frankfurt, Deutschland auf. (Befehl mit freundlicher Hilfe von Tailscale.)

Wer Tailscales Featureset will und gleichzeitig Souveränität braucht, schaut auf Headscale, das wir im nächsten Post dieser Serie behandeln.

Wo Tailscale heute glänzt, und wo nicht

Stärken

• Die UX ist nach unserer Erfahrung konkurrenzlos. Onboarding, Mobile-Apps, MagicDNS und SSH-Integration setzen den Standard.
• Featureset (Funnel, Serve, Subnet Router, Exit Nodes, Tailscale SSH) deckt nahezu jeden Mesh-VPN-Use-Case ab.
• BSD-3-Clients auf GitHub, Audit der Client-Seite voll möglich.
• Globales DERP-Netz inklusive EU-Standorten sorgt für niedrige Latenz beim Fallback.
• Tailnet Lock ist ein ehrlicher Sicherheits-Move, der Tailscale selbst als möglichen Angreifer mit einbezieht.

Limitierungen

• Control-Plane ist proprietär und nicht offiziell self-hostbar.
• Closed-Source-Control-Plane in Anbieterhand. Metadaten liegen jetzt standardmäßig in der EU (Frankfurt), aber die Control-Plane wird von einem Nicht-EU-Anbieter betrieben und ist nicht auditierbar.
• Keine offizielle ISO 27001 / DORA-Zertifizierung, was in regulierten Kontexten zusätzliche Lieferantenbewertung erzwingt.
• Standard-Tier kostet $8/User/Monat, bei größeren Setups summiert sich das gegenüber NetBird (Team $5/User) spürbar.
• Pflicht-IdP ist gut für die Sicherheit, aber eine Hürde für sehr kleine Bastler-Setups.

Wann Tailscale die richtige Wahl ist

Vier Szenarien, in denen Tailscale aus unserer Sicht klar nach vorne rückt:

1) "Wir brauchen die beste UX und schnelle Adoption."

Tailscale ist hier die Referenz. Mitarbeitende installieren in Minuten, MagicDNS und Tailscale SSH machen interne Services sofort erreichbar, und die Mobile-Apps holen den Außendienst ohne Reibung ab.

2) "Wir bauen ein Developer-Tooling-Setup oder ein modernes Homelab."

Funnel, Serve und Tailscale SSH passen perfekt in DevX-Stacks. Sie können Preview-Umgebungen, lokale Dev-Server und CI-Runner ohne öffentliche IP zugänglich machen.

3) "Wir sind keine NIS2- oder DORA-Pflichtorganisation, und Souveränität ist nicht das Top-Kriterium."

Dann sind die Trade-offs vertretbar. Sie bekommen mit Tailscale das ausgereifteste Produkt am Markt, ohne dass die Souveränitätsfrage Sie ernsthaft einschränkt.

4) "Wir wollen Tailscale-Features, aber souverän."

Dann führt der Weg über Headscale, eine quelloffene Community-Reimplementierung der Tailscale-Control-Plane, die mit den offiziellen Tailscale-Clients funktioniert. Genau dort steigen wir im nächsten Beitrag ein.

Fazit

Tailscale ist im Mai 2026 das ausgereifteste Mesh-VPN am Markt und in vielen Kontexten die produktivste Wahl. Die UX ist konkurrenzlos, das Featureset breit, und Tailnet Lock zeigt, dass das Unternehmen Sicherheit ernst nimmt. Wenn EU-Souveränität ein hartes Kriterium ist, lohnt allerdings der Blick auf NetBird oder die kommende Vorstellung von Headscale.

Wenn Sie gerade die Mesh-VPN-Wahl für Ihr Unternehmen treffen, ein NIS2- oder DORA-Programm aufsetzen oder den Zugang in Ihre private Cloud souverän gestalten wollen, unterstützen wir Sie bei Infralovers gerne. Gerne beraten wir Sie rund ums Thema Sovereign Cloud und kombinieren das mit unseren Schulungsangeboten zu NIS2-Compliance und Cloud Native Essentials.