NetBird vs Tailscale vs Headscale (2026): Mesh-VPN-Vergleich für die private Cloud

thumbnail
Jürgen Brüder | 27.05.2026 security, cloud native, platform engineering

Bicycle

In den letzten zwei Wochen haben wir drei Mesh-VPN-Lösungen einzeln vorgestellt: NetBird, Tailscale und Headscale. Drei Posts, drei Produkte, eine Frage blieb offen: Wenn Sie heute entscheiden müssten, welche dieser Lösungen sollen Sie für Ihre private Cloud wählen?

Wer in dieses Feld einsteigt, vergleicht oft entlang der falschen Achse („welche ist die beste?"). Die ehrlichere Frage lautet: Welche passt zu Ihren Constraints. Self-Hosting, private Cloud, Lizenzkosten, Client-Komfort und EU-Souveränität sind die fünf Achsen, an denen sich Mesh-VPNs heute messen lassen.

Stand Mai 2026, basierend auf der Evaluation aus den Posts 1 bis 3 dieser Serie. (Links zu den Posts weiter unten)

Update (Juni 2026): Nach direkten Korrekturen von Tailscale (siehe den aktualisierten Tailscale-Post) läuft Tailscales Control-Plane standardmäßig in der EU (Frankfurt), nicht in den USA. Wir haben die Tailscale-Zeilen und die Souveränitäts-Einschätzung unten entsprechend angepasst.

Was "Mesh-VPN" im Unternehmenskontext bedeutet

Bevor wir die drei Lösungen gegeneinanderhalten, kurz das gemeinsame Fundament. Mesh-VPN ist nicht „klassisches VPN mit modernem Anstrich". Es ist eine grundlegend andere Topologie: Peer-to-Peer statt Concentrator, Identitäts- statt Perimeter-Sicherheit, Policy- statt Routing-getrieben.

Alle drei Lösungen bestehen aus drei Säulen:

  • WireGuard als verschlüsselter Datenpfad zwischen den Knoten.
  • Eine Control-Plane als Koordinator für Identitäten, ACLs, Routen und Schlüsselverteilung.
  • Ein IdP als Identitäts-Anker für SSO und MFA.

Die drei Lösungen unterscheiden sich vor allem darin, wer die Control-Plane betreibt und wem die Daten gehören.

Schnellprofile

Drei kurze Steckbriefe mit Link zur ausführlichen Vorstellung:

NetBird: Berliner BSD-3-Plattform mit eigenständiger WireGuard-P2P-Architektur. EU-Hauptsitz, GDPR/ISO 27001/DORA-zertifiziert. Komplettes Cloud-Angebot und gleichwertiges Self-Hosting. Series A von €8,5 Mio. im Januar 2026.

Tailscale: Toronto-basiertes SaaS, 5+ Mio. aktive Nutzer, BSD-3-Clients aber proprietäre Control-Plane auf AWS (standardmäßig EU/Frankfurt). UX-Goldstandard im Segment mit MagicDNS, Tailscale SSH, Funnel und Serve. SOC 2 Type II.

Headscale: BSD-3-Community-Reimplementierung der Tailscale-Control-Plane. Kompatibel mit den offiziellen Tailscale-Clients, komplett self-hostbar, Single-Tailnet-Design. Unser eigener Stack für die Infralovers Cloud.

Schnelle Vergleichstabelle

KategorieNetBirdTailscaleHeadscale
Hauptsitz AnbieterBerlin, DEToronto, CACommunity (Maintainer EU/INT)
Lizenz Clients + ServerBSD-3 (beides)BSD-3 Clients, proprietäre Control-PlaneBSD-3 (Server); Clients via Tailscale BSD-3
Control-Plane HostingCloud (EU-Option) oder Self-HostCloud (AWS EU/Frankfurt, proprietär)Self-Hosted (Sie betreiben)
Self-Hosting VollständigkeitKomplett, keine Feature-GatesNicht vorgesehenKern-Use-Case
Cloud-Preis (mittlere Tier)$5/User (Team)$8/User (Standard)$0 + VM-Kosten
UX und Mobile-ReifeSolideGoldstandardFunktional, holpriger Mobile-Login
EU-Souveränität out-of-the-boxJa (EU-Anbieter)Teilweise (EU-Control-Plane standardmäßig; Toronto-Anbieter, Closed Source)Ja (Sie bestimmen Hosting)
NIS2- und DORA-FitnessHoch (zertifiziert)Mittel (SOC 2 + EU-Control-Plane; Anbieter-Jurisdiktion & Zertifikatslücken bleiben)Hoch (Mapping = Sie selbst)
Multi-TenantJaJaNein (single Tailnet)
Admin-UIEigene (Cloud + Self-Host)Hervorragend (Cloud only)Keine offizielle, headscale-ui als Drittanbieter

Detail-Vergleich entlang der fünf Achsen

Self-Hosting

NetBird liefert beim Self-Hosting funktional dieselbe Plattform wie in der Cloud. SSO, ACLs, Posture-Checks und Event-Streaming funktionieren ohne künstliche Feature-Gates.

Tailscale ist beim Self-Hosting der Control-Plane offiziell nicht vorgesehen. Wer das will, geht zu Headscale.

Headscale ist genau dafür gebaut. Single-Tailnet-Scope, kein offizielles Web-UI, sonst voll funktional und kompatibel mit den nativen Tailscale-Clients.

Private-Cloud-Eignung

NetBird passt sehr gut. Self-Host auf Hetzner, IONOS oder OVH oder die Cloud-Variante mit EU-Region. Verbindung in Ihre Workloads ohne Drittanbieter im Datenpfad.

Tailscale ist hier eingeschränkt. Sie können Workloads in der privaten Cloud erreichen, aber die Control-Plane wird – obwohl standardmäßig in der EU (Frankfurt) gehostet – weiterhin von Tailscale Inc. betrieben.

Headscale ist optimal. Volle Kontrolle, EU-Hosting Ihrer Wahl, kein Vendor im Datenpfad. Genau das ist unser Setup bei der Infralovers Cloud.

Lizenzmodell und Kosten

Eine zweite, fokussierte Tabelle nur für Pricing:

Setup-GrößeNetBird CloudTailscale CloudHeadscale Self-Hosted
5 User Homelab/Test$0 (Free)$0 (Personal)$0 + ~5€/Monat VM
30 User KMU~$150/Monat (Team)~$240/Monat (Standard)~10€/Monat VM + Ops-Zeit
100 User Enterprise$500 bis $1000/Monat (Team/Business)$800 bis $1800/Monat (Standard/Premium)~20€/Monat VM + Ops-Zeit

Wichtiger Hinweis: Bei Headscale fehlt in dieser Rechnung ein realistischer Posten für Ihre eigene Zeit. Patches, Backups, TLS-Erneuerung und IdP-Anbindung sind Operations-Aufwand, der ehrlich eingepreist werden sollte. Wer das nicht stemmen kann, fährt mit NetBird oder Tailscale besser, auch wenn die Tabelle anderes suggeriert.

Anmerkung zu NetBird: Die Abrechnung läuft pro aktivem User pro Monat. Das wirkt fair, kann bei stark fluktuierenden Teams (Berater, Saisonkräfte) aber zu Schwankungen führen.

Client- und Alltagskomfort

NetBird liefert solide Desktop- und Mobile-Apps, eine MagicDNS-ähnliche Auflösung über interne Domain und ein brauchbares Web-Admin-UI im Cloud-Setup.

Tailscale ist konkurrenzlos. Erstes Tailnet steht in unter zwei Minuten, Mobile-Apps sind die polierteste Erfahrung im Segment, das Admin-UI ist Industriestandard.

Headscale ist voll funktional, aber der Mobile-Login-Flow ist holpriger (auf iOS braucht es einen Browser-Schritt für den Custom-Server-Override), und es gibt keine offizielle Web-UI. headscale-ui füllt die Lücke als Drittanbieter-Projekt.

EU-Souveränität

NetBird ist out-of-the-box EU-souverän. Berliner Anbieter, GDPR, ISO 27001 und DORA-Zertifizierung. On-Premises-Deployment ist eine reguläre Self-Hosting-Variante, kein teures Enterprise-Add-on.

Tailscale ist nur teilweise out-of-the-box EU-souverän. Die Control-Plane läuft standardmäßig auf AWS in der EU (Frankfurt) – Metadaten liegen also in der EU –, aber der Anbieter sitzt in Toronto (Five Eyes), die Control-Plane ist Closed Source, und ISO 27001 / DORA sind nicht aktiv ausgewiesen.

Headscale ist out-of-the-box EU-souverän, wenn Sie es selbst in der EU hosten. Volle Auditierbarkeit, keine Default-Telemetrie, Sie bestimmen das Datenresidenz-Land.

Wie wir entscheiden würden (Praktische Szenarien)

1) "Wir sind NIS2- oder DORA-pflichtig und wollen schnell live."

Wählen Sie NetBird (Cloud oder Self-Hosted).

EU-Anbieter, einschlägige Zertifikate und eine gleichwertige Self-Hosting-Variante decken die Lieferantenbewertung mit minimalem Aufwand ab. Tailscale ist hier nur mit signifikantem Sourcing-Aufwand vertretbar. Headscale ginge auch, die Compliance-Lasten liegen dann aber komplett bei Ihnen.

2) "Wir brauchen die beste UX und schnelle Adoption im Team."

Wählen Sie Tailscale.

Setup-Zeit, Mobile-Apps und MagicDNS sind die Referenz im Genre. Die Souveränitäts-Trade-offs müssen bewusst akzeptiert sein. Für reine DevX- und Engineering-Setups ohne harten Regulatorik-Druck ist das eine sehr produktive Wahl.

3) "Wir wollen Tailscale-Komfort, aber alles in unserer Hand."

Wählen Sie Headscale.

Genau das ist unser Setup für die Infralovers Cloud. Mit Terraform, Ansible und Podman bauen Sie einen GitOps-tauglichen VPN-Stack auf eigener EU-Infrastruktur und nutzen weiterhin die offiziellen Tailscale-Clients.

4) "Wir sind ein kleines Bastler-Team oder ein Homelab."

NetBird Free-Tier (bis 5 User) oder Tailscale Personal (bis 6 User) sind ohne Reibung nutzbar. Headscale lohnt nur, wenn Sie ohnehin eine eigene VM laufen lassen wollen oder den IaC-Stack üben möchten.

5) "Wir sind eine Behörde oder ein streng regulierter Bereich."

Tendenziell NetBird Self-Hosted oder Headscale.

Beide erlauben vollständige On-Premises- oder EU-Cloud-Deployments mit auditierbarer Quellcodebasis. Tailscale ohne ergänzende On-Prem-Variante wird in der Sourcing-Bewertung schwer.

Ein konkretes Beispiel: SSH-Zugriff auf 10 Server in der EU-Cloud

Drei kurze Code-Skizzen zeigen, wie der gleiche Daily-Workflow in jedem Tool aussieht.

NetBird (Self-Hosted in EU):

1# auf dem Admin-Laptop
2netbird up --management-url https://netbird.example.eu
3# SSH via NetBird-Hostname
4ssh user@server01

Tailscale (Cloud):

1tailscale up
2# SSH via Tailscale SSH (kein eigener Key nötig)
3tailscale ssh user@server01

Headscale (Self-Hosted):

1tailscale up --login-server=https://hs.example.eu
2# MagicDNS löst Hostname auf, klassisches SSH
3ssh user@server01

Erkenntnis: Der reine Daily-Workflow ist sehr ähnlich. Die echten Unterschiede liegen in dem, was hinter den drei Befehlszeilen passiert. Wer betreibt die Control-Plane? Wo läuft die Schlüsselverteilung? Wem gehören die Metadaten?

Compliance- und Datenresidenz-Überlegungen

Für Teams in regulierten Umgebungen, eine kompakte Übersicht:

  • Datenresidenz: NetBird Cloud bietet eine EU-Region. Tailscales Control-Plane liegt standardmäßig in der EU (Frankfurt). Headscale liegt dort, wo Sie ihn betreiben.
  • Lieferantenbewertung: Bei NetBird ein klarer Vertragspartner (Berlin). Bei Tailscale ein Vertragspartner (Toronto, Five Eyes). Bei Headscale ist der „Lieferant" entweder die Open-Source-Community oder, im operativen Sinne, Sie selbst plus Ihr Compute-Hoster.
  • Auditierbarkeit: Alle drei stellen Client-Quellcode unter BSD-3. NetBird und Headscale auch den Server. Tailscale nicht.
  • NIS2- und DORA-Mapping: NetBird (Anbieter-Compliance) und Headscale (Eigen-Compliance) führen zu kurzen, klaren Bewertungs-Wegen. Tailscale erfordert zusätzliche Sourcing-Bewertung.

Ein nützliches Denkmodell: Wer betreibt die Control-Plane?

Wenn Sie den Anbieter als Produkt behandeln, wählen Sie naturgemäß das, das am besten zu Ihrem Compliance-Profil passt. NetBird für EU-Strenge, Tailscale für US-Toleranz.

Wenn Sie das Netz selbst als Produkt behandeln, wählen Sie Headscale, weil Sie dann die Control-Plane mit Ihrer eigenen IaC-Disziplin steuern.

Beides ist valide. Mischen Sie nur nicht versehentlich die beiden Philosophien. „Tailscale, voll EU-souverän" ist nach wie vor kein Setup, das es heute gibt: Selbst mit der Control-Plane in der EU sitzt der Anbieter in Kanada und die Control-Plane bleibt Closed Source. „Tailscale-Komfort, aber EU-souverän" hingegen heißt Headscale.

Fazit

NetBird ist die stärkste Wahl, wenn Sie eine EU-souveräne Mesh-VPN-Lösung mit klarer Hersteller-Compliance wollen und gleichzeitig die Flexibilität zwischen Cloud und Self-Host brauchen.

Tailscale ist die stärkste Wahl, wenn Sie die polierteste UX und das breiteste Featureset wollen und die Souveränitäts-Trade-offs vertretbar sind.

Headscale ist die stärkste Wahl, wenn Sie Tailscale-Komfort mögen, aber Control-Plane und Verbindungsdaten selbst in der Hand halten möchten. Genau so betreiben wir die Infralovers Cloud.

Wenn Sie gerade die konkrete Wahl für Ihr Unternehmen treffen, ein NIS2- oder DORA-Programm aufsetzen, eine private Cloud souverän anbinden oder eine Headscale-Implementierung umsetzen wollen, unterstützen wir Sie bei Infralovers gerne. Wir teilen unsere eigene Erfahrung aus der Infralovers-Cloud-Architektur und kombinieren das mit unseren Angeboten zu Sovereign Cloud, NIS2-Compliance und Cloud Native Essentials.

Zurück Unsere Trainings entdecken
Unverbindlich Call vereinbaren
Ähnliche Artikel & Courses
Unsere Empfehlungen

EU NIS2 Guidelines

Erwerben Sie fundierte Kenntnisse über die EU-NIS2-Richtlinien, einschließlich der wichtigsten Bestimmungen, Compliance-Anforderungen und Best Practices für die Umsetzung in Unternehmen.

Cloud Native Essentials: Kubernetes

Dies ist ein Einführungskurs in Kubernetes, einem Open-Source-System zur Automatisierung, Bereitstellung, Skalierung und Verwaltung von containerisierten Anwendungen.

thumbnail
Martin Buchleitner | 11.06.2026 hashicorp, devops, cloud native

Dockerloses Java auf HashiCorp Nomad: Spring Boot mit dem Java-Treiber

Jedes Nomad-Tutorial, das Sie online finden, verwendet den docker-Treiber. Das ist verstaendlich — Container sind portabel, Images buendeln alles, und Docker

thumbnail
Martin Buchleitner | 04.06.2026 hashicorp, security, devops

Vault Transform Engine: Format-erhaltende Verschluesselung fuer sensible Daten auf Nomad

In unserem vorherigen Beitrag ueber HashiCorp Nomad und Vault: Dynamic Secrets haben wir den gesamten Lebenszyklus des Secrets Managements fuer eine Python

thumbnail
Jürgen Brüder | 27.05.2026 security, cloud native, platform engineering

NetBird vs Tailscale vs Headscale (2026): Mesh-VPN-Vergleich für die private Cloud

In den letzten zwei Wochen haben wir drei Mesh-VPN-Lösungen einzeln vorgestellt: NetBird, Tailscale und Headscale. Drei Posts, drei Produkte, eine Frage blieb

thumbnail
Jürgen Brüder | 22.05.2026 security, cloud native, platform engineering

Headscale: Self-hosted Tailscale-Alternative für die private Cloud

In Post 2 dieser Serie haben wir Tailscale als UX-Goldstandard im Mesh-VPN-Segment vorgestellt. Mit einem ehrlichen Caveat: Die Control-Plane ist proprietär,

Wir sind für Sie da

Sie interessieren sich für unsere Trainings oder haben einfach eine Frage, die beantwortet werden muss? Sie können uns jederzeit kontaktieren! Wir werden unser Bestes tun, um alle Ihre Fragen zu beantworten.

Hier kontaktieren