Tailscale auf Ubuntu einrichten

Tailscale ist eine sehr praktische Lösung, wenn du Server, Laptops, NAS, Homelab-Dienste oder Admin-Zugänge sicher miteinander verbinden willst, ohne klassisches VPN-Basteln mit offenen Ports, komplizierten Firewalls und vielen Zertifikatsdetails.

In dieser Anleitung richten wir Tailscale auf Ubuntu sauber ein, prüfen die Verbindung, schauen uns sinnvolle Server-Einstellungen an und erklären, worauf du bei SSH, Subnet-Routing, Exit Nodes und allgemeiner Sicherheit achten solltest.

1. Was Tailscale eigentlich macht

Tailscale baut auf WireGuard auf und verbindet Geräte in einem privaten Netz, dem sogenannten Tailnet. Jedes Gerät erhält dabei eine stabile interne Tailscale-IP und kann mit anderen autorisierten Geräten sicher kommunizieren.

Der grosse Vorteil in der Praxis:

• keine offenen SSH- oder Admin-Ports ins Internet nötig
• einfacher Zugriff auf interne Dienste auch ausserhalb des LAN
• deutlich weniger manueller VPN-Aufwand
• gut geeignet für einzelne Server genauso wie für kleine Teams

Für viele Self-Hosted-Umgebungen ist Tailscale deshalb einer der angenehmsten Wege, um Admin-Zugriffe und interne Services sicher bereitzustellen.

2. Wann Tailscale besonders sinnvoll ist

Typische Einsatzfälle sind:

• SSH-Zugriff auf einen Ubuntu-Server ohne offene SSH-Ports
• Zugriff auf interne Weboberflächen wie Portainer, Grafana oder Proxmox
• Verbindung zwischen Heimnetz, VPS und Notebook
• sicherer Zugang für Support oder Administration
• geschützte Freigabe von Diensten, die nicht öffentlich ins Internet sollen

Wenn du hingegen einen klassischen Standort-zu-Standort-VPN-Ersatz oder sehr spezielle Netzwerkszenarien brauchst, muss man die Architektur etwas genauer planen. Für viele kleine bis mittlere Umgebungen ist Tailscale aber erstaunlich schnell einsatzbereit.

3. Voraussetzungen

Für diese Anleitung brauchst du:

• einen Ubuntu-Server mit Root- oder Sudo-Zugriff
• ausgehenden Internetzugang
• ein Tailscale-Konto oder einen bestehenden Tailnet-Zugang

Laut aktueller offizieller Tailscale-Dokumentation ist auf Linux der schnellste Standardweg die Installation über das Installationsskript oder über distributionsspezifische Pakete. Für Ubuntu ist der schnelle Weg meist ausreichend und gut dokumentiert.

4. Tailscale auf Ubuntu installieren

Installiere Tailscale auf Ubuntu mit dem offiziellen Installationsskript:

curl -fsSL https://tailscale.com/install.sh | sh

Dieser Weg wird von Tailscale selbst für viele gängige Linux-Distributionen beschrieben. Wenn du bewusst keine curl | sh-Installation möchtest, kannst du auch die offizielle Paketquelle oder manuelle Paketinstallation verwenden.

Prüfe danach, ob die Installation verfügbar ist:

tailscale version

5. Den Server mit dem Tailnet verbinden

Nach der Installation aktivierst du den Client typischerweise so:

sudo tailscale up

Der Befehl zeigt dir eine URL, über die du das Gerät im Browser autorisieren kannst. Danach erscheint der Server in der Tailscale-Admin-Oberfläche.

Prüfe den Status anschliessend:

tailscale status
tailscale ip

Wenn du hier eine Tailscale-IP siehst und der Status sauber ist, ist der Server erfolgreich im Tailnet angemeldet.

6. Der erste praktische Test

Nimm ein zweites Gerät in dasselbe Tailnet auf und prüfe dann die Erreichbarkeit des Ubuntu-Servers, zum Beispiel per SSH oder Ping, je nach Richtlinien und Freigaben.

Typisch ist etwa:

ssh user@100.x.y.z

Wenn du statt der IP lieber stabile Namen nutzen möchtest, kannst du die in Tailscale angezeigten Gerätenamen oder MagicDNS verwenden, sofern in deinem Tailnet aktiviert.

7. SSH mit Tailscale besonders elegant absichern

Ein sehr starker Anwendungsfall ist SSH nur noch über Tailscale bereitzustellen. Damit kannst du den öffentlichen SSH-Port im Internet oft ganz schliessen oder stark einschränken.

Tailscale unterstützt dafür auch Tailscale SSH. Die offizielle Dokumentation beschreibt dafür unter anderem den Befehl:

sudo tailscale set --ssh

Damit wird SSH-Zugriff über Tailscale nach Tailnet-Richtlinien ermöglicht. Ob du das nutzen möchtest oder klassisches OpenSSH nur innerhalb des Tailscale-Netzes zulässt, hängt von deinem Betriebsstil ab.

Für viele kleine Server ist bereits diese Strategie sehr sinnvoll:

• OpenSSH bleibt lokal aktiv
• öffentlicher Port 22 wird per Firewall oder Provider-Regel gesperrt
• SSH erfolgt nur über die Tailscale-IP oder Tailscale SSH

8. Sinnvolle Optionen für Server

Gerade bei Servern willst du meist, dass die Verbindung nicht ständig neu autorisiert werden muss. Tailscale weist in der Dokumentation darauf hin, dass du für vertrauenswürdige Dauergeräte die Key Expiry im Admin-Bereich deaktivieren kannst.

Das ist praktisch, sollte aber bewusst eingesetzt werden. Auf produktiven Servern ist das oft sinnvoll, auf mobilen Geräten nicht immer.

Zusätzlich lohnt es sich, im Tailnet sauber zu dokumentieren:

• welche Server dauerhaft verbunden sein sollen
• welche Geräte Admin-Zugriff haben
• welche internen Dienste nur per Tailscale erreichbar sein sollen

9. Interne Webdienste über Tailscale bereitstellen

Tailscale eignet sich nicht nur für SSH, sondern auch hervorragend für interne Weboberflächen. Beispiele:

• Portainer
• Grafana
• Uptime Kuma
• Admin-Panels
• interne Tools

Du kannst diese Dienste entweder direkt auf der Tailscale-IP zugänglich machen oder über einen Reverse Proxy plus Tailscale-Zugang absichern. Für besonders sensible Oberflächen ist Tailscale oft die deutlich angenehmere Alternative zu einer öffentlichen Freigabe.

10. Subnet Router und Exit Node kurz erklärt

Tailscale kann mehr als nur einzelne Geräte verbinden. Zwei häufige Zusatzfunktionen sind:

Subnet Router
Ein Gerät im Tailnet kann ein ganzes internes Netz erreichbar machen, zum Beispiel dein Heimnetz oder ein Servernetz.

Exit Node
Ein Gerät kann als ausgehender Internetpfad für andere Geräte dienen. Das ist nützlich, wenn du Verkehr bewusst über einen bestimmten Standort leiten willst.

Beides ist mächtig, sollte aber bewusst geplant werden, weil dadurch Netzwerkgrenzen und Zugriffspfade weiter geöffnet werden.

11. Firewall und Tailscale zusammen denken

Tailscale ersetzt nicht automatisch jede lokale Firewall-Regel. Du solltest trotzdem bewusst festlegen:

• welche Dienste nur lokal erreichbar sind
• welche über Tailscale erreichbar sein dürfen
• welche weiterhin öffentlich über Reverse Proxy oder andere Wege bereitgestellt werden

Gerade bei SSH ist eine sehr saubere Strategie oft:

• öffentlich kein Port 22
• SSH nur über Tailscale
• zusätzlich Schlüssel-Authentisierung und saubere Benutzerrechte

12. Typische Fehler und Stolpersteine

• man vergisst, dass lokale Dienste trotzdem durch die Host-Firewall blockiert sein können
• der Server erscheint im Tailnet, aber OpenSSH lauscht nicht oder ist zu streng eingeschränkt
• MagicDNS oder Gerätenamen werden mit lokalen DNS-Namen verwechselt
• Admin-Zugänge werden nicht sauber über Richtlinien oder Benutzergruppen getrennt
• man verlässt sich blind auf Tailscale und dokumentiert keinen Notfallzugang

Gerade der letzte Punkt ist wichtig: Wenn Tailscale einmal nicht verfügbar ist, brauchst du für kritische Server trotzdem einen bewusst definierten Fallback-Zugang.

13. Was ich in der Praxis empfehlen würde

• Tailscale für SSH und interne Admin-Dienste nutzen
• öffentliche SSH-Ports wenn möglich schliessen
• Server als vertrauenswürdige Dauergeräte sauber verwalten
• Tailscale nicht als Ausrede nutzen, um lokale Härtung zu vernachlässigen
• klar dokumentieren, welche Dienste intern und welche öffentlich erreichbar sind

Damit bleibt das Setup nicht nur bequem, sondern auch nachvollziehbar und sicher.

14. Fazit

Tailscale ist auf Ubuntu eine sehr starke Lösung, wenn du sichere Admin-Zugänge und interne Dienste ohne klassischen VPN-Aufwand bereitstellen willst. Der Einstieg ist schnell, der Nutzen gross und gerade für kleine Self-Hosted-Umgebungen oft enorm.

Besonders stark wird das Ganze, wenn du Tailscale mit sauberer SSH-Härtung, klaren Firewall-Regeln und einer bewusst dokumentierten Serverstrategie kombinierst.

Tipp:
Wenn du heute nur einen kleinen Schritt machen willst, dann richte Tailscale zuerst für SSH auf einem einzigen Server ein und schliesse danach testweise den öffentlichen SSH-Port. Dieser eine Schritt bringt oft schon sehr viel Sicherheitsgewinn.