Die meisten "selbstgehosteten VPN"-Setups enden bei einem einzelnen WireGuard-Server, mit dem Sie sich verbinden. Ein Mesh-VPN ist anders: Jedes Gerät kommuniziert direkt mit jedem anderen Gerät, Peer-to-Peer, wobei ein Koordinationsserver nur die Verbindungen vermittelt. Tailscale hat dieses Modell populär gemacht — aber sein Koordinator ist proprietär. NetBird ist die Antwort für Menschen, die das gleiche Mesh-Erlebnis mit einem quelloffenen Stack von Agent bis Server wollen und es vollständig auf einem VPS, den Sie kontrollieren, selbst hosten können.
Dieser Leitfaden erklärt, wie NetBird funktioniert, was das Selbsthosting tatsächlich beinhaltet, das ehrliche Kosten- und Wartungsbild und wie es sich gegen Tailscale und Headscale behauptet.
Was ist NetBird?
NetBird ist ein quelloffenes Overlay-Mesh-VPN, das auf WireGuard für die Datenebene aufbaut. Seine Komponenten:
- Agenten auf jedem Gerät, die WireGuard-Tunnel herstellen.
- Ein Signalserver, der die Einrichtung von Peer-to-Peer-Verbindungen und NAT-Traversal vermittelt.
- Ein Verwaltungsserver, der Konfigurationen, Peers, Gruppen und ACL-Richtlinien verwaltet.
- Ein Dashboard zur Administration.
- Ein Relay (TURN/coturn) als Fallback, wenn zwei Peers nicht direkt verbinden können.
- SSO/IdP-Integration (OIDC) — NetBird kann Zitadel bündeln oder sich mit Authentik, Keycloak, Google und anderen verbinden.
Der gesamte Stack ist quelloffen (github.com/netbirdio/netbird), was der entscheidende Punkt ist: Im Gegensatz zu Tailscale ist der Koordinationsserver selbst Software, die Sie betreiben können.
Wie Peers tatsächlich verbinden
NetBird priorisiert direkte Peer-to-Peer WireGuard-Verbindungen. Der Signalserver hilft zwei Agenten, sich gegenseitig zu entdecken und NAT zu durchdringen; einmal verbunden, fließt der Datenverkehr direkt zwischen ihnen — schnell und ohne Ihren Server zu berühren. Nur wenn beide Peers hinter restriktiven NATs oder Firewalls sitzen, fällt der Datenverkehr auf das TURN-Relay zurück. Diese Unterscheidung ist wichtig für die Dimensionierung: Das Relay trägt nur die schlimmstenfalls auftretende Minderheit, nicht Ihr gesamtes Netzwerk. Für den tieferen WireGuard-Hintergrund siehe unseren WireGuard vs OpenVPN Vergleich.
NetBird auf einem VPS selbst hosten
Das realistische Rezept im Jahr 2026:
- Ein kleiner VPS mit einer öffentlichen IP. Ein Contabo VPS S für 4,99 €/Monat bewältigt ein kleines bis mittleres Mesh problemlos.
- Ein Domainname, der auf den VPS zeigt, mit TLS über Let's Encrypt.
- Docker Compose, das den Verwaltungsserver, Signalserver, das Dashboard und coturn ausführt.
- Ein Identitätsanbieter für SSO — Zitadel bündeln oder einen externen OIDC-Anbieter anschließen.
# Nur Umriss — folgen Sie den offiziellen NetBird-Selbsthosting-Dokumenten für aktuelle Compose-Dateien
curl -fsSL https://github.com/netbirdio/netbird/releases/latest/download/getting-started-with-zitadel.sh -o install.sh
# Überprüfen Sie das Skript, bevor Sie es ausführen, dann:
export NETBIRD_DOMAIN=vpn.example.com
bash install.sh
Lesen Sie immer ein Installationsskript, bevor Sie es ausführen. Für eine Schritt-für-Schritt-Anleitung zur VPS-Härtung und Basiseinrichtung, die auch hier gilt, siehe unseren Contabo VPS-Einrichtungsleitfaden und den umfassenderen besten selbstgehosteten VPN 2026 Überblick.
Das ehrliche Kosten- und Wartungsbild
- Direkte Kosten: ungefähr 60 €/Jahr auf einem Contabo VPS S für ein kleines bis mittleres Mesh — im Vergleich zu SaaS-Preisen pro Benutzer, die mit Ihrem Team skalieren.
- Einrichtungszeit: ein paar Stunden, mehr als eine einzelne WireGuard-Box wegen des IdP und Relays.
- Wartung: Container-Updates, Zertifikatsverlängerung (meist automatisiert) und Überwachung der Relay-Bandbreite. NetBird hat mehr bewegliche Teile als ein einfacher WireGuard-Server oder eine schlanke Headscale-Installation — das ist der Kompromiss für eine integrierte, vollständig eigene Plattform.
- Projektreife: jünger und kleinere Community als Tailscale; sehr aktiv, aber führen Sie Ihre eigene Due Diligence zur Veröffentlichungsfrequenz durch.
NetBird vs Tailscale vs Headscale
| NetBird (selbstgehostet) | Tailscale (SaaS) | Headscale (selbstgehostet) | |
|---|---|---|---|
| Datenebene | WireGuard | WireGuard | WireGuard |
| Serverquelle | Vollständig quelloffen | Proprietärer Koordinator | Quelloffene Neuimplementierung |
| Clients | NetBird-Agenten | Offizielles Tailscale | Offizielles Tailscale |
| Eingebautes SSO/Dashboard | ✅ Ja | ✅ (verwaltet) | ⚠️ Minimal |
| Sie besitzen die Kontrollebene | ✅ | ❌ | ✅ |
| Bewegliche Teile zum Ausführen | Mehr | Keine (verwaltet) | Weniger |
Für die beiden Tailscale-Seitenoptionen im Detail siehe Tailscale vs Headscale selbstgehostet und unseren Headscale selbstgehosteten Leitfaden.
Fazit
NetBird ist die stärkste Wahl, wenn Sie ein Mesh-VPN, das Sie vollständig besitzen, von Anfang bis Ende wollen, mit integriertem SSO und ACLs, und Sie akzeptieren, ein paar Container zu betreiben. Wenn Sie den absolut leichtesten selbstgehosteten Weg wollen und mit den offiziellen Tailscale-Clients zufrieden sind, ist Headscale schlanker. Wenn Sie überhaupt nicht selbst hosten möchten, ist das SaaS von Tailscale am einfachsten — aber dann besitzen Sie den Koordinator nicht. Für souveränitätsbewusste Teams ist NetBird auf einem Contabo VPS die vollständigste quelloffene Antwort im Jahr 2026.
Redaktioneller Vergleich basierend auf NetBirds dokumentierter quelloffener Architektur (WireGuard-Datenebene, selbst hostbare Verwaltungs-/Signalserver, OIDC SSO, TURN-Relay-Fallback) und den dokumentierten Modellen von Tailscale und Headscale. Kosten sind indikative VPS-Preise, keine Garantien. Kommerzielle Links tragen das Attribut rel="sponsored nofollow"; eine Affiliate-Provision kann ohne zusätzliche Kosten für Sie anfallen.
★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
