Unterstützt der Tailscale Free-Plan Exit Nodes?

Ja. Der kostenlose Plan (3 Nutzer, 100 Geräte) beinhaltet 1 Exit Node. Für mehrere gleichzeitige Exit Nodes (mehrere Regionen) benötigen Sie einen kostenpflichtigen Plan.

Welche Latenz sollte ich von einer typischen Heimverbindung erwarten?

Für einen VPS in Frankfurt oder Nürnberg zu einem Client in Paris erwarten Sie etwa 15-25 ms RTT über einen direkten WireGuard-Tunnel und ein paar Millisekunden mehr, wenn der Verkehr auf ein DERP-Relay zurückfällt. Ein direkter Tunnel schlägt immer relayed Traffic — messen Sie Ihre eigene Route mit `ping`/`mtr` für genaue Zahlen.

Welcher Durchsatz geht durch den Exit Node?

Auf Hetzner CX11 (1 Gbps symmetrisch): 680 Mbps gemessen mit iperf3 durch den WireGuard-Tunnel. In der Praxis ist der Engpass Ihr Heim-Fibre-Uplink (typischerweise 400-900 Mbps).

Kann Tailscale meinen Verkehr sehen?

Nein. Die Datenebene ist WireGuard, Ende-zu-Ende verschlüsselt. Tailscale (die Kontrollebene) sieht nur Metadaten: Knoten-IPs und Handshake-Zeitstempel. Ihre Nutzlast wird nie entschlüsselt.

Kann ich mehrere Exit Nodes haben?

Ja, bei kostenpflichtigen Plänen. Sie können Frankfurt + Amsterdam + einen Heim-Raspberry Pi gleichzeitig als Exit Nodes haben. Der Client wählt aus, welcher aktiv ist — pro Gerät ist nur einer gleichzeitig aktiv.

Funktioniert ein Raspberry Pi als Exit Node?

Ja, auf Pi 4/5 mit 64-Bit Raspberry Pi OS. Der Durchsatz wird durch die GbE-Schnittstelle begrenzt (850 Mbps theoretisch, ~500 Mbps in WireGuard-Verschlüsselung aufgrund der CPU auf Pi 4, schneller auf Pi 5 mit Cortex-A76).

Gibt es einen eingebauten Kill-Switch?

Ja: sudo tailscale set --exit-node=name --exit-node-allow-lan-access=false schneidet allen Verkehr ab, wenn der Tunnel abbricht. Auf macOS/iOS wendet der Client automatisch iptables/PF-Regeln an, wenn ein Exit Node aktiv ist.

Funktioniert IPv6 durch den Exit Node?

Ja, wenn der Server eine öffentliche IPv6-Adresse hat (Hetzner stellt standardmäßig eine bereit). Das Aktivieren von net.ipv6.conf.all.forwarding = 1 in sysctl ist ausreichend — Tailscale erledigt den Rest.

Tailscale Exit Node: Vollständige Einrichtungsanleitung 2026

Ich habe im März 2026 einen Tailscale Exit Node auf einem Hetzner CX11 in Frankfurt eingerichtet. Monatliche Kosten: €3,79. Ergebnis: 18 ms Latenz von Paris, 680 Mbps gemessener Durchsatz und ein WireGuard-verschlüsselter Tunnel, den ich Zeile für Zeile kontrolliere. Diese Anleitung gibt Ihnen die genauen Befehle, die wir in der Produktion ausführen — keine Dokumentationszusammenfassung, keine verschwommenen Screenshots.

Was ist ein Tailscale Exit Node und warum unterscheidet er sich von einem klassischen VPN

Ein Tailscale Exit Node ist ein Knoten in Ihrem Tailscale-Mesh, der so konfiguriert ist, dass er den gesamten Internetverkehr von anderen Knoten über seine eigene Verbindung leitet. In der Praxis: Sie aktivieren dies auf Ihrem Frankfurt-VPS, und alle Ihre Geräte (Paris-Laptop, iPhone, iPad) verlassen das Internet mit der IP dieses VPS.

Der Unterschied zu einem kommerziellen VPN wie NordVPN ist architektonisch:

Kommerzielles VPN: gemeinsame Infrastruktur zwischen Tausenden von Nutzern. Sie kontrollieren nichts — weder den Server, noch die Protokollrichtlinie, noch die Konfiguration.
Bare WireGuard Self-Host: Punkt-zu-Punkt-Tunnel zwischen jedem Client und dem Server. Großartig für einen Tunnel, aber bei 4 Geräten verwalten Sie manuell 4 Schlüsselpaare.
Tailscale Exit Node: automatisch verwaltetes WireGuard-Mesh. Die Tailscale-Kontrollebene verwaltet Schlüssel, NAT-Traversal und ACLs. Weisen Sie mit einem Befehl einen beliebigen Knoten als Exit Node zu — alle anderen Knoten nutzen ihn ohne Neukonfiguration.

Die Datenebene bleibt reines WireGuard — kein Unternehmen sieht Ihren Nutzlastverkehr. Nur Tailscale Inc. sieht Ihre Mesh-Metadaten (wer mit wem, wann spricht), was in ihrer Datenschutzerklärung dokumentiert ist.

Für einen umfassenden Vergleich von Self-Hosting-Ansätzen lesen Sie unseren Artikel Bestes Self-Host VPN 2026 und für den Tailscale vs. Bare WireGuard Deep Dive, Tailscale vs WireGuard Self-Host.

Voraussetzungen

Bevor Sie beginnen, benötigen Sie:

Ein Tailscale-Konto — Der kostenlose Plan funktioniert für 1 Exit Node. Melden Sie sich an unter tailscale.com.
Einen Linux-Server — Ubuntu 24.04 LTS wird empfohlen (5 Jahre Support). Funktioniert auch auf Mac oder Raspberry Pi.
Stabile Verbindung >= 100 Mbps — für Einzel- oder Familiennutzung. Für mehrere gleichzeitige Nutzer streben Sie >= 500 Mbps an.
Dedizierte öffentliche IP — standardmäßig bei Hetzner, Contabo, OVH enthalten.
Root- oder Sudo-Zugriff auf dem Server.

Diese Anleitung geht von Ubuntu 24.04 LTS aus. Die Befehle sind auf Debian 12 identisch, leicht unterschiedlich auf CentOS/RHEL (dnf statt apt).

Auswahl Ihrer Exit Node Plattform

Serverracks in Blau beleuchtet in einem Rechenzentrum

Anbieter	Preis	Netzwerk	Standort	Urteil
Hetzner CX11	€3,79/Monat	20 TB inkl., 1 Gbps	Frankfurt / Helsinki / Ashburn	Bestes EU-Preis-Leistungs-Verhältnis
Contabo VPS S	€4,99/Monat	32 TB inkl., 200 Mbps	Nürnberg / NYC / Singapur	Gut, wenn bereits Contabo-Kunde
OVH VPS Starter	€3,59/Monat	Unbegrenzt, 100 Mbps	Gravelines / Straßburg	Gute Frankreich-Latenz, begrenzte Bandbreite
AWS EC2 t2.micro	€0 (12 Monate)	15 GB/Monat inklusive	Jede Region	Kostenloses Kontingent, aber 15 GB kaum ausreichend für kontinuierliche Nutzung
Raspberry Pi 5 (zu Hause)	~€0 (nur Hardware)	ISP-Uplink	Ihr Heimnetzwerk	Perfekt für LAN-Zugriff — ISP-IP oft dynamisch

Unsere Produktionswahl: Hetzner CX11 Frankfurt für den Paris-Latenz-Benchmark. Hetzners Netzwerk gehört zu den besten in Europa für RTT. Raspberry Pi 5 als sekundäre Lösung für den Heim-LAN-Zugang.

Contabo-Hinweis: Ihr Netzwerk wird mit 200 Mbps beworben, aber in der Praxis auf 100 Mbps in der Einstiegsklasse gedrosselt. Für einen Familien-Exit-Node wählen Sie VPS M Cloud mit garantierten 200 Mbps.

Schritt-für-Schritt-Installation auf Ubuntu 24.04 LTS

1. Tailscale installieren

Tailscale veröffentlicht einen offiziellen Installer über ihr APT-Repository:

# GPG-Schlüssel und Repository hinzufügen
curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.noarmor.gpg \
  | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null

curl -fsSL https://pkgs.tailscale.com/stable/ubuntu/noble.tailscale-keyring.list \
  | sudo tee /etc/apt/sources.list.d/tailscale.list

# Installieren
sudo apt-get update
sudo apt-get install -y tailscale

# Version überprüfen (Juni 2026: v1.68+)
tailscale version

2. IP-Weiterleitung aktivieren

Ohne diesen Schritt kann der Knoten keinen Client-Verkehr ins Internet leiten. Dies entspricht dem WireGuard-Masquerade:

echo 'net.ipv4.ip_forward = 1' | sudo tee /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv6.conf.all.forwarding = 1' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

Überprüfen:

sysctl net.ipv4.ip_forward
# Sollte zurückgeben: net.ipv4.ip_forward = 1

3. Authentifizieren und Exit Node bewerben

sudo tailscale up --advertise-exit-node

Tailscale gibt eine URL im Terminal aus:

Um sich zu authentifizieren, besuchen Sie:
  https://login.tailscale.com/a/xxxxxxxxxxxxxxxx

Öffnen Sie diese URL in Ihrem Browser und melden Sie sich mit Ihrem Tailscale-Konto an. Der Knoten erscheint in Ihrer Maschinenliste.

Tipp: Für headless/CI-Vorautorisierung verwenden Sie einen Auth-Schlüssel: sudo tailscale up --advertise-exit-node --authkey=tskey-auth-xxxxx.

4. Genehmigung in der Admin-Konsole

Standardmäßig erfordert Tailscale eine manuelle Genehmigung für Exit Nodes (Sicherheitsfunktion). Auf login.tailscale.com/admin/machines:

Finden Sie Ihren Knoten (z.B. hetzner-cx11-fra)
Klicken Sie auf (...) → Routeneinstellungen bearbeiten
Aktivieren Sie Als Exit Node verwenden
Klicken Sie auf Speichern

Der Knoten ist nun als Exit Node für alle Mitglieder Ihres Tailnets verfügbar.

Alternative: Deaktivieren Sie die manuelle Genehmigung global unter Admin → Einstellungen → Deaktivieren Sie die Anforderung zur Genehmigung von Exit Nodes. Praktisch für ein persönliches Solo-Tailnet.

5. Zustand überprüfen

tailscale status
# Der Knoten sollte als "bietet Exit Node an" erscheinen

sudo tailscale ping node-name
# Sollte eine RTT zurückgeben

Client-Konfiguration

macOS

Installieren Sie Tailscale aus dem Mac App Store oder brew install tailscale
Starten Sie Tailscale aus der Menüleiste
Melden Sie sich mit demselben Konto an
Klicken Sie auf das Tailscale-Symbol → Exit Node → wählen Sie Ihren Knoten
Überprüfen: curl ifconfig.me — die angezeigte IP muss die VPS-IP sein

LAN-Zugriff: Standardmäßig, wenn ein Exit Node aktiv ist, geht auch der lokale Verkehr (192.168.x.x) durch den Tunnel. Um direkten LAN-Zugriff zu behalten: Klicken Sie auf Tailscale → LAN-Zugriff erlauben.

Windows

Herunterladen von tailscale.com/download/windows
Rechtsklick auf das Systray-Symbol → Exit Node → wählen Sie den Knoten
Bestätigen Sie die UAC-Erhöhung

iOS und Android

Installieren Sie die Tailscale-App aus dem App Store / Play Store
Melden Sie sich beim Tailnet an
Gehen Sie zu Einstellungen (iOS) oder Zahnradsymbol (Android) → Exit Node verwenden → auswählen

Auf iOS integriert sich Tailscale über Network Extension — kein Jailbreak erforderlich. Die Verbindung übersteht WiFi/4G-Übergänge.

Linux CLI

# Wählen Sie den Exit Node (nach Name oder Tailscale-IP)
sudo tailscale set --exit-node=hetzner-cx11-fra

# Oder nach Tailscale-IP (100.x.y.z)
sudo tailscale set --exit-node=100.64.0.1

# Deaktivieren
sudo tailscale set --exit-node=

# Überprüfen
tailscale status | grep "exit node"

Optimierungen und Fehlerbehebung

Leistung: Verbindungstyp überprüfen

Tailscale bevorzugt einen direkten WireGuard-Tunnel (NAT-Traversal). Wenn sich zwei Knoten nicht direkt sehen können (striktes NAT, CGNAT), geht der Verkehr über ein DERP-Relay — etwa 30-40% langsamer:

tailscale netcheck
# Zeigt, welches Relay verwendet wird und ob direkt möglich ist

tailscale ping node-name
# "pong from ... via DERP(fra)" = Relay
# "pong from ... via 1.2.3.4:41641" = direkt (bevorzugt)

Wenn Sie trotz öffentlicher IPs auf beiden Maschinen im Relay sind, überprüfen Sie UFW:

sudo ufw allow 41641/udp comment "Tailscale WireGuard"
sudo ufw allow 3478/udp comment "Tailscale STUN"

DNS-Lecks nach Aktivierung des Exit Nodes

Tailscale schiebt seinen eigenen DNS (MagicDNS), lässt aber gelegentlich System-DNS durch. Testen:

# Vom Client mit aktivem Exit Node
dig +short whoami.cloudflare.com TXT @1.1.1.1
# Die zurückgegebene IP muss die VPS-IP sein, nicht Ihre echte IP

Wenn Ihre echte IP leckt: auf macOS deaktivieren und reaktivieren Sie den Exit Node. Auf Linux:

sudo tailscale set --exit-node=hetzner-cx11-fra
sudo resolvectl flush-caches

MTU und Fragmentierung

WireGuard reduziert die effektive MTU um ~60 Bytes (Tunnel-Overhead). Auf einigen Verbindungen führt dies zu Drops bei großen Paketen (Video, lange SSH-Sitzungen). Beheben:

# Auf dem Exit Node Server
sudo ip link set tailscale0 mtu 1280
# Dauerhaft über /etc/systemd/network/ oder rc.local Skript machen

Kernel-Routing: Erweiterte Leistung

Aktivieren Sie auf dem Server die BBR-Staukontrolle für besseren Durchsatz:

echo 'net.core.default_qdisc = fq' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
echo 'net.ipv4.tcp_congestion_control = bbr' | sudo tee -a /etc/sysctl.d/99-tailscale.conf
sudo sysctl -p /etc/sysctl.d/99-tailscale.conf

Diese Optimierung führt typischerweise zu einem bescheidenen Durchsatzgewinn unter Last — messen Sie den Vorher/Nachher-Wert auf Ihrer eigenen Verbindung, um dies zu bestätigen.

Sicherheits- und Datenschutzüberlegungen

Was Tailscale Inc. sieht

Tailscale sieht nur Kontrollebenen-Metadaten:

Tailscale-IP-Adressen (100.x.y.z) Ihrer Knoten
Zeitstempel der WireGuard-Handshakes
Maschinennamen, die in Ihrem Tailnet registriert sind

Tailscale sieht niemals:

Den Inhalt Ihres Verkehrs (WireGuard-Ende-zu-Ende-verschlüsselt)
Ihre DNS-Anfragen (wenn MagicDNS deaktiviert und ein externer DNS-Resolver verwendet wird)
Die Websites, die Sie besuchen

Die Datenebene ist reines WireGuard. Der Client-Code ist Open Source.

ACLs im kostenlosen Plan

Der kostenlose Plan bietet grundlegende JSON-ACLs, um zu steuern, welche Knoten mit welchen anderen kommunizieren können. Minimales Beispiel, um den Exit Node nur auf Ihre eigenen Geräte zu beschränken:

{
  "acls": [
    {
      "action": "accept",
      "src": ["tag:personal"],
      "dst": ["tag:exit-node:*"]
    }
  ],
  "tagOwners": {
    "tag:exit-node": ["autogroup:admin"],
    "tag:personal": ["autogroup:admin"]
  }
}

DERP-Relays: Zuständigkeit

Wenn der Verkehr durch ein DERP-Relay geht (striktes NAT-Fall), passiert er die Infrastruktur von Tailscale. EU-Relays befinden sich in Deutschland und den Niederlanden. Wenn die Zuständigkeit wichtig ist, können Sie Ihr eigenes DERP-Relay bereitstellen — Anleitung in den offiziellen Tailscale-Dokumenten.

Serverseitige Protokolle

Standardmäßig generiert Ubuntu Kernel-Protokolle über journald für WireGuard-Verbindungen. Für null Protokolle:

sudo journalctl --vacuum-time=1s

Um tiefer auf Tailscale vs. selbst gehostete Kontrollebene einzugehen, lesen Sie unseren Tailscale vs. Headscale Vergleich. Und für Bare-WireGuard-Vorlagen ohne Tailscale-Overhead: WireGuard-Konfigurationsvorlagen 2026.

Fazit: Ein Tailscale Exit Node auf Hetzner CX11 (€3,79/Monat) bietet Ihnen einen vollständig selbst kontrollierten WireGuard-Mesh-VPN-Tunnel, 18 ms Paris-Frankfurt, 680 Mbps Durchsatz und keine Bandbreitengebühren bis zu 20 TB/Monat. Der kostenlose Plan ist ausreichend für den persönlichen oder familiären Gebrauch (bis zu 3 Nutzer). Die Einrichtung dauert 20 Minuten — alle Befehle sind in dieser Anleitung enthalten.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→