Ist Headscale wirklich kompatibel mit den offiziellen Tailscale-Clients?

Ja — Headscale implementiert die Tailscale-Kontrollebenen-API neu, sodass die offiziellen iOS-, macOS-, Linux-, Windows- und Android-Clients auf Ihre Headscale-Instanz verweisen können, indem sie die URL des Login-Servers überschreiben (`tailscale login --login-server=https://headscale.yourdomain.com`). Kein Client-Fork, kein gepatchtes Binary. Tailscale Inc. unterstützt Headscale nicht offiziell, toleriert jedoch dessen Existenz seit 2022.

Was ist der tatsächliche Latenzunterschied zwischen Tailscale DERP und selbstgehostetem Headscale?

Bei direkten Tunneln gibt es keinen Unterschied — die Datenebene ist in beiden Fällen WireGuard, sodass die RTT identisch ist. Der Unterschied zeigt sich nur beim Relay-Fallback: Ein benutzerdefiniertes DERP, das auf Ihrem eigenen Contabo VPS gehostet wird, nimmt eine direktere Route als ein entferntes öffentliches DERP und reduziert die RTT um einige Millisekunden. Messen Sie Ihre eigene Route mit `ping` für genaue Zahlen.

Unterstützt Headscale MagicDNS, ACLs und Exit-Knoten wie Tailscale?

ACLs JSON: ja, 100% Tailscale-kompatibles Format seit v0.22. Exit-Knoten: ja, unbegrenzt (vs 1 in Tailscale Free enthalten). MagicDNS: seit v0.23 unterstützt, aber `machine-name.ts.net`-Auflösung muss manuell auf der DNS-Server-Seite konfiguriert werden — es gibt keine magische Auto-Konfiguration wie auf der SaaS-Seite. Taildrop (Dateifreigabe): ja. Tailscale SSH mit Sitzungsaufzeichnung: nein, das ist eine Premium-Funktion, die auf der Tailscale-SaaS-Seite bleibt.

Wie hoch sind die 3-Jahres-TCO für Tailscale Premium vs Headscale + Contabo?

Für 10 Benutzer / 30 Knoten: Tailscale Premium = 18 $/Benutzer/Monat × 10 × 36 = 6.480 $. Headscale + Contabo VPS S Frankfurt = 4,99 €/Monat × 36 = 180 € + 12 h Einrichtung (~600 €) + 1,5 h/Monat Wartung × 36 = 54 h (~2.700 €) = ~3.480 €. Break-even bei etwa 7 Benutzern, wenn der Sysadmin 50 €/h kostet, bei 4 Benutzern, wenn er 100 €/h kostet.

Welche Headscale-Einschränkungen werden Sie nicht auf GitHub lesen?

Drei echte Produktionsprobleme: 1) keine offizielle Webkonsole (Sie benötigen das Drittanbieter headscale-ui, das sich noch stabilisiert); 2) Tailscale-ACL-Vorlagen (Gruppen, Tags) funktionieren, aber das Server-seitige Linting ist weniger ausführlich — eine ungültige ACL-Datei kann stillschweigend brechen; 3) kein standardmäßiges OIDC out-of-the-box bei allen Anbietern (Authentik und Keycloak funktionieren gut, Auth0 erfordert Feinabstimmung). Alles andere ist solide.

Tailscale vs Headscale: verwaltetes SaaS oder selbstgehostetes Kontrollzentrum (2026)?

Affiliate-Hinweis — Dieser Beitrag enthält Contabo-Affiliate-Links. Wenn Sie über diese einen VPS erwerben, erhalten wir eine Provision ohne zusätzliche Kosten für Sie. Jeder untenstehende Befehl und jede Konfiguration ist aus offiziellen Quellen dokumentiert und so geschrieben, dass sie auf Ihrem eigenen VPS reproduzierbar sind.

Mesh-VPN explodierte im Jahr 2026. WireGuard wurde zum De-facto-Standard, Tailscale überschritt 5 Millionen aktive Geräte, und die Selbsthost-Community brachte Headscale auf ein Reifestadium, das keine Ausrede mehr lässt, bei einem SaaS zu bleiben, wenn Souveränität wichtig ist. Wenn Sie nach "tailscale vs headscale" suchen, sind Sie wahrscheinlich hin- und hergerissen zwischen verwaltetem Komfort und totaler Kontrolle — dieser Vergleich trifft die Entscheidung, basierend darauf, wie jedes konzipiert ist, um zu laufen, mit Headscale, das auf einem Contabo VPS Frankfurt als selbstgehostete Referenz bereitgestellt wird.

Die Datenebene ist in beiden Fällen identisch: WireGuard. Der gesamte Unterschied liegt in der Kontrollebene — wer orchestriert Schlüssel, ACLs, NAT-Traversal und wer hält die Metadaten für Ihr Mesh. Diese Nuance ändert alles: Kosten, Latenz, Anbieterbindung und Compliance-Haltung.

Tailscale: verwaltete Architektur

Tailscale ist eine SaaS-Kontrollebene, die auf WireGuard aufgesetzt ist. Wenn Sie den Client installieren, tut er drei Dinge:

Authentifiziert sich gegen den Tailscale-Koordinator (login.tailscale.com).
Ruft die Liste der autorisierten Peers + deren WireGuard-Öffentlichkeits-Schlüssel ab.
Versucht eine direkte Peer-to-Peer-WireGuard-Verbindung. Wenn NAT dies blockiert, fällt er auf ein DERP-Relay (TCP/443) zurück, das von Tailscale Inc. verwaltet wird.

Der SaaS-Koordinator

Der Koordinator ist der Orchestrator. Er sieht niemals Ihre WireGuard-Privatschlüssel — diese werden lokal generiert und bleiben lokal. Er verteilt nur öffentliche Schlüssel und IP-Zuordnungen. Tatsächliche Angriffsfläche: Wenn der Koordinator kompromittiert wird, kann ein Angreifer einen Phantom-Peer in Ihr Mesh einfügen. Tailscale veröffentlicht ein detailliertes Bedrohungsmodell und unterzieht sich regelmäßigen Audits.

DERP — Designated Encrypted Relay for Packets

Wenn zwei Peers hinter symmetrischen NATs keinen direkten Tunnel herstellen können (etwa 5–10% der Fälle in Wohn- und 4G-Produktionsumgebungen), leitet Tailscale verschlüsselten Datenverkehr über ein global verteiltes Netzwerk von DERP-Servern (offizielle DERP-Liste). Dies ist immer noch Ende-zu-Ende-verschlüsseltes WireGuard; Tailscale Inc. kann es nicht entschlüsseln. Aber die Netzwerkmetadaten (wer mit wem, wann, wie viel spricht) durchlaufen ihre Infrastruktur.

MagicDNS, ACLs, MFA SSO

MagicDNS: machine.your-tailnet.ts.net-Auflösung überall im Mesh, keine manuelle DNS-Konfiguration.
Deklarative JSON-ACLs: wer mit wem, auf welchen Ports sprechen kann. In iptables-Regeln kompiliert.
MFA + SAML/OIDC SSO auf Premium- und Enterprise-Plänen (Google Workspace, Okta, Azure AD).
Vollständige Audit-Logs auf Premium.

Die Benutzererfahrung ist ausgezeichnet. Der Preis ist es nicht, sobald Sie 3 Benutzer überschreiten.

Was ist Headscale und wie funktioniert es mit Tailscale-Clients?

Headscale ist eine Open-Source-Neuimplementierung (BSD-3, Go) der Tailscale-Koordinator-API. Sie hosten es selbst auf Ihrem eigenen Server — ein Contabo VPS für 4,99 €/Monat reicht für 30+ Knoten. Offizielle Tailscale-Clients (iOS, macOS, Android, Linux, Windows) verbinden sich direkt mit --login-server=https://your-headscale-domain.com. Kein Client-Fork, volle Souveränität, Break-even gegenüber Tailscale Premium bei ~7 Benutzern.

Headscale: selbstgehostete Architektur

Headscale (BSD-3, Go, gepflegt von Juan Font + aktiver Community) ist eine Open-Source-Neuimplementierung der Tailscale-Koordinator-API. Kein Fork — ein unabhängiger Server, der dasselbe Protokoll spricht und somit mit offiziellen Tailscale-Clients kompatibel ist.

Komponenten

Headscale-Daemon: Einzelnes Go-Binary, ~30 MB, hört über HTTPS auf einem konfigurierbaren Port.
Persistenz-Backend: SQLite (Standard, geeignet für <50 Knoten) oder PostgreSQL (empfohlen für Multi-Org-Produktionen).
TLS-Reverse-Proxy: Caddy oder Traefik vor Headscale. Automatisches Let's Encrypt.
Optionaler OIDC-Anbieter: Authentik, Keycloak, Authelia für Benutzer-Authentifizierung. Ohne OIDC bleiben Pre-Auth-Schlüssel (CLI) verfügbar.

Was Headscale tut

Peer-Erkennung + Verteilung öffentlicher Schlüssel.
Tailscale JSON-ACLs (100%-kompatibles Format).
DERP: Entweder das öffentliche DERP-Netzwerk von Tailscale verwenden (Standard) oder eigenes DERP auf demselben VPS hosten.
Exit-Knoten, Subnetz-Router, Taildrop, MagicDNS (seit v0.23).

Was Headscale nicht tut

Keine offizielle Webkonsole (Community-Alternativen: headscale-ui, noch in der Stabilisierung).
Kein Tailscale SSH mit Sitzungsaufzeichnung (SaaS-Premium-Funktion).
Kein kommerzieller Support — es ist Community-Open-Source, GitHub-Issues sind der einzige Kanal.

12-Kriterien-Vergleich

Kriterium	Tailscale Free	Tailscale Premium	Headscale selbstgehostet
Preis 5 Benutzer 10 Knoten	$0	~1.080 $/Jahr	~60 €/Jahr (Contabo S VPS)
Preis 20 Benutzer 50 Knoten	n/a (max 3 Benutzer)	~4.320 $/Jahr	~60 €/Jahr
Ersteinrichtung	5 min	5 min	2–3 h (Ersteinrichtung)
Bewährte Skalierbarkeit	>5M Knoten	>5M Knoten	~1.000 Knoten getestet (Headscale v0.23)
Automatisches NAT-Traversal	Ja	Ja	Ja
Deklarative ACLs	Ja	Ja	Ja (Tailscale-Format)
Enterprise MFA SSO	Nein	Ja (SAML/OIDC)	Manuelles OIDC (Authentik/Keycloak)
Audit-Logs	Eingeschränkt	Vollständig	Eigenes Rollout (Postgres + journald)
Geprüfte Sicherheit	Regelmäßige öffentliche Audits	Öffentliche Audits + Bug-Bounty	Lesbarer Code, kein professionelles Audit
Native Beobachtbarkeit	SaaS-Konsole	SaaS-Konsole + API	Prometheus-Exporter + headscale-ui
Datenkontrolle	Nein (US-SaaS)	Nein (US-SaaS)	Total (Ihr VPS, Ihre Gerichtsbarkeit)
Anbieterbindung	Hoch	Hoch	Null

Drei Beobachtungen, die Sie selten anderswo lesen:

Custom Headscale DERP ist ein Game-Changer für die EU. Hoste DERP auf demselben Contabo Frankfurt VPS und du ersetzt eine US-DERP-Infrastruktur durch eine EU-Infrastruktur — ein großer GDPR-Gewinn für Unternehmen mit EU/EEA-Compliance-Anforderungen.
Das Fehlen einer offiziellen Headscale-Konsole ist weniger problematisch, als man denkt, sobald die anfängliche Konfiguration abgeschlossen ist. Der tägliche Betrieb erfolgt über die CLI (headscale nodes list, headscale acl tests) und passt in 3 Befehle.
Die versteckten Kosten von Tailscale Premium: Die Abrechnung erfolgt pro Benutzer, nicht pro Gerät. Wenn Sie 5 Benutzer und 100 Knoten haben, zahlen Sie 5 × 18 $/Monat — nicht 100 × 1,80 $. Headscale ignoriert diese Unterscheidung (ein Knoten = ein Knoten).

Praxis: Headscale-Setup auf Contabo Frankfurt

Reihen von Servern in einem Rechenzentrum

Reales Setup durchgeführt im Februar 2026 auf einem Contabo VPS S Frankfurt (4 vCPU, 8 GB RAM, 200 GB NVMe, 4,99 €/Monat — siehe unser Contabo-Test 2026). Stack: Debian 12, Docker, PostgreSQL 16, Caddy 2, Authentik 2026.4.

Schritt 1 — Contabo-Bereitstellung (5 min)

Contabo VPS S Frankfurt bestellt über unseren Contabo VPS-Link. Minimaler Debian 12-Snapshot. Nur SSH-Schlüssel, Root-Login sofort deaktiviert, ufw + fail2ban konfiguriert über das Contabo Schritt-für-Schritt-Tutorial.

Schritt 2 — Docker-Stack (10 min)

# docker-compose.yml
services:
  postgres:
    image: postgres:16-alpine
    restart: unless-stopped
    environment:
      POSTGRES_DB: headscale
      POSTGRES_USER: headscale
      POSTGRES_PASSWORD_FILE: /run/secrets/pg_pass
    volumes:
      - ./pgdata:/var/lib/postgresql/data
    secrets: [pg_pass]

  headscale:
    image: headscale/headscale:0.23
    restart: unless-stopped
    depends_on: [postgres]
    volumes:
      - ./config:/etc/headscale
      - ./data:/var/lib/headscale
    ports:
      - "127.0.0.1:8080:8080"

  caddy:
    image: caddy:2
    restart: unless-stopped
    ports: ["80:80", "443:443"]
    volumes:
      - ./Caddyfile:/etc/caddy/Caddyfile
      - ./caddy-data:/data

secrets:
  pg_pass:
    file: ./secrets/pg_pass.txt

Minimaler Caddyfile:

headscale.yourdomain.com {
  reverse_proxy 127.0.0.1:8080
}

docker compose up -d und Let's Encrypt kümmert sich um das TLS-Zertifikat in 30 Sekunden. Headscale-Konfiguration (config.yaml): database.type: postgres + server_url: https://headscale.yourdomain.com setzen. Insgesamt: 15 Minuten aktive Einrichtung.

Schritt 3 — Verbinden von 5 Clients

# Auf dem Headscale-Server
headscale users create eric
headscale preauthkeys create --user eric --reusable --expiration 24h
# → tskey-auth-xxxxx

# Auf jedem Client (MacBook, 2 Linux Debian, iOS, Android)
sudo tailscale up \
  --login-server=https://headscale.yourdomain.com \
  --authkey=tskey-auth-xxxxx

iOS und Android erfordern das Bearbeiten von Einstellungen → Tailscale → Benutzerdefinierte Koordinator-URL in der offiziellen App (Option sichtbar seit 1.40). Das Verbinden einer Handvoll Clients dauert nur wenige Minuten.

Schritt 4 — Was Sie in Bezug auf die Leistung erwarten können

Um selbst zu vergleichen, führen Sie iperf3 zwischen einem Client und dem Contabo VPS Frankfurt aus. Die folgende Tabelle zeigt, was Sie erwartungsgemäß erwarten können — messen Sie Ihre eigene Route für genaue Zahlen:

Metrik	Tailscale öffentliches DERP	Headscale + benutzerdefiniertes DERP Contabo
Direkte Tunnel-Durchsatzrate	~Leitungsrate WireGuard	~Leitungsrate WireGuard (gleich)
DERP-Relay-Durchsatzrate	begrenzt durch Relay-Standort	besser mit lokalem DERP
RTT, direkter Tunnel	identisch (WireGuard)	identisch (WireGuard)
RTT, Relay	hängt von der Relay-Entfernung ab	niedriger mit lokalem DERP
VPS-CPU im Leerlauf	n/a	niedriger einstelliger % (Headscale + Postgres + Caddy)
VPS-RAM-Verbrauch	n/a	einige hundert MB / 8 GB

Beim direkten Tunnel (der nominale Fall für 90%+ der Pakete in der Praxis) gibt es keinen Unterschied — es ist WireGuard auf beiden Seiten. Der Unterschied zeigt sich nur beim DERP-Relay: Das Hosten Ihres eigenen DERP auf Contabo Frankfurt vermeidet einen langen Umweg und bietet niedrigere RTT und höheren Durchsatz als ein entferntes öffentliches DERP, das während der Stoßzeiten gesättigt sein kann.

Anwendungsfälle — wer sollte was wählen

Wählen Sie Tailscale (verwaltet)

Solo / persönliche Projekte 1–100 Geräte → Tailscale Free. $0 und die Benutzererfahrung ist unschlagbar.
Frühphasen-Startup <5 Benutzer → Ebenfalls Tailscale Free. Konzentrieren Sie sich auf das Produkt.
Scaleup 20–100 Benutzer, US-freundliche B2B-SaaS-Compliance → Tailscale Premium. Audit-Logs, SAML, professioneller Support — das ist ihr Sweet Spot.
Kein interner Sysadmin → Tailscale, keine Debatte.

Wählen Sie Headscale (selbstgehostet)

EU-Compliance / DSGVO / öffentliche Sektor-Souveränität → Headscale. Die Kontrollebene lebt in Ihrer Gerichtsbarkeit.
Team mit einem kompetenten Sysadmin und verfügbarer Zeit → Headscale zahlt sich schnell aus (Break-even <6 Monate bei 7+ Benutzern).
Produktion mit strengen Datenresidenzanforderungen (Gesundheitswesen, EU-Fintech, Verteidigung) → Headscale ist im Wesentlichen obligatorisch.
Wunsch, Ihren VPN-Stack zu verstehen und zu beherrschen → Headscale lehrt Sie Dinge; Tailscale verbirgt sie.

Wählen Sie reines WireGuard (Erinnerung)

Wenn Sie immer noch ein drittes Szenario abwägen (Hub-and-Spoke-WireGuard ohne Kontrollebene), klärt unser Vergleich Tailscale vs WireGuard selbstgehostet diesen Zweig. Headscale entscheidet nur gegen Tailscale.

Headscale-Einschränkungen, die Sie kennen müssen

Ehrlichkeit zuerst — Headscale ist solide, aber hier sind die echten Schwachstellen in der Produktion:

Feature-Verzögerung gegenüber Tailscale. Neue Tailscale-Funktionen (Tailscale Funnel, Tailscale Serve, SSH-Sitzungsaufzeichnung) kommen mit einer Verzögerung von 3–9 Monaten in Headscale an, und einige werden nie kommen (intrinsisch SaaS-Premium-Funktionen).
ACL-Flexibilität. Das Tailscale JSON-ACL-Format ist kompatibel, aber das Headscale-Linting ist weniger ausführlich: Ein Tippfehler in einem Tag kann stillschweigend brechen. Empfohlener Workflow: headscale acl tests in CI vor dem Pushen.
Kein automatisches MagicDNS für schnelle PoCs. Auf der Tailscale-SaaS-Seite funktioniert MagicDNS mit zwei Klicks. Auf der Headscale-Seite müssen Sie die DNS-Zone auf dem Server konfigurieren — entweder dnsmasq oder eine dedizierte CoreDNS-Zone. Nicht unüberwindbar, aber es ist nicht magisch.
Kein offizielles Bug-Bounty. Wenn Sie eine CVE finden, sind es GitHub-Issues, kein bezahltes verantwortungsvolles Offenlegungsprogramm.
Drittanbieter headscale-ui. Die Community-Webkonsole funktioniert, ist aber nicht auf dem Niveau des Tailscale-Dashboards in der Benutzererfahrung. Für 80% der Routineoperationen reicht die CLI aus.

3-Jahres-Vergleich der TCO

Mittleres Szenario: 10 aktive Benutzer, 30 Knoten, moderates Wachstum. Annahmen: Sysadmin zu 50 €/h (Junior-Mid-Level EU), Tailscale Premium 18 $/Benutzer/Monat (Preise Juni 2026), Contabo VPS S Frankfurt 4,99 €/Monat + ein Hardware-Reset (~30 €).

Posten	Tailscale Premium	Headscale + Contabo
SaaS-Lizenzen 36 Monate	6.480 $ (~6.000 €)	0 €
VPS-Infrastruktur 36 Monate	0 €	180 €
Ersteinrichtung	5 min (~5 €)	12 h (~600 €)
Laufende Wartung	~0 h/Monat	1,5 h/Monat × 36 = 54 h (~2.700 €)
Backups + Überwachung	0 €	8 h Einrichtung (~400 €) + ~5 €/Monat VPS-Backup
Vorfälle (geschätzt 2 Vorfälle/Jahr × 4 h)	0 €	24 h über 36 Monate (~1.200 €)
Gesamt 36 Monate	~6.005 €	~5.260 €

Bei 10 Benutzern / 30 Knoten ist Headscale ~12% günstiger in der TCO über 36 Monate. Bei 5 Benutzern zieht Tailscale Premium voraus (~3.240 $ vs ~5.000 € für Headscale — die festen Sysadmin-Kosten zerschlagen die SaaS-Einsparung). Bei 20+ Benutzern gewinnt Headscale entscheidend: Tailscale Premium erreicht 12.960 $/36m, während Headscale bei ~5.260 € bleibt.

Der wirtschaftliche Sweet Spot von Headscale: 8–15 Benutzer. Darunter gewinnt Tailscale Free oder Premium. Darüber gewinnt Headscale durch K.o.

Segmentiertes Urteil

Profil	Empfehlung
Solo, Nebenprojekte	Tailscale Free
Startup <5 Benutzer	Tailscale Free
Kleines Team 5–7 Benutzer, kein Sysadmin	Tailscale Premium
Team 8–15 Benutzer mit 1 Sysadmin	Headscale selbstgehostet (Break-even <6 Monate)
Organisation 15+ Benutzer, EU-Souveränität	Headscale selbstgehostet, obligatorisch
Gesundheitswesen / EU-Fintech / Verteidigungskompatibilität	Headscale selbstgehostet, obligatorisch
Tiefes Mesh-VPN-Lernen	Headscale (Sie lernen 10× mehr als mit Tailscale)
US-first B2B SaaS Scaleup	Tailscale Premium (Fokus auf Produkt, Zeit zurückkaufen)

Die schlechteste Wahl: Headscale ohne einen dedizierten Sysadmin. Sie werden mit einer ungepatchten Kontrollebene an einem Dienstagabend enden.

Weiterführende Lektüre

Headscale selbstgehostet: vollständiger Installationsleitfaden 2026
Tailscale vs WireGuard selbstgehostet 2026
Selbstgehostetes VPN auf Contabo WireGuard 2026
Contabo VPS-Setup Schritt für Schritt
WireGuard vs OpenVPN — VPS-Benchmarks 2026
Contabo-Test 2026: ehrliches Feedback aus der Produktion
Kostenrechner für selbstgehostete VPNs — Modellieren Sie Tailscale vs Headscale vs WireGuard TCO mit Ihrer Teamgröße und Ihrem Stundensatz
Interaktiver VPS-Vergleich — Wählen Sie den richtigen Headscale-Host zwischen Contabo, Hetzner und OVH auf einen Blick

Quellen:

Artikel veröffentlicht am 2026-06-07. Leistungsnotizen basieren darauf, wie Tailscale und Headscale konzipiert sind (beide verwenden WireGuard als Datenebene); messen Sie Ihre eigene Route für genaue Zahlen. Tailscale-Preise stammen von tailscale.com/pricing im Juni 2026 — überprüfen Sie vor einer Entscheidung. Tatsächliche Einsparungen hängen von der Teamgröße, dem Stundensatz des Sysadmins und den Compliance-Anforderungen ab.

Hinweis: WireGuard, Tailscale und Headscale sind in der EU, den USA, Kanada und den meisten demokratischen Ländern vollständig legal. VPNSmith veröffentlicht diesen Inhalt zu Bildungszwecken.

★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→