Affiliate-Hinweis — Dieser Beitrag enthält Contabo-Affiliate-Links. Wenn Sie über diese Links einen VPS erwerben, erhalten wir eine Provision ohne zusätzliche Kosten für Sie. Unsere Empfehlungen basieren auf dem dokumentierten Verhalten jedes Tools und den veröffentlichten Spezifikationen der Anbieter.
Die Frage taucht jede Woche in Self-Hosting-Foren auf: Sie kennen WireGuard, Sie wissen, dass Tailscale "verwaltetes WireGuard" ist, und Sie fragen sich, ob $18/Benutzer/Monat für Tailscale Premium es wert sind oder ob Sie sich für ein vollständiges Self-Hosting auf einem $5/Monat VPS entscheiden sollten. Die Antwort ist nicht binär — sie hängt davon ab, wie viele Knoten Sie bereitstellen, Ihre Toleranz gegenüber Anbieterbindung und wie Sie Ihre Zeit nutzen.
Beide Tools lösen dasselbe Problem auf unterschiedliche Weise: Tailscale bietet Ihnen ein verwaltetes Mesh in Minuten, während Ihnen reines WireGuard auf einem Contabo VPS volle Kontrolle und niedrigere Kosten im großen Maßstab bietet. Dieser Vergleich bewertet sie hinsichtlich Architektur, Kosten bei 1/5/20 Knoten, den häufigsten Fallen und einem konkreten Entscheidungsleitfaden — basierend darauf, wie jedes Tool konzipiert ist, nicht auf erfundenen Feldmetriken.
Was ist Tailscale und wie unterscheidet es sich von selbst gehostetem WireGuard?
Tailscale ist eine SaaS-Kontrollebene, die auf WireGuard aufbaut. Es automatisiert Peer-Discovery, Schlüsselrotation, NAT-Traversal, ACLs und MagicDNS. Die eigentliche Paketverschlüsselung erfolgt durch WireGuard. Selbst gehostetes WireGuard bietet Ihnen rohe Leistung (~900 Mbps, 60 €/Jahr auf Contabo) und keine Anbieterbindung; Tailscale spart Einrichtungszeit, kostet jedoch ~1.080 $/Jahr bei 5 Benutzern.
Was Tailscale tatsächlich ist (und nicht ist)
Tailscale ist kein neues VPN-Protokoll — es ist eine Kontrollebene, die auf WireGuard aufsetzt. Die Datenebene (die eigentliche Paketverschlüsselung) bleibt zu 100 % WireGuard. Was Tailscale für Sie übernimmt:
- Discovery — jeder Knoten gibt seine öffentliche IP an den Koordinator (Tailscale SaaS) bekannt. Andere Knoten ziehen diese Informationen ab, um den Tunnel einzurichten.
- NAT-Traversal — STUN + ICE-ähnliches Punching, um einen direkten Tunnel zwischen zwei Knoten hinter symmetrischen NATs zu öffnen. Wenn das fehlschlägt, erfolgt ein Fallback auf DERP-Relays (TCP/443).
- Schlüsselverwaltung — automatische WireGuard-Schlüsselrotation, Geräteablauf, Konfigurationssignierung.
- ACLs — eine deklarative JSON-Datei, die definiert, wer mit wem auf welchen Ports kommunizieren kann. Kompiliert in iptables-Regeln, die an jeden Knoten gesendet werden.
- MagicDNS / Tailnet-Name — Auflösung von
maschinenname.ihr-tailnet.ts.netüber Ihr Mesh.
Der Tailscale-Client-Code ist Open Source (github.com/tailscale/tailscale). Die SaaS-Kontrollebene ist es nicht — aber Headscale ist eine Open-Source-Neuimplementierung der Kontrollebene, die mit dem offiziellen Client kompatibel ist. Das ist wichtig für das Folgende.
Was Tailscale nicht ist: Es ist kein Verbraucher-VPN wie NordVPN. Tailscale gibt Ihnen keine Exit-IP, um Netflix US glauben zu lassen, dass Sie in New York sind. Sie können einen Tailscale-"Exit-Knoten" konfigurieren, aber das ist ein Knoten, den Sie betreiben — zum Beispiel auf einem VPS. Darauf kommen wir zurück, denn genau hier kippt der wirtschaftliche Fall zugunsten des Selbsthostings.
Verglichene Architekturen
Verwaltetes Tailscale:
[App A] ── WireGuard ──► [App B]
│ │
└──► SaaS-Koordinator ◄──┘
(Tailscale Inc.)
Der Koordinator orchestriert. Pakete gehen direkt von A nach B über WireGuard, wann immer NAT dies zulässt, oder über ein Tailscale-DERP-Relay als Fallback (zusätzliche Latenz + SaaS-Abhängigkeit).
WireGuard selbst gehostet (Hub-and-Spoke):
[Client 1] ──► [Contabo VPS Hub] ◄── [Client 2]
│
[Client 3]
Alles läuft über den Hub. Vorhersehbare Latenz, volle Kontrolle, aber der Hub ist ein Single Point of Failure (und ein Single Point of Optimization).
WireGuard selbst gehostet (manuelles Full-Mesh):
[Node A] ◄──► [Node B]
▲ ▲
│ │
▼ ▼
[Node C] ◄──► [Node D]
N²/2 Tunnel zu konfigurieren. Wird unüberschaubar bei mehr als 5-6 Knoten — genau das Problem löst Tailscale auf der verwalteten Seite.
Die Architekturwahl beim Selbsthosting ist entscheidend: Für 1 bis 4 Knoten ist Hub-and-Spoke unschlagbar in der Einfachheit; darüber hinaus akzeptieren Sie entweder Tailscale oder setzen Headscale ein (die Open-Source-Kontrollebene).
Ehrliche Vergleichstabelle
| Kriterium | Tailscale Free | Tailscale Premium | WireGuard selbst gehostet | Headscale + WG selbst gehostet |
|---|---|---|---|---|
| Jährliche Kosten (5 Knoten) | $0 | ~$1.080 | 60 € (Contabo VPS S) | 60 € |
| Jährliche Kosten (20 Knoten) | n/a (max 3 Benutzer) | ~$4.320 | 60 € | 60 € |
| Ersteinrichtung | 5 min | 5 min | 30 min | 2 h |
| Automatisches NAT-Traversal | Ja | Ja | Nein | Ja |
| Dynamisches Mesh | Ja | Ja | Nein (statisch) | Ja |
| Deklarative ACLs | Ja | Ja | Manuelle iptables | Ja (Tailscale ACL JSON kompatibel) |
| Exit-Knoten | Ja (1 enthalten) | Ja (unbegrenzt) | Ja | Ja |
| Audit-Logs | Begrenzt | Vollständig | DIY-Logging | DIY-Logging |
| Enterprise SSO | Nein | Ja (SAML/OIDC) | Nein | Manuelles OIDC |
| Anbieterbindung | Hoch | Hoch | Keine | Keine |
| Datensouveränität | Nein | Nein | Ja | Ja |
| Laufende Wartung | Nahezu null | Nahezu null | Niedrig-mittel | Mittel |
Drei Beobachtungen, die Sie nie auf gesponserten Vergleichsblogs sehen:
- Tailscale Premium ist ein großartiges Angebot für 1-3 Benutzer mit vielen Knoten. Wenn Sie alleine 15 persönliche Server betreiben, $0 im Free-Plan. Keine Debatte.
- Die Mathematik kippt bei 4-5 Benutzern. Bei 5 Benutzern × $18/Monat sind das $90/Monat = $1.080/Jahr — für einen Dienst, der technisch äquivalent zu WireGuard + einer Kontrollebene ist, die Sie selbst auf einem Contabo VPS S für 4,99 €/Monat hosten können.
- Selbsthost-Wartung ist nicht null, aber auch nicht erdrückend. Unser WireGuard Hub-and-Spoke-Setup auf Contabo erfordert durchschnittlich etwa 1 Stunde/Monat: System-Upgrades, Schlüsselrotation alle 6 Monate, Log-Überprüfung.
Fall 1 — Solo, Verwaltung Ihrer eigenen Maschinen
Urteil: Tailscale Free, ohne Zögern.
Der Tailscale Personal-Plan (100 Geräte, 3 Benutzer) deckt 99 % der persönlichen Anwendungsfälle ab. MagicDNS funktioniert mit zwei Klicks, NAT-Traversal spart Ihnen einen halben Tag pfSense, und der mobile Client (iOS/Android) ist ehrlich gesagt gut gebaut. An diesem Punkt verschwenden Sie keine Zeit mit dem Selbsthosting von WireGuard.
Der einzige Grund, auf reines WireGuard solo umzusteigen, ist Lernen. Wenn Sie WireGuard tief verstehen möchten, ist der Aufbau Ihres eigenen Hub-and-Spoke auf einem VPS die Übung. Genau das behandelt unser Selbsthost-VPN Contabo WireGuard-Leitfaden, und es ist eine Investition in Fähigkeiten, die sich mittelfristig vielfach auszahlt.
Fall 2 — Kleines Team (2-5 Personen)
Urteil: Tailscale Free, wenn Sie in 3 Benutzer passen, ansonsten WireGuard selbst gehostet.
Bei 4-5 Benutzern wird Tailscale Premium zu $864-$1.080/Jahr. Für das gleiche Geld erhalten Sie:
- 12 Monate eines Contabo VPS S (60 €/Jahr)
- Zeit, um WireGuard mit Ansible zu skripten (10 h ≈ 500 € bei 50 €/h)
- Verbleibendes Budget für Headscale als Option
Diese Gleichung gilt, wenn eine Person im Team Shell-Skripte schreiben kann. Andernfalls steigen die Opportunitätskosten, und $18/Benutzer/Monat Tailscale wird wieder wettbewerbsfähig.
Empfohlenes Selbsthost-Setup für 5 Knoten:
- Ein Contabo VPS S Nürnberg (4 vCPU, 8 GB, 4,99 €/Monat) — siehe unsere Contabo-Bewertung 2026.
- WireGuard im Hub-and-Spoke. Der VPS ist der Hub, alle Clients zeigen darauf.
- Statische Routen auf der Serverseite: eine
AllowedIPspro Client-Peer. - ACLs über iptables: standardmäßig sieht jeder Client nur den Hub; Inter-Client-Routen werden bei Bedarf geöffnet.
- Minimale Beobachtbarkeit:
wg showalle 5 Minuten über cron + Alarm, wenn ein Peer > 15 Minuten offline ist.
Akzeptierter Nachteil von Hub-and-Spoke: Jedes Paket läuft über den VPS. Wenn Alice in Paris eine Datei an Bob in Berlin sendet, geht das Paket Paris → Nürnberg → Berlin. Das sind ~25 ms zusätzliche Latenz im Vergleich zu Tailscale, das einen direkten Tunnel eingerichtet hätte. Für 90 % der Kollaborationsanwendungen (SSH, RDP, Dateien über Syncthing) ist es unsichtbar. Bei Echtzeit-Sprachübertragung wird es spürbar.
Fall 3 — Team von 10-20+ oder Compliance
Urteil: Tailscale Premium oder Headscale selbst gehostet. Nicht reines WireGuard.
Bei 10+ Knoten wird manuelles WireGuard-Full-Mesh unüberschaubar, und Hub-and-Spoke skaliert nicht gut (der Hub wird zum Netzwerkengpass). Zwei ernsthafte Optionen bleiben:
Tailscale Premium: Sie akzeptieren $200-$400/Monat und konzentrieren sich auf Ihr eigentliches Geschäft. Audit-Logs, SAML, ACLs, Support — alles inklusive. Für ein wachsendes B2B-SaaS-Unternehmen ist das wahrscheinlich der beste ROI.
Headscale selbst gehostet: Sie hosten die Open-Source-Kontrollebene (github.com/juanfont/headscale) auf Ihrem eigenen VPS. Die offiziellen Tailscale-Clients zeigen auf Ihren Koordinator — die Magie funktioniert weiterhin, aber ohne Anbieterbindung und ohne monatliche Rechnung. Planen Sie 2-3 Tage für eine saubere Einrichtung mit PostgreSQL-Backend, TLS-Zertifikat und OIDC für die Authentifizierung. Siehe Headscale-Dokumentation.
Headscale ist der Sweet Spot für alle, die Tailscale-ähnliches mit voller Souveränität wollen. Es ist auch ein Fall, bei dem sich die Anfangsinvestition (2-3 Tage eines Sysadmins) in weniger als 2 Monaten im Vergleich zu Tailscale Premium bei 10 Benutzern auszahlt.
Sicherheit im Vergleich — wo die echten Risiken liegen
Tailscale:
- Der Koordinator sieht niemals Ihre privaten Schlüssel (sie bleiben lokal).
- Aber: Der Koordinator verteilt öffentliche Schlüssel und stellt Sitzungen her. Ein Kompromiss des Koordinators würde einem Angreifer ermöglichen, einen bösartigen Peer in Ihr Mesh einzuschleusen.
- Tailscale Inc. veröffentlicht ein detailliertes Bedrohungsmodell und lässt seinen Code regelmäßig prüfen.
- Angriffsfläche: lokaler Client + SaaS-Kontrollebene + DERP-Relays.
WireGuard selbst gehostet:
- Angriffsfläche: lokaler Client + VPS-Hub (den Sie verwalten).
- Keine Drittpartei, aber alles hängt von der Robustheit Ihrer VPS-Konfiguration ab: gehärtetes SSH, Firewall, automatische Updates.
- Konkretes Risiko: Wenn Ihr Hub-VPS kompromittiert wird, hat der Angreifer Zugriff auf
/etc/wireguard/*.conf-Konfigurationen und kann aktiven Datenverkehr entschlüsseln. Deshalb empfehlen wir WireGuard + Port-Klopfen und einen Client-seitigen Kill-Switch.
Headscale:
- Gleiche clientseitige Risiken wie Tailscale, plus die Verantwortung für das Hosting des Koordinators.
- Vorteil: Sie kennen den Betreiber (Sie) und kontrollieren die Logs.
Keine der drei Optionen ist von Natur aus sicherer. Der entscheidende Faktor ist wer die Updates durchführt. Tailscale erledigt sie automatisch für Sie; beim Selbsthosting müssen Sie unattended-upgrades einrichten.
Reale Kosten über 36 Monate — Projektion
Wir haben die Mathematik über 36 Monate für die drei Szenarien (5 Knoten, 5 Benutzer) mit konservativen Annahmen durchgeführt:
| Szenario | Direkte Kosten 36m | Indirekte Kosten (Zeit) | Gesamt |
|---|---|---|---|
| Tailscale Premium | $3.240 | 5h Einrichtung × 50 €/h = 250 € | ~$3.500 |
| WireGuard Hub-and-Spoke Contabo | 180 € | 15h Einrichtung + 36h Wartung = 2.550 € | ~$2.700 |
| Headscale + WireGuard Contabo | 180 € | 30h Einrichtung + 50h Wartung = 4.000 € | ~$4.180 |
Das Ergebnis ist weniger offensichtlich, als es aussieht. Reines WireGuard bleibt bei 5 Knoten in den Gesamtkosten am günstigsten, aber Headscale wird teurer als Tailscale Premium, wenn man die Opportunitätskosten der Zeit berücksichtigt. Tailscale Premium ist die risikoärmste Option, aber die mit den höchsten direkten Geldkosten.
Wenn Sie Ihre Zeit mit mehr als 70 €/h bewerten, wird Tailscale Premium fast so wettbewerbsfähig wie reines WireGuard. Wenn Ihre Zeit günstiger ist (Junior, Nebenprojekt, Lernen), gewinnt das Selbsthosting.
Wie man von Tailscale zu WireGuard selbst gehostet migriert
Das ist der Weg, den wir im März 2026 gegangen sind. Das Ergebnis passt in eine Woche Arbeit, verteilt über 3 Wochenenden:
- Bestehendes Setup prüfen — listen Sie jeden Tailscale-Knoten, ihre Tailnet-IPs (
100.x.x.x), ihre aktuellen ACLs auf. - Einen Contabo VPS S bereitstellen als Hub. Siehe Contabo VPS Schritt-für-Schritt-Tutorial — 20 Minuten von Anfang bis Ende.
- WireGuard auf dem Hub installieren, einen Server-Schlüssel generieren, UDP 51820 in der Contabo-Firewall öffnen.
- Einen statischen IP-Plan definieren — zum Beispiel
10.66.0.0/16auf der WireGuard-Seite, mit sauberer Zuordnung zu den alten Tailnet-IPs. - Eine WireGuard-Konfiguration pro Client generieren, über sicheren Kanal verteilen (Bitwarden, Signal, niemals E-Mail).
- Umschalten: ein Client nach dem anderen, Konnektivität überprüfen,
AllowedIPsserverseitig anpassen. - Tailscale schrittweise herunterfahren, es 1-2 Wochen parallel laufen lassen für einen schnellen Rollback, falls etwas schiefgeht.
Die Migration ist machbar, aber es ist ein Projekt — keine Sache für einen Nachmittag. Wenn das Team 8+ Benutzer umfasst und wir von 30+ Knoten sprechen, bleiben Sie ernsthaft bei Tailscale Premium und investieren Sie die gesparte Zeit in Ihr Produkt.
Mein Urteil (pragmatisch)
- Solo, persönliche Projekte, 1-10 Maschinen → Tailscale Free. Verschwenden Sie nicht Ihre Zeit.
- Solo-Nerd, Lernmodus, 5 €/Monat Budget → WireGuard selbst gehostet auf Contabo. Eine Investition in Fähigkeiten, die sich 10-fach auszahlt.
- Kleines Team 2-5 Personen, keine starken Compliance-Anforderungen → WireGuard Hub-and-Spoke auf Contabo. Souveränität + 60 €/Jahr vs. 1.000 €/Jahr.
- Team 5-15, Wachstumsphase, B2B-Compliance → Tailscale Premium. Gut angelegtes Geld.
- Organisation 15+ mit Souveränitätsanforderungen (EU, öffentlicher Sektor, Verteidigung) → Headscale selbst gehostet. Die Option, die Souveränität und Skalierung vereint.
Schlechteste mögliche Wahl: reines WireGuard mit manuellem Full-Mesh bei 10+ Knoten. Sie werden Ihre Wochenenden damit verbringen und es wird an einem Dienstagabend als kaputtes Mesh enden.
Keine-Infrastruktur-Alternative: Wenn Sie keinen VPS haben und nur Ihre Daten unterwegs schützen möchten (Café, Hotel, Flughafen), ist ein geprüftes No-Log- kommerzielles VPN eine legitime Alternative zum Selbsthosting für den persönlichen Gebrauch.
Proton VPN ansehen →Geprüftes No-Log-VPN · Schweizer Gerichtsbarkeit · Open-Source-Client · Beste Wahl, wenn Selbsthosting für Ihren Anwendungsfall übertrieben ist→Weiterführende Informationen
- Selbsthost-VPN auf Contabo: vollständiger WireGuard-Leitfaden 2026
- Contabo VPS Schritt-für-Schritt-Setup für VPN 2026
- WireGuard vs. OpenVPN: VPS-Benchmarks 2026
- WireGuard Kill-Switch auf Linux: iptables + systemd
- Contabo-Bewertung 2026: ehrliches Feedback aus der Produktion
- Kostenrechner für selbst gehostete VPNs — vergleichen Sie den Tailscale-Team-Plan mit einem WireGuard-VPS über 1, 2 und 3 Jahre mit Ihrer tatsächlichen Benutzeranzahl
- Interaktiver VPS-Vergleich — wählen Sie zwischen Contabo, Hetzner und OVH für Ihren WireGuard-Server basierend auf Latenz und 24-monatigem Preis
Quellen und Referenzen:
- Tailscale Sicherheitsbulletin & Bedrohungsmodell
- Tailscale CLI-Client — Quellcode
- Headscale — Open-Source Tailscale-kompatible Kontrollebene
- WireGuard Whitepaper — Jason A. Donenfeld
- DERP — Designated Encrypted Relay for Packets (Tailscale)
Veröffentlicht am 2026-06-05. Vergleich basierend auf der dokumentierten Architektur und Preisgestaltung jedes Tools. Tailscale-Preise abgerufen von tailscale.com/pricing im Juni 2026 — vor der Entscheidung überprüfen, da sie sich ändern können. Die tatsächliche Leistung und Einsparungen hängen von der Teamgröße, den Compliance-Anforderungen und der Toleranz des Systemadministrators ab.
Erinnerung: WireGuard, Tailscale und VPN-Selbsthosting sind in der EU, den USA, Kanada und den meisten demokratischen Ländern vollkommen legal. VPNSmith veröffentlicht diesen Inhalt zu Bildungszwecken.
★ Nürnberger DSGVO-Rechenzentrum · ✓ Dedizierte IPv4 inklusive · 200+ Mbps garantiert
Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→
