Tailscale Exit Node auf Debian 13 – VPN ohne Portweiterleitung

Eine einfache Möglichkeit, ein eigenes VPN völlig kostenlos einzurichten –

Ohne komplizierte Router-Konfiguration oder öffentliche IP-Adresse. Es nutzt die WireGuard-Verschlüsselung und ermöglicht Ihnen, das Internet sicher von überall aus zu nutzen, als wären Sie zu Hause oder in einem anderen Land.

Einen eigenen Tailscale Exit Node einzurichten erfordert weder teure Hardware noch tiefes Netzwerk-Wissen. Sie benötigen lediglich:

• Einen Laptop, Desktop-PC, Mini-PC oder älteren Computer – auch ein altes Gerät, das Sie nicht mehr täglich nutzen, reicht aus.

• Debian 13 (trixie) – auf diesem Gerät installiert (kann auch „headless“, also ohne Monitor, betrieben werden).

• Internetverbindung – entweder über Ethernet-Anschluss (Kabel) oder WLAN-Adapter.

  • Wenn das Gerät nur als Internet-Ausgang dienen soll, genügt ein einzelner Netzwerkadapter (WLAN oder Ethernet).

  • Wenn es gleichzeitig Internet aus einem Netzwerk empfangen und in ein anderes weitergeben soll, sind zwei Netzwerkadapter erforderlich (z. B. Ethernet + WLAN).

• Ein Tailscale-Konto – kostenlos unter tailscale.com

Ziel: einen Tailscale Exit Node auf Debian 13 (trixie) einrichten. Danach kannst du unterwegs jedem WLAN (mit bekanntem Passwort) beitreten und sämtlichen Datenverkehr über deinen eigenen Rechner leiten – ganz ohne Router-Zugriff, ohne Port-Forwarding und ohne kommerzielle VPN-Anbieter. Die Daten sind Ende-zu-Ende per WireGuard verschlüsselt; Tailscale koordiniert nur die Verbindung.

Was du brauchst

• Debian 13 (trixie) auf dem Gerät, das dein Exit Node sein soll (PC/miniPC/RPi/Laptop).
• Ein Tailscale-Konto (Anmeldung über Google/Microsoft/GitHub etc.).
• Tailscale-App auf dem Client (Laptop/Smartphone).
• Kein Router-Zugriff und keine öffentliche IP erforderlich.

SCHRITT 1 – Tailscale installieren (Debian 13)

Nutze das offizielle Repository für trixie:

# Tailscale-Repo für Debian 13 (trixie) hinzufügen
sudo mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkgs.tailscale.com/stable/debian/trixie.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null
curl -fsSL https://pkgs.tailscale.com/stable/debian/trixie.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list >/dev/null
sudo apt update
sudo apt install tailscale

Alternative (Schnell-Skript):

curl -fsSL https://tailscale.com/install.sh | sh

SCHRITT 2 – Dienst aktivieren

# tailscaled starten und aktivieren
sudo systemctl enable --now tailscaled

# Status prüfen
systemctl status tailscaled --no-pager

SCHRITT 3 – Anmelden / starten

Beim ersten Start erscheint eine URL zur Anmeldung:

# Startet Tailscale (gibt eine URL aus). Öffne sie und bestätige dieses Gerät.
sudo tailscale up

SCHRITT 4 – IP-Forwarding aktivieren (für Exit Node erforderlich)

Damit der Verkehr der Clients ins Internet geroutet werden kann, IPv4 (und optional IPv6) Forwarding aktivieren:

echo 'net.ipv4.ip_forward=1' | sudo tee /etc/sysctl.d/99-tailscale-exit.conf
echo 'net.ipv6.conf.all.forwarding=1' | sudo tee -a /etc/sysctl.d/99-tailscale-exit.conf
sudo sysctl --system

SCHRITT 5 – Dieses Gerät als Exit Node ankündigen

Damit wird dieses Gerät anderen Geräten im Tailnet als „Internet-Ausgang“ angeboten:

# Dieses Gerät als Exit Node anbieten
sudo tailscale up --advertise-exit-node

Optional: Tailscale-SSH erlauben: sudo tailscale up --advertise-exit-node --ssh

SCHRITT 6 – Exit Node im Admin-Bereich freigeben

Im Tailscale-Admin bei diesem Gerät „Use as exit node“/„Exit node“ aktivieren. Ohne Freigabe wird es nicht als Exit für Clients angeboten.

SCHRITT 7 – Client verbinden

7.1 Linux (CLI)

# Tailscale auf dem Client installieren/aktivieren, dann:
sudo tailscale up

# Exit Node wählen (per Gerätename oder Tailscale-IP, z. B. 100.x.y.z)
sudo tailscale up --exit-node=<NAME-ODER-TAILSCALE-IP> --exit-node-allow-lan-access=true

Allow LAN access erlaubt dem Client trotz Exit Node weiterhin den Zugriff auf sein lokales Netz (z. B. Hotel-Drucker). Für strikten Full-Tunnel die Option weglassen.

7.2 Windows

1. Tailscale installieren und anmelden.
2. Einstellungen → Exit Node öffnen und deinen Exit Node auswählen.
3. Optional: „Allow LAN access“ aktivieren.

7.3 Android / iOS

1. Tailscale aus dem Store installieren und anmelden.
2. Im Bereich Exit Node deinen Exit Node auswählen.
3. Optional: „Allow LAN access“ aktivieren.

Test: öffentliche IP prüfen

1. Vor der Nutzung des Exit Node deine öffentliche IP prüfen („what is my IP“).
2. Exit Node wie in Schritt 7 aktivieren.
3. IP erneut prüfen — sie sollte nun die öffentliche IP des Exit Node sein.

# Schneller Terminal-Test
curl https://ifconfig.io

Fehlerbehebung

• Client kann Exit Node nicht nutzen: Nicht im Admin-Bereich freigegeben; auf dem Server erneut sudo tailscale up --advertise-exit-node ausführen.
• Kein Internet über Exit Node: Forwarding fehlt (Schritt 4); prüfen, ob sudo sysctl net.ipv4.ip_forward den Wert 1 liefert.
• Gleichzeitig lokales LAN nutzen: --exit-node-allow-lan-access=true verwenden oder in der App aktivieren.
• Diagnose: tailscale status, tailscale ping <name>, sudo tailscale up --reset.

Tipps: LAN-Zugriff, ausländisches VPS, Headscale

• LAN-Zugriff mit Exit Node: am Client „Allow LAN access“ aktivieren.
• Ausländische IP: Exit Node auf einem günstigen VPS (z. B. Deutschland) betreiben, um eine ausländische öffentliche IP zu erhalten — ganz ohne Router-Konfiguration.
• Vollständig self-hosted Control-Plane: Headscale (Open-Source-Alternative). Für den Einstieg ist das offizielle Tailscale einfacher und sehr stabil.

Schnelle Checkliste