Eine einfache Möglichkeit, ein eigenes VPN völlig kostenlos einzurichten –
Ohne komplizierte Router-Konfiguration oder öffentliche IP-Adresse. Es nutzt die WireGuard-Verschlüsselung und ermöglicht Ihnen, das Internet sicher von überall aus zu nutzen, als wären Sie zu Hause oder in einem anderen Land.
Einen eigenen Tailscale Exit Node einzurichten erfordert weder teure Hardware noch tiefes Netzwerk-Wissen. Sie benötigen lediglich:
-
Einen Laptop, Desktop-PC, Mini-PC oder älteren Computer – auch ein altes Gerät, das Sie nicht mehr täglich nutzen, reicht aus.
-
Debian 13 (trixie) – auf diesem Gerät installiert (kann auch „headless“, also ohne Monitor, betrieben werden).
-
Internetverbindung – entweder über Ethernet-Anschluss (Kabel) oder WLAN-Adapter.
-
Wenn das Gerät nur als Internet-Ausgang dienen soll, genügt ein einzelner Netzwerkadapter (WLAN oder Ethernet).
-
Wenn es gleichzeitig Internet aus einem Netzwerk empfangen und in ein anderes weitergeben soll, sind zwei Netzwerkadapter erforderlich (z. B. Ethernet + WLAN).
-
-
Ein Tailscale-Konto – kostenlos unter tailscale.com
Ziel: einen Tailscale Exit Node auf Debian 13 (trixie) einrichten. Danach kannst du unterwegs jedem WLAN (mit bekanntem Passwort) beitreten und sämtlichen Datenverkehr über deinen eigenen Rechner leiten – ganz ohne Router-Zugriff, ohne Port-Forwarding und ohne kommerzielle VPN-Anbieter. Die Daten sind Ende-zu-Ende per WireGuard verschlüsselt; Tailscale koordiniert nur die Verbindung.
Was du brauchst
- Debian 13 (trixie) auf dem Gerät, das dein Exit Node sein soll (PC/miniPC/RPi/Laptop).
- Ein Tailscale-Konto (Anmeldung über Google/Microsoft/GitHub etc.).
- Tailscale-App auf dem Client (Laptop/Smartphone).
- Kein Router-Zugriff und keine öffentliche IP erforderlich.
SCHRITT 1 – Tailscale installieren (Debian 13)
Nutze das offizielle Repository für trixie:
# Tailscale-Repo für Debian 13 (trixie) hinzufügen
sudo mkdir -p --mode=0755 /usr/share/keyrings
curl -fsSL https://pkgs.tailscale.com/stable/debian/trixie.noarmor.gpg | sudo tee /usr/share/keyrings/tailscale-archive-keyring.gpg >/dev/null
curl -fsSL https://pkgs.tailscale.com/stable/debian/trixie.tailscale-keyring.list | sudo tee /etc/apt/sources.list.d/tailscale.list >/dev/null
sudo apt update
sudo apt install tailscaleAlternative (Schnell-Skript):
curl -fsSL https://tailscale.com/install.sh | shSCHRITT 2 – Dienst aktivieren
# tailscaled starten und aktivieren
sudo systemctl enable --now tailscaled
# Status prüfen
systemctl status tailscaled --no-pagerSCHRITT 3 – Anmelden / starten
Beim ersten Start erscheint eine URL zur Anmeldung:
# Startet Tailscale (gibt eine URL aus). Öffne sie und bestätige dieses Gerät.
sudo tailscale upSCHRITT 4 – IP-Forwarding aktivieren (für Exit Node erforderlich)
Damit der Verkehr der Clients ins Internet geroutet werden kann, IPv4 (und optional IPv6) Forwarding aktivieren:
echo 'net.ipv4.ip_forward=1' | sudo tee /etc/sysctl.d/99-tailscale-exit.conf
echo 'net.ipv6.conf.all.forwarding=1' | sudo tee -a /etc/sysctl.d/99-tailscale-exit.conf
sudo sysctl --systemSCHRITT 5 – Dieses Gerät als Exit Node ankündigen
Damit wird dieses Gerät anderen Geräten im Tailnet als „Internet-Ausgang“ angeboten:
# Dieses Gerät als Exit Node anbieten
sudo tailscale up --advertise-exit-nodeOptional: Tailscale-SSH erlauben: sudo tailscale up --advertise-exit-node --ssh
SCHRITT 6 – Exit Node im Admin-Bereich freigeben
Im Tailscale-Admin bei diesem Gerät „Use as exit node“/„Exit node“ aktivieren. Ohne Freigabe wird es nicht als Exit für Clients angeboten.
SCHRITT 7 – Client verbinden
7.1 Linux (CLI)
# Tailscale auf dem Client installieren/aktivieren, dann:
sudo tailscale up
# Exit Node wählen (per Gerätename oder Tailscale-IP, z. B. 100.x.y.z)
sudo tailscale up --exit-node=<NAME-ODER-TAILSCALE-IP> --exit-node-allow-lan-access=trueAllow LAN access erlaubt dem Client trotz Exit Node weiterhin den Zugriff auf sein lokales Netz (z. B. Hotel-Drucker). Für strikten Full-Tunnel die Option weglassen.
7.2 Windows
- Tailscale installieren und anmelden.
- Einstellungen → Exit Node öffnen und deinen Exit Node auswählen.
- Optional: „Allow LAN access“ aktivieren.
7.3 Android / iOS
- Tailscale aus dem Store installieren und anmelden.
- Im Bereich Exit Node deinen Exit Node auswählen.
- Optional: „Allow LAN access“ aktivieren.
Test: öffentliche IP prüfen
- Vor der Nutzung des Exit Node deine öffentliche IP prüfen („what is my IP“).
- Exit Node wie in Schritt 7 aktivieren.
- IP erneut prüfen — sie sollte nun die öffentliche IP des Exit Node sein.
# Schneller Terminal-Test
curl https://ifconfig.ioFehlerbehebung
- Client kann Exit Node nicht nutzen: Nicht im Admin-Bereich freigegeben; auf dem Server erneut
sudo tailscale up --advertise-exit-nodeausführen. - Kein Internet über Exit Node: Forwarding fehlt (Schritt 4); prüfen, ob
sudo sysctl net.ipv4.ip_forwardden Wert 1 liefert. - Gleichzeitig lokales LAN nutzen:
--exit-node-allow-lan-access=trueverwenden oder in der App aktivieren. - Diagnose:
tailscale status,tailscale ping <name>,sudo tailscale up --reset.
Tipps: LAN-Zugriff, ausländisches VPS, Headscale
- LAN-Zugriff mit Exit Node: am Client „Allow LAN access“ aktivieren.
- Ausländische IP: Exit Node auf einem günstigen VPS (z. B. Deutschland) betreiben, um eine ausländische öffentliche IP zu erhalten — ganz ohne Router-Konfiguration.
- Vollständig self-hosted Control-Plane: Headscale (Open-Source-Alternative). Für den Einstieg ist das offizielle Tailscale einfacher und sehr stabil.
Schnelle Checkliste
- Tailscale installieren und Dienst aktivieren.
sudo tailscale up→ anmelden.- Forwarding:
/etc/sysctl.d/99-tailscale-exit.confanlegen →sudo sysctl --system. sudo tailscale up --advertise-exit-nodeauf dem Server.- Exit Node im Admin-Bereich freigeben.
- Client: Exit Node wählen (oder
--exit-node=<Name/IP>) und optional--exit-node-allow-lan-access=true. - Öffentliche IP prüfen (
curl https://ifconfig.io).