Was ist Headscale? Self-hosted Tailscale-Control-Server erklärt

Timo Wevelsiep•Aktualisiert: 30.06.2026

Hinweis zum Inhalt: Versionen, Befehle und Preise können sich ändern. Bitte prüfen Sie kritische Schritte vor dem produktiven Einsatz eigenständig. Dieser Leitfaden ersetzt keine individuelle Beratung.

Verteilte Infrastruktur souverän fernwarten? WZ-IT baut Remote-Management-Plattformen mit selbst gehostetem WireGuard-Mesh als Netz-Backend. Zur Remote-Management-Plattform

Headscale ist eine quelloffene, selbst gehostete Implementierung des Tailscale-Control-Servers - also des Koordinationsservers, der ein WireGuard-basiertes Mesh-Netz steuert, ohne dass Sie von der Tailscale-Cloud abhängig sind. Tailscale besteht aus zwei Teilen: einer Steuerungsebene (Control Plane), die Schlüssel, Routen und Zugriffsregeln verteilt, und einer Datenebene aus direkten WireGuard-Tunneln. Diese Steuerungsebene ist bei Tailscale proprietär und cloud-only. Headscale reimplementiert genau diesen Server quelloffen, sodass Sie ihn auf Ihrer eigenen Infrastruktur betreiben - und dabei die offiziellen, unveränderten Tailscale-Clients weiterverwenden. Stand Mitte 2026 ist Headscale bei Version v0.29.1 (18. Juni 2026, github.com/juanfont/headscale) unter BSD-3-Clause-Lizenz.

Inhaltsverzeichnis

Wie Headscale funktioniert
Aktuelle Version und Lizenz
Headscale vs. Tailscale
Headscale vs. NetBird
Self-hosted statt Cloud: was das bringt
Headscale vs. Tailscale vs. NetBird vs. reines WireGuard
Wann Headscale, wann NetBird, wann reines WireGuard
Einsatz und unser Blick bei WZ-IT
Weiterführende Guides

Wie Headscale funktioniert

Headscale übernimmt die Rolle der Control Plane in einem Tailscale-Netz, dem sogenannten Tailnet. Es trennt - wie Tailscale selbst - Steuerung und Datenverkehr sauber voneinander:

Koordination (Control Plane): Die Headscale-Instanz hält den Netzwerkstatus. Sie registriert Geräte (per Pre-Auth-Key oder Single-Sign-On), verwaltet deren öffentliche WireGuard-Schlüssel, weist IP-Adressen aus dem Tailnet-Bereich zu und verteilt die Netzkarte (welcher Peer welchen erreichen darf) an alle Knoten.
Datenebene (WireGuard): Der eigentliche Verkehr läuft nicht über Headscale, sondern als direkter, verschlüsselter WireGuard-Tunnel zwischen den Peers. Die Clients ermitteln per NAT-Traversal wo möglich eine direkte Peer-to-Peer-Route. Mehr zur Datenebene in unserer WireGuard-Expertise.
DERP-Relays: Wenn keine direkte Verbindung zustande kommt (striktes NAT, Firewalls), läuft der Tunnel über ein DERP-Relay. Headscale bringt einen eingebetteten DERP-Server mit und kann zusätzlich auf die öffentlichen DERP-Relays von Tailscale zurückgreifen. Da WireGuard Ende-zu-Ende verschlüsselt, sieht das Relay nur Chiffrat.
ACLs und MagicDNS: Der Zugriff wird über eine ACL-Policy gesteuert (welche Nutzer und Gruppen welche Ziele und Ports erreichen). MagicDNS löst Knoten über Namen statt IPs auf. Über OpenID Connect (OIDC) lassen sich Geräte per SSO registrieren; ergänzend werden Exit-Nodes, Subnet-Router und Tailscale SSH unterstützt.

Aktuelle Version und Lizenz

Headscale steht unter der permissiven BSD-3-Clause-Lizenz und ist damit vollständig kostenlos und quelloffen. Die aktuelle stabile Version ist v0.29.1 vom 18. Juni 2026 (Releases). Gepflegt wird das Projekt von Juan Font Alonso und Kristoffer Dalby; einer der Maintainer ist bei Tailscale angestellt und darf während der Arbeitszeit beitragen, die anderen Maintainer reviewen seine Beiträge. Das Projekt ist ausdrücklich nicht mit Tailscale Inc. affiliiert.

Wichtig für die Erwartungshaltung: Headscale verfolgt bewusst einen schmalen Funktionsumfang - ein einzelnes Tailnet, gedacht für Self-Hoster, Hobbyisten und kleine (Open-Source-)Organisationen. Es ist kein Drop-in-Ersatz für jede Enterprise-Funktion der Tailscale-Cloud.

Headscale vs. Tailscale

Beide Welten teilen sich dieselbe Datenebene (WireGuard) und dieselben offiziellen Tailscale-Clients. Der Unterschied liegt allein in der Steuerungsebene:

Tailscale: Der Koordinationsserver ist proprietär und wird ausschließlich als verwalteter Cloud-Dienst betrieben. Komfortabel, aber die Control Plane liegt beim Anbieter.
Headscale: Eine quelloffene Reimplementierung genau dieses Servers, die Sie selbst hosten. Sie richten den Tailscale-Client lediglich auf Ihre Headscale-Instanz aus (Login-Server-Parameter) statt auf die Tailscale-Cloud.

Praktisch heißt das: Sie bekommen die ausgereifte Client-Experience von Tailscale - inklusive MagicDNS, Exit-Nodes und Tailscale SSH - behalten aber Schlüsselverteilung, Routen, Zugriffsregeln und Audit-Daten in der eigenen Infrastruktur. Tiefer in Einsatz und Betrieb geht unsere Headscale-Expertise.

Headscale vs. NetBird

Headscale und NetBird lösen ein ähnliches Problem (self-hosted WireGuard-Mesh mit zentraler Steuerung), setzen aber unterschiedlich an:

Headscale ist ein reiner Control-Server. Es ersetzt nur den Tailscale-Koordinationsserver und lehnt sich vollständig an das Tailscale-Ökosystem und dessen offizielle Clients an. Es hat keine offizielle WebUI - die Verwaltung läuft über CLI und Konfigurationsdatei. Dashboards gibt es nur als Community-Projekte (etwa headscale-ui, Headplane, headscale-admin), die nicht von den Maintainern betreut werden.
NetBird ist eine vollständige Plattform. Es bringt eigene Clients, ein Web-Dashboard, eine integrierte Identität bzw. OIDC-IdP-Anbindung, Zugriffs-Policies, Posture Checks und einen Kubernetes-Operator mit. Mehr dazu in unserer NetBird-Expertise.

Faustregel: Headscale ist die schlanke, Tailscale-kompatible Steuerungsebene für CLI-affine Betreiber; NetBird ist die "Batterien inklusive"-Plattform, wenn Sie UI, IdP und Policy-Verwaltung aus einer Hand wollen.

Self-hosted statt Cloud: was das bringt

Der Kerngewinn von Headscale ist Souveränität. Sie betreiben den Koordinationsserver selbst - typisch auf einer kleinen VM - und behalten damit die volle Kontrolle über:

Schlüssel und Mitgliedschaft: Welche Geräte zum Tailnet gehören, entscheidet ausschließlich Ihre Instanz.
Datenstandort: Die Steuerungsebene und ihre Metadaten bleiben in Ihrer Infrastruktur, etwa in der EU - relevant im Hinblick auf Regulierung wie die NIS2-Richtlinie. Dieser Beitrag ist allgemeine Information und keine Rechtsberatung.
Keine externe Abhängigkeit: Ihr Netz funktioniert unabhängig von der Verfügbarkeit oder Preispolitik eines Cloud-Anbieters.

Der Preis dafür ist Betriebsverantwortung: Updates, Backup der Datenbank, Erreichbarkeit des Control-Servers und gegebenenfalls ein eigener DERP-Server liegen bei Ihnen.

Headscale vs. Tailscale vs. NetBird vs. reines WireGuard

Kriterium	Headscale	Tailscale	NetBird	Reines WireGuard
Control Plane	quelloffene Reimplementierung	proprietär, nur Cloud	quelloffen, self-hostbar	keine
Lizenz	BSD-3-Clause	Clients BSD-3, Control Plane SaaS	BSD-3 (Clients) + AGPLv3 (Server)	GPLv2
Datenebene	WireGuard	WireGuard	WireGuard	WireGuard
Clients	offizielle Tailscale-Clients	Tailscale-Clients	eigene NetBird-Clients	wg / wg-quick
Web-Dashboard	nein (Community-UIs)	ja	ja	nein
SSO / IdP	OIDC (Geräteregistrierung)	ja	ja (OIDC, integriert)	nein
Zugriffsregeln	ACL-Policy	ja	ja (default-deny)	manuell (AllowedIPs)
Zielgruppe	Self-Hoster, kleine Orgs	Teams/Enterprise (Cloud)	Teams/Enterprise (self-hosted)	statische Topologien

Wann Headscale, wann NetBird, wann reines WireGuard

Headscale, wenn Sie die ausgereifte Tailscale-Client-Experience schätzen, die Steuerungsebene aber selbst hosten wollen und mit CLI- und Konfigurationsdatei-Betrieb gut zurechtkommen. Ideal für Homelabs, kleine Organisationen und souveränitätsgetriebene Setups mit überschaubarer Knotenzahl.
NetBird, wenn Sie eine vollständige self-hosted Plattform mit Web-Dashboard, integriertem IdP, feingranularen Policies, Posture Checks und Kubernetes-Anbindung brauchen - ohne sich selbst um die Tailscale-Client-Kompatibilität kümmern zu wollen.
Reines WireGuard, wenn Ihre Topologie klein und statisch ist - etwa eine Handvoll fester Punkt-zu-Punkt- oder Standortverbindungen ohne dynamische Mitgliederverwaltung. Wie das in der Praxis aussieht, zeigt unser Leitfaden WireGuard zur Standortanbindung.

Einsatz und unser Blick bei WZ-IT

Headscale ist eine starke Wahl, wenn die Tailscale-Mechanik überzeugt, die Abhängigkeit von der Tailscale-Cloud aber nicht in Frage kommt. In typischen Szenarien verbindet es verteilte Server, Edge-Geräte und Admin-Zugänge zu einem privaten Mesh, über das Techniker SSH, RDP oder Weboberflächen erreichen - ohne offene Inbound-Ports am Standort.

Bei WZ-IT bauen wir souveräne Remote-Management- und Fernwartungs-Plattformen auf selbst gehostetem WireGuard-Mesh als Netz-Backend, kombiniert mit einer auditierbaren Zugriffsschicht (Browser-Gateway, RBAC, Audit-Trail). Ob Headscale, NetBird oder reines WireGuard die passende Steuerungsebene ist, hängt von Knotenzahl, Bedienkomfort und Compliance-Anforderungen ab - wir wählen pro Projekt. Wie das produktiv aussieht, zeigt die Case Study ABCO Water Systems für verteilte Anlagen in Australien. Konzeption, Aufbau und Betrieb übernehmen wir auf Wunsch komplett im Rahmen unserer Remote-Management-Plattformen.

Weiterführende Guides

Headscale-Expertise - Einsatz und Betrieb
Was ist NetBird? - die vollständige self-hosted Mesh-Plattform
WireGuard zur Standortanbindung - die Datenebene unter Headscale
WireGuard-Expertise - Grundlagen und Betrieb

Steuerungsebene selbst hosten, statt sie aus der Hand zu geben? Lernen Sie uns kennen oder sehen Sie sich unsere Remote-Management-Plattformen an.

Sie möchten Remote Access & Fernwartung nicht selbst betreiben? WZ-IT übernimmt Einrichtung, Betrieb und Wartung – DSGVO-konform aus Deutschland.

Managed Remote Access & Fernwartung →Managed Remote Access & Fernwartung →

Häufig gestellte Fragen

Antworten auf die wichtigsten Fragen

Headscale ist eine quelloffene, selbst gehostete Implementierung des Tailscale-Control-Servers, also des Koordinationsservers. Es baut ein WireGuard-basiertes Mesh-Netz auf, ohne dass Sie von der Tailscale-Cloud abhängig sind. Sie betreiben den Steuerungsserver selbst und verbinden Geräte mit den offiziellen Tailscale-Clients zu einem privaten Netz (Tailnet).

Ja. Headscale steht unter der permissiven BSD-3-Clause-Lizenz und ist kostenlos. Aktuelle Version ist v0.29.1 (18. Juni 2026). Das Projekt ist nicht mit Tailscale Inc. affiliiert und wird von Juan Font Alonso und Kristoffer Dalby gepflegt; einer der Maintainer arbeitet bei Tailscale.

Beide nutzen WireGuard als Datenebene und dieselben offiziellen Tailscale-Clients. Tailscales Koordinationsserver ist proprietär und läuft ausschließlich als Cloud-Dienst. Headscale ist eine quelloffene Reimplementierung genau dieses Servers, die Sie selbst hosten. So bleibt die Steuerungsebene mit Schlüsselverteilung, Routen und Zugriffsregeln unter eigener Kontrolle.

Headscale ersetzt nur den Tailscale-Control-Server und nutzt die offiziellen Tailscale-Clients; es hat bewusst einen schmalen Funktionsumfang und keine offizielle WebUI. NetBird ist eine vollständige, eigenständige Plattform mit eigenen Clients, Web-Dashboard und integrierter IdP- bzw. OIDC-Anbindung. Beide setzen auf WireGuard als Datenebene.

Nein. Headscale bringt keine eingebaute Weboberfläche mit; die Verwaltung läuft über CLI und Konfigurationsdatei. Es gibt mehrere Community-Projekte wie headscale-ui, Headplane oder headscale-admin, die ein Dashboard nachrüsten, diese werden aber nicht von den Headscale-Maintainern betreut.

Headscale verwendet die offiziellen, unveränderten Tailscale-Clients für Linux, Windows, macOS, iOS und Android. Sie zeigen den Client per Login-Server-Parameter auf Ihre Headscale-Instanz statt auf die Tailscale-Cloud. Funktionen wie MagicDNS, Exit-Nodes, Subnet-Router und Tailscale SSH werden unterstützt.

Headscale passt, wenn Sie die Tailscale-Client-Experience wollen, die Steuerungsebene aber selbst hosten und mit CLI-Betrieb gut leben können. NetBird passt, wenn Sie eine komplette self-hosted Plattform mit Dashboard, IdP und Policies brauchen. Reines WireGuard passt für kleine, statische Punkt-zu-Punkt- oder Standortverbindungen ohne dynamische Mitgliederverwaltung.