Das Thema Hosting beschäftigt mich schon lange, und dabei stieß ich immer wieder auf dasselbe Problem: Wie mache ich meine Daten von außen sicher zugänglich, ohne mein Heimnetz wie ein offenes Scheunentor stehen zu lassen?

Das Problem: Die IPv4-Sackgasse

Um einen Server von außen erreichbar zu machen, benötigt man eine eindeutige Adresse – die IP-Adresse. Hier liegt der Hund begraben:

  • IPv4: Der alte Standard (z. B. 138.199.205.5). Einfach zu handhaben, aber Adressen sind knapp.
  • IPv6: Der moderne Nachfolger (lang und kryptisch). Theoretisch unendlich verfügbar, praktisch aber oft durch DS-Lite (mein Provider) eingeschränkt.

Mein Problem: Mein Anschluss zu Hause hat keine öffentliche IPv4-Adresse. Von unterwegs – besonders aus ausländischen Netzen oder restriktiven WLANs – ist mein Heimserver per IPv6 oft schlicht nicht erreichbar.

Die Lösung: Der Hetzner-Server als “Relay”

Ich habe mein Setup um einen VPS bei Hetzner erweitert. Dieser Server besitzt eine feste IPv4 und dient als mein stabiler Ankerpunkt im Netz. Aber wie finden mein Handy, der Hetzner-Server und mein NUC zu Hause (“elgrundo”) zueinander?

Mein neuer Weg: Das Tailscale-Mesh

Früher habe ich versucht, das Ganze mühsam mit manuellem WireGuard-Routing zu lösen. Heute nutze ich Tailscale. Das basiert technisch zwar auf dem WireGuard-Protokoll, ist aber “auf Steroiden” und deutlich intelligenter im Management.

  1. Das Mesh-Netzwerk: Ich habe Tailscale auf dem Hetzner-Server, meinem Heimserver und meinem CachyOS-PC installiert. Alle Geräte erhalten eine interne 100.x.x.x IP. Sie sind nun “Bros” in einem privaten, verschlüsselten Netzwerk.
  2. Keine Portfreigaben: Das Geniale an Tailscale ist, dass es Firewalls einfach “durchtunnelt”. Ich musste in meiner Fritzbox keinen einzigen Port öffnen.
  3. Sicherheit durch CrowdSec & UFW: Auf dem Hetzner-Server wacht CrowdSec. Es scannt die öffentlichen Web-Anfragen und blockt Angreifer sofort. Mein SSH-Zugang ist komplett vom öffentlichen Internet abgeklemmt und nur noch über den Tailscale-Tunnel erreichbar.
  4. Handy-Anbindung: Statt einer komplizierten WireGuard-Konfiguration nutze ich jetzt einfach die Tailscale-App. Ein Login, und mein Handy ist Teil des Heimnetzes – egal ob ich im Garten oder im Ausland bin.

Das Ergebnis: Voller Zugriff, null Stress

Nachdem ich WireGuard zugunsten von Tailscale in Rente geschickt habe, läuft das Setup endlich rund:

  • Stabile Verbindung: Dank Tailscale erreichen sich die Geräte immer auf dem kürzesten Weg (Direct Path) oder über Relay-Server, falls das Netz mal zickt.
  • Mobiler Schutz: Ich kann meinen Heimserver oder den Hetzner-Server als Exit Node nutzen. Dann surfe ich auch im Hotel-WLAN so sicher wie zu Hause.
  • Zentrale Dienste: Mein Nginx Proxy Manager auf dem Hetzner-Server leitet Anfragen für elgrundo.de sicher durch den VPN-Tunnel an meine Container (Immich, Paperless, etc.) weiter.

Ein großer Schritt für mein Setup ist getan. Die manuelle Fricklei ist vorbei, die Logik regiert. Falls du also noch mit instabilen VPN-Tunneln kämpfst: Schau dir Tailscale an – dein Blutdruck wird es dir danken!