Tailscale en alternatieven — privénetwerk tussen je apparaten
Tailscale maakt een versleuteld mesh-netwerk van al je apparaten zonder poorten te openen of een VPN-server te beheren. Wij leggen uit hoe het werkt en wanneer je Headscale of WireGuard kiest.
Tailscale en alternatieven — privénetwerk tussen je apparaten
Tailscale is anders dan een normale VPN. Het verbindt je eigen apparaten met elkaar in een privaat netwerk — zonder dat je een VPN-server hoeft te beheren, zonder poorten in je router te openen, en zonder dat al je verkeer via een centraal punt loopt.
Het probleem dat Tailscale oplost
Stel: je hebt thuis een NAS, een server of een Raspberry Pi. Je wil er toegang tot hebben als je niet thuis bent. Traditionele opties:
- Poort doorsturen op je router: Werkt, maar stelt je dienst bloot aan het internet. Elk uur komen er scanpogingen op poort 22 (SSH) of 80 (HTTP).
- VPN-server draaien (WireGuard/OpenVPN): Veilig, maar je hebt een stabiel IP-adres nodig, je moet de server zelf updaten, en de configuratie is niet triviaal.
- Tailscale: Geen open poorten, geen eigen server, werkt overal — ook achter CG-NAT (de meeste Nederlandse internetaanbieders).
Hoe Tailscale werkt
Tailscale bouwt een WireGuard-mesh tussen je apparaten. Elk apparaat krijgt een vast IP-adres in het 100.x.x.x-bereik. Apparaten verbinden rechtstreeks met elkaar — peer-to-peer — zonder een centrale server die het verkeer doorgeeft.
Voor de coördinatie (welke apparaten zijn er, wie mag er verbinding mee maken) gebruikt Tailscale hun eigen control server. Die ziet je verkeer niet — alleen de metadata van je netwerk (welke apparaten verbinding zoeken).
Werkt ook achter CG-NAT: Tailscale gebruikt DERP-relay servers als directe verbinding niet lukt. Zelfs achter de moeilijkste NAT-configuraties werkt het.
Specificaties
| Eigenschap | Waarde |
|---|---|
| Technologie | WireGuard mesh |
| IP-bereik | 100.64.0.0/10 (Tailscale specifiek) |
| Gratis tier | Ja — onbeperkte apparaten voor persoonlijk gebruik |
| Betaald | Teams en enterprise plannen |
| Platforms | Windows, macOS, Linux, Android, iOS, FreeBSD |
| Router-ondersteuning | Ja (subnet routing) |
| Exit node | Ja — stuur verkeer via een specifiek apparaat |
| Open-source client | Ja |
| Control server | Tailscale cloud (of zelfgehost via Headscale) |
Subnet routing — heel je thuisnetwerk bereikbaar
Als je Tailscale instelt op een apparaat thuis (Raspberry Pi, NAS, server) en subnet routing activeert, worden alle apparaten op je thuisnetwerk bereikbaar via Tailscale — ook apparaten waarop geen Tailscale draait.
Voorbeeld: je NAS op 192.168.1.100 is bereikbaar op datzelfde adres vanaf je laptop op kantoor, via de Tailscale-verbinding.
Exit node — VPN voor al je verkeer
Je kunt een Tailscale-apparaat instellen als “exit node”. Al je internetverkeer loopt dan via dat apparaat. Handig als je thuis een veilig netwerk hebt en je op openbare wifi zit — je surft dan via je thuisverbinding.
Dit is vergelijkbaar met een traditionele VPN, maar dan via je eigen hardware.
Alternatieven
Headscale — zelfgehoste Tailscale control server
Tailscale’s control server coördineert het netwerk. Headscale is een open-source, zelfgehoste implementatie van die control server. Je draait hem op je eigen VPS of server, en Tailscale-clients verbinden met jouw server in plaats van Tailscale’s cloud.
Voordeel: Geen afhankelijkheid van Tailscale als bedrijf. Volledige controle over wie toegang heeft. Nadeel: Je moet een server beheren, updaten en beveiligen. Meer werk.
Wanneer kiezen voor Headscale: Als privacy ten opzichte van Tailscale (het bedrijf) een vereiste is, of als je de control server in eigen beheer wil.
ZeroTier — alternatief mesh-protocol
ZeroTier is een vergelijkbare mesh-VPN technologie met eigen protocol. Werkt op meer platforms (inclusief sommige embedded systemen) en heeft een eigen virtueel netwerkklaag.
| Tailscale | ZeroTier | Headscale | |
|---|---|---|---|
| Protocol | WireGuard | ZeroTier eigen | WireGuard |
| Control server | Tailscale cloud | ZeroTier cloud | Zelfgehost |
| Gratis tier | Onbeperkt apparaten | 25 apparaten | Zelfgehost |
| Setup | Zeer eenvoudig | Eenvoudig | Complex |
| Open-source | Client | Client | Volledig |
WireGuard handmatig — maximale controle
WireGuard direct configureren zonder Tailscale of ZeroTier. Je beheert zelf de sleutels, de configuratiebestanden, en de server. Geen afhankelijkheid van externe diensten.
Wanneer: Als je al een VPS of thuisserver hebt, en bereid bent de configuratie handmatig te beheren. Zwaarder dan Tailscale, maar volledig open-source en volledig in eigen beheer.
Wanneer gebruik je wat?
| Situatie | Aanbeveling |
|---|---|
| Thuisnetwerk bereikbaar maken, eenvoudig | Tailscale gratis tier |
| Geen afhankelijkheid van externe control server | Headscale op eigen VPS |
| Thuisnetwerk als VPN exit node | Tailscale exit node |
| Maximale controle, geen externe diensten | WireGuard handmatig |
| Embedded apparaten of exotische platforms | ZeroTier |
Installatie in 3 stappen (Tailscale)
- Maak een account aan op tailscale.com (Google, Microsoft of e-mail)
- Installeer de Tailscale client op elk apparaat:
curl -fsSL https://tailscale.com/install.sh | sh(Linux), of via app store - Voer
tailscale upuit en authenticeer — het apparaat verschijnt direct in je netwerk
Alle apparaten met hetzelfde account zijn bereikbaar op hun 100.x.x.x-adres.
Kanttekeningen
Tailscale als bedrijf: Tailscale’s control server coördineert je netwerk. Ze zien welke apparaten er zijn en wanneer ze verbinding zoeken — niet de inhoud van het verkeer. Als dat een bezwaar is: Headscale.
Gratis tier beperkingen: Tailscale’s gratis tier is ruim voor persoonlijk gebruik. Voor teams en bedrijven zijn er betaalde plannen.
Zie ook:
- Welk netwerk past bij jouw dreigingsprofiel? — netwerkoverzicht per dreigingsniveau
- GL.iNet reisrouter instellen — VPN op routerniveau als alternatief
- Netwerkbeveiliging voor crypto gebruikers — netwerk als onderdeel van een bredere beveiligingsstrategie