Tailscale en alternatieven — privénetwerk tussen je apparaten
Voor wie is dit? Voor thuisgebruikers en IT-professionals die hun eigen apparaten veilig willen bereiken van buiten het thuisnetwerk — zonder open poorten of een eigen VPN-server te beheren.
Tailscale en alternatieven — privénetwerk tussen je apparaten
Voor wie is dit? Voor thuisgebruikers en IT-professionals die hun eigen apparaten veilig willen bereiken van buiten het thuisnetwerk — zonder open poorten of een eigen VPN-server te beheren.
Tailscale is anders dan een normale VPN. Het verbindt je eigen apparaten met elkaar in een privaat netwerk — zonder dat je een VPN-server hoeft te beheren en meestal zonder poorten in je router te openen. In de meeste gevallen loopt verkeer direct tussen apparaten; als dat niet lukt gebruikt Tailscale een relay als fallback.
Wat je wint, en wat het kost
Je wint eenvoudige, veilige toegang tot je eigen apparaten op afstand zonder port forwarding, dynamische DNS of een zelf beheerde VPN-server. Voor veel mensen is dat de snelste route naar “ik kan thuis weer bij mijn NAS of server” zonder meteen netwerkbeheerder te worden.
De prijs is afhankelijkheid van een coördinatiedienst en een extra vertrouwenslaag in je netwerkmodel. Tailscale ziet je inhoud niet, maar wel metadata over apparaten en verbindingen, en sommige geavanceerde scenario’s vragen alsnog dat je begrijpt hoe routes, exit nodes en ACL’s werken.
Wanneer dit overkill is
Als je nooit van buiten huis bij je apparaten hoeft, heb je dit niet nodig. En als je juist maximale autonomie wilt en bereid bent een eigen WireGuard- of Headscale-setup te beheren, dan is Tailscale misschien te gemakzuchtig voor je eisen. Het sterke midden zit bij mensen die wél externe toegang willen, maar geen zin hebben in open poorten en serverbeheer.
Het probleem dat Tailscale oplost
Stel: je hebt thuis een NAS, een server of een Raspberry Pi. Je wil er toegang tot hebben als je niet thuis bent. Traditionele opties:
- Poort doorsturen op je router: Werkt, maar stelt je dienst bloot aan het internet. Elk uur komen er scanpogingen op poort 22 (SSH) of 80 (HTTP).
- VPN-server draaien (WireGuard/OpenVPN): Veilig, maar je hebt een stabiel IP-adres nodig, je moet de server zelf updaten, en de configuratie is niet triviaal.
- Tailscale: Geen open poorten, geen eigen server, werkt overal — ook achter CG-NAT (de meeste Nederlandse internetaanbieders).
Hoe Tailscale werkt
Tailscale bouwt een WireGuard-mesh tussen je apparaten. Elk apparaat krijgt een vast IP-adres in het 100.x.x.x-bereik. Apparaten proberen rechtstreeks peer-to-peer te verbinden. Als dat niet lukt, valt Tailscale terug op een relay-verbinding.
Voor de coördinatie (welke apparaten zijn er, wie mag er verbinding mee maken) gebruikt Tailscale hun eigen control server. Die ziet je verkeer niet — alleen de metadata van je netwerk (welke apparaten verbinding zoeken).
Werkt ook achter CG-NAT: Tailscale gebruikt DERP-relay servers als directe verbinding niet lukt. Zelfs achter de moeilijkste NAT-configuraties werkt het.
Specificaties
| Eigenschap | Waarde |
|---|---|
| Technologie | WireGuard mesh |
| IP-bereik | 100.64.0.0/10 (Tailscale specifiek) |
| Gratis tier | Ja — persoonlijk plan met limieten |
| Betaald | Teams en enterprise plannen |
| Platforms | Windows, macOS, Linux, Android, iOS, FreeBSD |
| Router-ondersteuning | Ja (subnet routing) |
| Exit node | Ja — stuur verkeer via een specifiek apparaat |
| Open-source client | Ja |
| Control server | Tailscale cloud (of zelfgehost via Headscale) |
Subnet routing — heel je thuisnetwerk bereikbaar
Als je Tailscale instelt op een apparaat thuis (Raspberry Pi, NAS, server) en subnet routing activeert, worden apparaten op dat subnet bereikbaar via Tailscale — ook apparaten waarop geen Tailscale draait.
Voorbeeld: je NAS op 192.168.1.100 is bereikbaar op datzelfde adres vanaf je laptop op kantoor, via de Tailscale-verbinding.
Exit node — VPN voor al je verkeer
Je kunt een Tailscale-apparaat instellen als “exit node”. Al je internetverkeer loopt dan via dat apparaat. Handig als je thuis een veilig netwerk hebt en je op openbare wifi zit — je surft dan via je thuisverbinding.
Dit is vergelijkbaar met een traditionele VPN, maar dan via je eigen hardware.
Alternatieven
Headscale — zelfgehoste Tailscale control server
Tailscale’s control server coördineert het netwerk. Headscale is een open-source, zelfgehoste implementatie van die control server. Je draait hem op je eigen VPS of server, en Tailscale-clients verbinden met jouw server in plaats van Tailscale’s cloud.
Voordeel: Geen afhankelijkheid van Tailscale als bedrijf. Volledige controle over wie toegang heeft. Nadeel: Je moet een server beheren, updaten en beveiligen. Meer werk.
Wanneer kiezen voor Headscale: Als privacy ten opzichte van Tailscale (het bedrijf) een vereiste is, of als je de control server in eigen beheer wil.
ZeroTier — alternatief mesh-protocol
ZeroTier is een vergelijkbare mesh-VPN technologie met eigen protocol. Werkt op meer platforms (inclusief sommige embedded systemen) en heeft een eigen virtueel netwerkklaag.
| Tailscale | ZeroTier | Headscale | |
|---|---|---|---|
| Protocol | WireGuard | ZeroTier eigen | WireGuard |
| Control server | Tailscale cloud | ZeroTier cloud | Zelfgehost |
| Gratis tier | Onbeperkte apparaten / tot 6 gebruikers op Personal | 25 apparaten | Zelfgehost |
| Setup | Zeer eenvoudig | Eenvoudig | Complex |
| Open-source | Client | Client | Volledig |
WireGuard handmatig — maximale controle
WireGuard direct configureren zonder Tailscale of ZeroTier. Je beheert zelf de sleutels, de configuratiebestanden, en de server. Geen afhankelijkheid van externe diensten.
Wanneer: Als je al een VPS of thuisserver hebt, en bereid bent de configuratie handmatig te beheren. Zwaarder dan Tailscale, maar volledig open-source en volledig in eigen beheer.
Wanneer gebruik je wat?
| Situatie | Aanbeveling |
|---|---|
| Thuisnetwerk bereikbaar maken, eenvoudig | Tailscale gratis tier |
| Geen afhankelijkheid van externe control server | Headscale op eigen VPS |
| Thuisnetwerk als VPN exit node | Tailscale exit node |
| Maximale controle, geen externe diensten | WireGuard handmatig |
| Embedded apparaten of exotische platforms | ZeroTier |
Installatie in 3 stappen (Tailscale)
- Maak een account aan op tailscale.com met een ondersteunde loginmethode
- Installeer de Tailscale client op elk apparaat:
curl -fsSL https://tailscale.com/install.sh | sh(Linux), of via app store - Voer
tailscale upuit en authenticeer — het apparaat verschijnt direct in je netwerk
Alle apparaten met hetzelfde account zijn bereikbaar op hun 100.x.x.x-adres.
Kanttekeningen
Tailscale als bedrijf: Tailscale’s control server coördineert je netwerk. Ze zien welke apparaten er zijn en wanneer ze verbinding zoeken — niet de inhoud van het verkeer. Als dat een bezwaar is: Headscale.
Gratis tier beperkingen: Tailscale’s Personal-plan is ruim voor thuisgebruik: onbeperkte apparaten, tot 6 gebruikers (check actuele limieten op tailscale.com/pricing). Voor teams en bedrijven zijn er betaalde plannen.
Volgende stap
Netwerkkeuze bepalen
- Welk netwerk past bij jouw profiel? — is Tailscale genoeg of heb je router- of segmentatiewerk nodig?
Alternatieven
- GL.iNet reisrouter instellen — VPN op routerniveau
- Netwerkbeveiliging voor crypto gebruikers