Eigentlich wollte ich ein WireGuard-Video vorbereiten. Nach einem Abend mit Portfreigaben, Routerkonfiguration und der Frage nach einer öffentlichen IP-Adresse war klar: Das muss einfacher gehen. Bei der Recherche bin ich auf Tailscale gestoßen, und genau diese Einrichtung zeige ich im Video von der Installation bis zum Test über das Mobilfunknetz.
Warum nicht einfach WireGuard?
WireGuard ist ein bewährter VPN-Klassiker, und viele von euch haben in den Kommentaren danach gefragt. Der Haken liegt nicht im Protokoll, sondern im Drumherum: Du musst Ports im Router freigeben, brauchst eine öffentliche IP-Adresse oder eine Domain, die auf dein Heimnetz zeigt. Wer einen Anschluss ohne eigene öffentliche IP hat oder schlicht nicht an die Router-Einstellungen kommt, steht auf dem Schlauch.
Tailscale umgeht das komplett. Der Dienst nennt sich Zero-Config-VPN, und das trifft es: keine Portfreigabe, kein Port-Forwarding, keine Router-Konfiguration. Du meldest deine Geräte bei Tailscale an, und sie finden sich gegenseitig. Die Verbindung läuft dabei möglichst direkt von Gerät zu Gerät und ist durchgehend verschlüsselt. Unter der Haube arbeitet übrigens das WireGuard-Protokoll. Wenn du WireGuard vertraust, und das kann man bei einem gepflegten Open-Source-Projekt, gibt es wenig Grund, Tailscale zu misstrauen.
Einen Kompromiss gehst du ein: Du brauchst ein Konto bei Tailscale, das die Geräte koordiniert. Bei purem WireGuard wäre kein Drittanbieter im Spiel. Für mich ist das die einzige echte Downside.
Das Add-on installieren und verbinden
In Home Assistant gehst du auf Einstellungen, dann Add-ons und in den Add-on Store. Such nach "Tailscale", installiere das offizielle Add-on und aktiviere automatische Updates. Da es offiziell gepflegt wird, kannst du davon ausgehen, dass es regelmäßig Updates bekommt.
Nach dem Start wirfst du einen Blick ins Protokoll des Add-ons. Dort taucht eine URL auf, über die du dich authentifizierst: Link öffnen, bei Tailscale einloggen oder ein Konto anlegen, Verbindung bestätigen. Zurück im Protokoll steht dann "Login successful", und in der Tailscale-Konsole im Browser siehst du Home Assistant als erstes verbundenes Gerät. Das war schon die halbe Miete: Dein Home Assistant hängt jetzt im Tailscale-Netz.
Smartphone einrichten und testen
Jetzt fehlt die Gegenstelle. Tailscale hat Clients für praktisch jedes Betriebssystem, im Video nehme ich ein iPhone, mit Android läuft es genauso. App installieren, mit demselben Konto anmelden, das VPN-Profil erlauben und auf Connect tippen. In der Tailscale-Konsole stehen jetzt beide Geräte.
Der Praxistest ist simpel: WLAN am Handy ausschalten. Oben in der Statusleiste steht 5G, die VPN-Verbindung ist aktiv, und die Home Assistant App lädt trotzdem. Du greifst also über das Mobilfunknetz sicher auf deine lokale Instanz zu, ohne dass dein Router auch nur angefasst wurde. Einfacher geht Fernzugriff kaum.
Ein Kniff für den Alltag: Auf dem Smartphone kannst du dir eine Automation bauen, die das VPN automatisch aktiviert, sobald du dein Heim-WLAN verlässt. So bleibst du dauerhaft mit Home Assistant verbunden, ohne daran zu denken. Und natürlich kannst du auch deinen Laptop ins Tailscale-Netz holen und von unterwegs an deiner Konfiguration arbeiten.
Kosten, Grenzen und für wen sich das lohnt
Der Personal-Tarif von Tailscale ist kostenlos und erlaubt drei Benutzer mit bis zu 100 Geräten. Das reicht locker, um auch die Smartphones der Familie einzubinden, damit alle von unterwegs auf Home Assistant zugreifen können. Eine faire Preispolitik, wie ich finde.
Die Grenze des Konzepts: Jedes Gerät, das zugreifen soll, braucht den Tailscale-Client und dein Konto. Eine öffentliche Adresse, die du einfach im Browser aufrufst, bekommst du hier nicht. Wenn du genau das willst, schau dir den Fernzugriff per Cloudflare Tunnel an, und der bequemste Weg ohne jede Bastelei bleibt die Home Assistant Cloud. Ich selbst erreiche mein Home Assistant über eine eigene Subdomain, weshalb ich die VPN-Lösung im Alltag gar nicht brauche. Für alle ohne eigene Domain und ohne Lust auf Abos ist Tailscale aber ein richtig guter Weg. Einen Überblick über alle Varianten samt Absicherung gibt der Guide zu Fernzugriff und Sicherheit.
Häufige Fragen
Ist Tailscale kostenlos?
Für den Heimgebrauch ja. Der Personal-Tarif kostet nichts und umfasst drei Benutzer und bis zu 100 Geräte, das deckt ein Smart Home samt Familie ab. Bezahlpläne richten sich an Teams und Firmen. Du brauchst lediglich ein Tailscale-Konto, mit dem du dich beim Add-on und in den Apps anmeldest.
Wie sicher ist Tailscale?
Tailscale baut auf dem WireGuard-Protokoll auf, das als zuverlässig und gut geprüft gilt. Die Verbindung zwischen deinen Geräten ist durchgehend verschlüsselt und läuft, wo immer möglich, direkt von Gerät zu Gerät. Anders als bei einer öffentlichen Domain ist deine Home-Assistant-Instanz für den Rest des Internets unsichtbar, nur Geräte in deinem Tailscale-Netz kommen ran.
Brauche ich eine Portfreigabe oder eine feste IP-Adresse?
Nein, und genau das ist der Punkt von Tailscale. Es funktioniert auch an Anschlüssen ohne eigene öffentliche IPv4-Adresse, an denen klassisches WireGuard scheitert. Du musst weder Ports öffnen noch DynDNS einrichten noch in die Router-Konfiguration. Add-on installieren, anmelden, fertig.
Tailscale oder Cloudflare Tunnel: Was passt zu mir?
Tailscale ist die richtige Wahl, wenn nur du und deine Familie zugreifen sollen und ihr die App auf euren Geräten installieren mögt. Cloudflare Tunnel macht deine Instanz über eine eigene Domain im Browser erreichbar, ganz ohne Client, dafür brauchst du eine Domain und solltest die Anmeldung mit Zwei-Faktor-Authentifizierung absichern. Beides kostet außer der Domain nichts, ich nutze selbst die Tunnel-Variante.
