„Self-hosted VPN“ bedeutet für drei verschiedene Zielgruppen drei verschiedene Dinge, und die meisten Listenartikel scheitern, weil sie das alles in einen Topf werfen. Ein Nutzer, dem Privatsphäre wichtig ist und der einen kommerziellen VPN-Dienst durch einen eigenen Exit-Node ersetzen möchte, löst nicht dasselbe Problem wie ein vierköpfiges Engineering-Team, das ein Home-Lab mit AWS verbindet. Die Werkzeuge überschneiden sich, aber das richtige Werkzeug für die eine Aufgabe ist selten das richtige für eine andere.
Dieser Leitfaden ist um diese Unterteilung herum aufgebaut. Drei Anwendungsfälle, drei Hauptempfehlungen und die ehrlichen Kompromisse, die jeweils dazugehören. Hier gibt es keine Schritt-für-Schritt-Anleitungen zur Einrichtung. Sobald das richtige Werkzeug für Ihre Aufgabe feststeht, folgen Links zu den vollständigen Einrichtungsanleitungen.
Die Kurzfassung
- Für persönliche Privatsphäre als eigenen Exit-Node setzen Sie WireGuard auf einem kleinen VPS in einer Nicht-Five-Eyes-Jurisdiktion ein. WireGuard Easy ergänzt eine Web-Oberfläche, falls Sie eine möchten. OpenVPN nur, wenn Ihr Netzwerk UDP blockiert.
- Für ein Team-Mesh, das Laptops, Home-Labs und Cloud-VPCs verbindet, ist Tailscale für die meisten Teams die pragmatische Antwort. Betreiben Sie Headscale oder Netmaker nur, wenn die Kontrolle über die Control Plane Teil Ihres Bedrohungsmodells ist.
- Für Nutzer in restriktiven Internetumgebungen ist Hiddify Manager derzeit die beste Antwort. WireGuard und OpenVPN überstehen Deep Packet Inspection nicht aus eigener Kraft.
- Ein VPS mit 1 vCPU und 512 MB bewältigt einen persönlichen WireGuard-Server mit reichlich Luft nach oben. Der Engpass ist die Bandbreite, nicht die Rechenleistung.
Wann sich das Self-Hosting eines VPN wirklich lohnt
Ein kommerzielles VPN gibt Ihnen Tausende geteilter Exit-IPs und null Wartungsaufwand. Ein selbst gehostetes VPN gibt Ihnen genau eine IP, einen Standort und die volle Verantwortung für den Server. Das sind unterschiedliche Produkte, auch wenn sie oft gleich vermarktet werden.
Self-Hosting ist die richtige Wahl, wenn einer der folgenden Punkte zutrifft:
- Sie möchten die Zahl der Parteien minimieren, die Ihren unverschlüsselten Datenverkehr sehen können. Bei einem kommerziellen VPN kann das der Anbieter. Bei einem selbst gehosteten VPN können nur Sie das.
- Sie benötigen eine bestimmte Jurisdiktion. Frankfurt für den Geltungsbereich der GDPR. Sydney, um geografisch beschränkte australische Dienste zu testen. Die Schweiz für ein strengeres Datenschutzrecht (sofern verfügbar). Kommerzielle Anbieter verschleiern dies; Self-Hosting macht es explizit.
- Sie verbinden Team-Infrastruktur, statt nur persönlichen Browser-Verkehr zu leiten.
- Sie befinden sich in einer Zensurumgebung, in der kommerzielle VPNs selbst blockiert sind.
Self-Hosting ist die falsche Wahl, wenn Sie maximale IP-Vielfalt für Streaming wollen, wenn Sie keinen Linux-Server warten möchten oder wenn Ihr Bedrohungsmodell rein darin besteht, „meinen ISP davon abzuhalten, meine Browsing-Daten zu verkaufen“. Im dritten Fall erledigt verschlüsseltes DNS in Kombination mit Ihrem vorhandenen Browser den Großteil der Aufgabe.
Es gibt eine Einschränkung, die man früh benennen sollte, weil sie in vielen ehrlichen Diskussionen über selbst gehostete VPNs auftaucht. WireGuard speichert konstruktionsbedingt die zuletzt gesehene IP-Adresse jedes Peers im Kernel-State. Ein kommerzieller VPN-Anbieter kann „keine Logs“ behaupten, aber Sie haben keine Möglichkeit, das zu überprüfen. Ein Self-Hoster kann es überprüfen, und die Überprüfung wird Ihnen zeigen, dass der Kernel tatsächlich die IP kennt, von der aus sich Ihr Telefon heute Morgen verbunden hat. Die Gegenmaßnahme besteht nicht darin, dies zu ignorieren; sie besteht darin, Schlüssel zu rotieren, den Kernel-State nach Zeitplan zu löschen und den Kompromiss zu akzeptieren.
Anwendungsfall 1: Persönlicher Privatsphäre-Exit-Node
Kurzes Fazit: WireGuard auf einem kleinen VPS in einer Nicht-Five-Eyes-Jurisdiktion. WireGuard Easy, wenn Sie eine Web-Oberfläche ohne Kommandozeile möchten. OpenVPN nur, wenn UDP im Netzwerk, von dem aus Sie sich verbinden, blockiert ist.
WireGuard: Die Standardwahl
WireGuard ist die richtige Antwort für den Anwendungsfall Privatsphäre-Exit-Node.
Das Protokoll nutzt das Noise-Framework für den Schlüsselaustausch und schließt einen Handshake in einem einzigen Round-Trip ab. OpenVPN nutzt TLS, was mehrere Round-Trips erfordert und dabei mehr Metadaten preisgibt. Der Latenz-Overhead bei WireGuard liegt typischerweise bei 1 bis 3 Millisekunden zusätzlich zu Ihrer zugrunde liegenden Verbindung. OpenVPN fügt 20 bis 30 Prozent Latenz-Overhead unter vergleichbaren Bedingungen hinzu.
Durchsatzwerte aus einem 2025 von Fachgutachtern geprüften Benchmark in MDPIs Computers -Journal: rund 210 Mbps über WireGuard gegenüber 110 Mbps über OpenVPN unter denselben TCP-getunnelten VM-Bedingungen. Auf Bare-Metal-Hardware mit aktiviertem Kernel-Modul erreicht reines WireGuard rund 8 Gbps auf Gigabit-Hardware; die Grenze ist dort die Netzwerkkarte, nicht das Protokoll.
Die Codebasis umfasst etwa 4.000 Zeilen. Die von OpenVPN ist um ein Vielfaches größer. Eine kleine Codebasis ist an sich noch keine Sicherheit, aber sie macht Audits praktikabel. WireGuard wurde auditiert; es kam mit dem Mainline-Linux-Kernel in 5.6 und ist in den meisten Distributionen Standard.
Die Konfiguration ist eine 12-zeilige Textdatei. Es gibt keinen Grund, dass es komplizierter sein sollte. Die vollständige Schritt-für-Schritt-Einrichtung ist dokumentiert in unserem Blog, die Paketinstallation, Schlüsselgenerierung, Peer-Konfiguration und Firewall-Regeln abdeckt.
Ein günstiger, einfacher VPS bewältigt einen persönlichen WireGuard-Server mit Bandbreite im Überfluss. Der Engpass wird Ihre heimische Internetverbindung sein, nicht der Server. Für die meisten Leser ist ein günstiger VPS mehr als genug, um ihr WireGuard-Setup zu betreiben.
Profi-Tipp: WireGuard protokolliert die zuletzt gesehene IP-Adresse jedes Peers im Kernel-State. Für echte No-Log-Privatsphäre akzeptieren Sie das und rotieren Schlüssel oder löschen den Kernel-State nach Zeitplan. Tun Sie nicht so, als gäbe es diese Einschränkung nicht. Proton VPNs technische Notiz zur WireGuard-Privatsphäre räumt dies für die eigene Bereitstellung ein.
WireGuard mit einer Web-Oberfläche
Wenn die Verwaltung von Peers über die Kommandozeile nicht reizvoll ist, lohnt es sich, zwei Wrapper zu kennen.
WireGuard Easy ist ein Docker-Container, der ein Web-Admin-Panel bereitstellt. Es generiert Peer-Konfigurationen, erzeugt QR-Codes für mobile Clients und speichert alles in einem einzigen Konfigurations-Volume. Die Einrichtung geht schnell. Es eignet sich für den persönlichen Gebrauch und kleine Haushalte.
WGDashboard ist eine schwergewichtigere Alternative. Mehr Peers unterstützt, mehr Verwaltungsfunktionen, mehr Einrichtungszeit. Lohnenswert, wenn Sie 20-plus Peers verwalten; ansonsten reicht WireGuard Easy.
Wann OpenVPN noch seine Berechtigung hat
OpenVPN ist nicht veraltet. Es behauptet sich in zwei konkreten Szenarien.
Das erste sind restriktive Netzwerke, die UDP blockieren. WireGuard läuft konstruktionsbedingt nur über UDP. Unternehmensnetzwerke, Hotel-WLAN und einige Mobilfunkanbieter blockieren sämtlichen UDP-Verkehr außer DNS. OpenVPN kann über TCP auf port 443 laufen, was ihm hilft, viele restriktive Firewalls zu passieren. Wenn Sie regelmäßig aus Netzwerken connecten, die Ihnen bei UDP Schwierigkeiten machen, ist OpenVPN der Notnagel.
Das zweite ist die breite Unterstützung älterer Clients. OpenVPN-Clients gibt es für jedes Betriebssystem, das in den letzten fünfzehn Jahren lief, einschließlich Plattformen, auf die WireGuard nicht abzielt. Wenn zu Ihrem Nutzerkreis ältere Telefone oder Geräte gehören, ist die OpenVPN-Kompatibilität breiter.
OpenVPN Access Server ergänzt das Protokoll um eine Web-Admin-Oberfläche und ist für zwei gleichzeitige Verbindungen kostenlos. Über zwei Verbindungen hinaus erfolgt die Lizenzierung pro Nutzer. Pritunl ist eine dritte Option, die ein vergleichbares Admin-Dashboard sowohl für OpenVPN als auch für WireGuard ohne Lizenzierung pro Nutzer bietet. Für den persönlichen Gebrauch reicht die kostenlose Stufe von OpenVPN AS aus. Für kleine Teams, die Tailscale abgelehnt haben, ist Pritunl die sauberere Wahl. Die vollständige Installationsanleitung für reines OpenVPN behandeln wir in unserem Beitrag über die Installation von OpenVPN auf einem VPS.
Die Wahl eines Standorts
Die Jurisdiktion zählt in dieser Größenordnung mehr als der Durchsatz. Wenn ein Teil Ihres Grundes für Self-Hosting darin besteht, die Exposition gegenüber Vereinbarungen zum Geheimdienstaustausch zu verringern, ist die relevante Gruppierung die Five-Eyes-Allianz (US, UK, Canada, Australia, New Zealand) und ihre erweiterten Partner. Frankfurt und Amsterdam sind in Europa gängige Nicht-Five-Eyes-Optionen. Dubai ist interessant, wenn Ihr Datenverkehr in der Region Middle East liegt. Switzerland und Singapore haben strengere Datenschutzrahmen, sind aber bei kleineren Anbietern oft nicht verfügbar.
Wenn WireGuard zu Ihren Anforderungen passt, bringt Sie unser WireGuard-VPS mit einem Klick an der Einrichtung vorbei und installiert sich in wenigen Minuten.
Anwendungsfall 2: Team-Mesh-Networking
Kurzes Fazit: Tailscale für die meisten Teams. Headscale oder Netmaker, wenn Sie die Control Plane selbst besitzen müssen. Reines WireGuard-Mesh nur, wenn Sie weniger als 10 Nodes und Geduld haben.
Drei Remote-Engineers, ein Home-Lab, ein Staging-Server in AWS und eine Datenbank-VM in einem Colocation-Rack. Die fünf Maschinen müssen miteinander kommunizieren, ohne öffentliche Ports freizugeben. Keine von ihnen hat eine stabile öffentliche IP. Zwei von ihnen sitzen hinter Carrier-Grade NAT.
Das ist ein Problem, das ein WireGuard-Mesh nicht dafür konzipiert wurde, im großen Maßstab elegant zu lösen.
Warum reines WireGuard-Mesh im großen Maßstab schmerzt
Ein Mesh erfordert, dass jeder Peer über jeden anderen Peer Bescheid weiß. WireGuards Konfigurationsformat spiegelt das direkt wider: Jeder Peer hat einen [Peer]-Abschnitt für jeden Node, mit dem er kommuniziert. Fünf Nodes bedeuten, dass jede Konfigurationsdatei vier [Peer]-Blöcke hat, und die Gesamtzahl der über das Mesh hinweg zu pflegenden Konfigurationen beträgt N mal (N minus 1) geteilt durch 2.
Bei fünf Nodes sind das 10 Verbindungspaare. Bei 10 Nodes 45. Bei 20 sind es 190. Das Wachstum ist quadratisch. Einen einzelnen Node zu einem 20-Node-Mesh hinzuzufügen erfordert das Aktualisieren von 20 Konfigurationsdateien und das Neustarten von 20 Daemons. Das Entfernen eines Schlüssels erfordert dasselbe.
Werkzeuge wie wg-meshconf und Netmaker gibt es, um das zu automatisieren.
Tailscale: Ehrliche Empfehlung für die meisten Teams
Tailscale ist für die meisten Teams wirklich gut genug. Die Control Plane wird von Tailscale gehostet, die Data Plane ist direktes Peer-to-Peer, und die kostenlose Stufe deckt 100 devices ab. Die Einrichtung dauert unter fünf Minuten. NAT-Traversal funktioniert in den meisten Netzwerkumgebungen ohne Konfiguration. ACLs werden zentral verwaltet.
Der ehrliche Vorbehalt: Die Control Plane ist eine Abhängigkeit von Dritten. Tailscale verteilt die WireGuard-Schlüssel, die Ihre Geräte verbinden. Wenn Tailscales Koordinationsserver kompromittiert wird, könnte ein Angreifer sich im Prinzip in das Mesh einschleusen. Tailscale veröffentlicht eine detaillierte Dokumentation des Bedrohungsmodells, die dies einräumt, und nutzt Tailnet-Locks und Node-Attestation, um sich dagegen zu härten. Für die meisten Teams ist diese Abhängigkeit akzeptabel. Für Teams, deren Bedrohungsmodell staatliche Angreifer oder strenge regulatorische Anforderungen an Koordinations-Metadaten umfasst, ist sie es nicht.
Tailscales Data Plane umgeht die Server des Unternehmens, wann immer möglich. Wenn direktes Peer-to-Peer fehlschlägt, fällt der Verkehr auf Tailscales DERP-Relay-Server zurück, die auf rund 5 Mbps gedrosselt sind. Wenn zwei Ihrer Nodes aufgrund von NAT-Pathologien immer auf DERP landen, wird die Relay-Drosselung zum Engpass.
Profi-Tipp: Wenn Ihr heimischer ISP Carrier-Grade NAT verwendet, können Sie zu Hause keine eingehenden Verbindungen annehmen. Tailscale und Headscale bewältigen dies automatisch über Hole-Punching und DERP-Fallback. Reines WireGuard erfordert einen öffentlich erreichbaren VPS als Relay, wobei der Home-Node als Client agiert, der ausgehende Verbindungen initiiert.
Headscale: Wenn Sie die Control Plane selbst besitzen müssen
Headscale ist eine Open-Source-Neuimplementierung von Tailscales Koordinationsserver. Tailscales offizieller Client verbindet sich mit Headscale statt mit den von Tailscale gehosteten Servern, und das Nutzererlebnis ist ähnlich. Aber es hat einen entscheidenden Kompromiss: Sie betreiben die Control Plane selbst, was bedeutet, dass Uptime, Upgrades und Sicherheitspatches Ihr Problem sind.
Headscale fehlt etwas von Tailscales Feinschliff. Die ACL-Konfiguration erfolgt über YAML und CLI, nicht über eine Web-Oberfläche. Gelegentlich treten MagicDNS-Sonderfälle auf, die der offizielle Client in der gehosteten Version stillschweigend abfängt. Das Projekt wird gut gepflegt, läuft produktiv bei Organisationen, die es brauchen, und eignet sich für Teams, deren Bedrohungsmodell oder Compliance-Haltung eine selbst gehostete Koordination erfordert.
Die Wartung von Headscale ist laufende Arbeit. Wenn Sie das lieber auslagern möchten, übernimmt ein Linux VPS mit 99,95 % Uptime-SLA und 24/7-Support die Controller-Last ohne die Bürde der Rufbereitschaft. Der Controller selbst ist leichtgewichtig, weil er nur die Koordination abwickelt; der eigentliche Mesh-Verkehr läuft Peer-to-Peer.
Netmaker
Netmaker ist eine alternative Koordinationsschicht, die auf WireGuard aufsetzt, statt Tailscale neu zu implementieren. Der architektonische Unterschied ist bedeutsam: Wenn direktes Peer-to-Peer fehlschlägt, kann Netmaker über selbst gehostete Relay-Nodes routen, ohne die 5-Mbps-Drosselung, die Tailscales DERP auferlegt. Für Team-Meshes, die über NAT-Ausfälle hinweg konstanten Durchsatz benötigen, ist das wichtig.
Netmakers Developer-Experience ist rauer als die von Tailscale. Die Community-Edition läuft auf einem einzelnen VPS und unterstützt die Anwendungsfälle, die die meisten kleinen Teams haben. Netmakers kommerzielle Edition fügt Unternehmensfunktionen hinzu, ist aber nicht Teil dieser Betrachtung.
Unser Netmaker-VPS mit einem Klick kommt mit schneller Installation auf flotter Infrastruktur.
Anwendungsfall 3: Zensur umgehen
Kurzes Fazit: Hiddify Manager für Umgebungen mit aktiver Zensur. Outline für einfachere Regionen. WireGuard und OpenVPN überstehen Deep Packet Inspection nicht. Setzen Sie sie nicht als Anti-Zensur-Werkzeuge ein.
WireGuards Datenverkehr ist anhand seiner UDP-Paketstruktur erkennbar, also kann er blockiert werden. Das Problem ist nicht, dass WireGuards Verschlüsselung schwach wäre. Die Verschlüsselung ist in Ordnung. Das Problem ist, dass die verschlüsselten Pakete wie ein VPN aussehen, und moderne Zensur prüft Paketform, Timing und Protokoll-Fingerabdrücke, nicht nur den Nutzdateninhalt.
Ein selbst gehostetes VPN als einziges Anti-Zensur-Werkzeug wird in jeder Umgebung mit aktiver Deep Packet Inspection versagen. Der richtige Ansatz ist eine andere Werkzeugkategorie: Datenverkehr, der gewöhnliches Web-Browsing gut genug nachahmt, sodass der Zensor ihn nicht von echtem HTTPS-Verkehr zu einer echten Website unterscheiden kann.
Diese Kategorie altert schneller als der Rest dieses Leitfadens. Zensoren passen sich an. Protokolle werden blockiert. Neue Verschleierungsmethoden wie REALITY und Hysteria2 sind in den letzten zwei Jahren aufgekommen, und die nächsten zwei werden weitere bringen. Die Auswahllogik, die darin besteht, das Verschleierungsniveau an die Zensurumgebung anzupassen, ist beständig. Das konkrete Werkzeug, das heute in Ihrem Land funktioniert, funktioniert in sechs Monaten vielleicht nicht mehr. Hiddifys GitHub-Repository und Issue-Tracker ist die Anlaufstelle, um vor dem Deployment den aktuellen Status zu prüfen.
Hiddify Manager: Die derzeit beste Antwort
Hiddify Manager ist ein Meta-Werkzeug. Es ist selbst kein einzelnes VPN-Protokoll; es ist eine Verwaltungsschicht, die mehr als 20 zugrunde liegende Anti-Zensur-Protokolle auf einem einzelnen VPS bereitstellt, verwaltet und rotiert. Das Hiddify-v12-Release vom Februar 2026 unterstützt:
- Reality (XTLS über VLESS)
- Hysteria2
- Shadowsocks-2022 mit den TLS-Varianten
- V2Ray und Xray mit WS-, gRPC- und H2-Transports
- WireGuard als Fallback
Das Web-Admin-Panel übernimmt Nutzerverwaltung, Traffic-Limits und Protokoll-Routing pro Nutzer.
Die Funktion zur Protokoll-Rotation ist der Teil, der in der Praxis zählt: Wenn ein Protokoll in einem bestimmten Land zu versagen beginnt, schaltet der Admin die Nutzer auf ein anderes um, ohne den Server neu bereitzustellen. Das ist der betriebliche Unterschied zwischen Hiddify und einem Single-Protocol-Stack.
Zwei Protokollhinweise, die man vor dem Deployment verstehen sollte. Reality ist der aktuelle Stand der Technik bei der Umgehung von TLS-Fingerabdrücken. Es ahmt eine echte HTTPS-Verbindung zu einer echten öffentlichen Website nach (die der Betreiber wählt, typischerweise eine stark frequentierte Seite wie cloudflare.com), und ein Zensor, der den Handshake inspiziert, sieht etwas, das wie eine gewöhnliche Verbindung zu dieser Seite aussieht. Hysteria2 ist ein UDP-basiertes Protokoll mit eingebauter Verschleierung, das auf verlustbehafteten Netzwerken gut abschneidet; es ist schneller als TCP-basierte Alternativen, wenn das Netzwerk instabil ist, was die meisten Endkundenverbindungen in eingeschränkten Umgebungen beschreibt.
Cloudzys Marketplace bietet außerdem ein Hiddify-Image mit einem Klick auf derselben Linux-VPS-Infrastruktur, in Minuten bereitstellbar.
Die Standortwahl für diesen Anwendungsfall unterscheidet sich von den Privatsphäre-Anwendungsfällen. Vermeiden Sie US- und große EU-Exit-Punkte, wenn Sie Nutzer in erkennungsintensiven Regionen bedienen. Gute Optionen sind Dubai, Frankfurt, Amsterdam und Singapore, die eine breite geografische Abdeckung bieten.
V2Ray, Xray, Shadowsocks: Die Schicht darunter
V2Ray und sein Fork Xray sind die Protokollfamilie, die Hiddify umschließt. Wenn Hiddify zu viel Abstraktion ist und Sie ein einzelnes Protokoll mit manueller Konfiguration bereitstellen möchten, ist V2Ray oder Xray direkt der Weg. Der Kompromiss ist betrieblicher Natur: Sie verwalten den Daemon, das TLS-Zertifikat, das Verschleierungs-Setup und die Fehlerfälle allein. Den meisten Lesern ist mit Hiddify besser gedient.
Shadowsocks ist älter. Das ursprüngliche Protokoll funktioniert in vielen Umgebungen noch, wird aber zunehmend von moderner DPI erkannt. Shadowsocks-2022 fügte Stream-Cipher-Upgrades hinzu, die einige Erkennungsklassen schließen, aber Protokoll-Fingerabdruck-Angriffe nicht allein adressieren. Es ist als eine Option innerhalb einer Hiddify-Bereitstellung sinnvoll, weniger sinnvoll als eigenständiges Werkzeug im Jahr 2026.
Outline: Einfachere Regionen
Outline ist Jigsaws Wrapper um Shadowsocks mit einer benutzerfreundlichen Admin-Oberfläche. Es ging 2026 als unabhängiges Projekt in die Outline Foundation über. Outline ist eine vernünftige Wahl für Nutzer in Umgebungen, in denen die Zensur weniger aggressiv ist, in denen einfache Verschleierung der Shadowsocks-Klasse noch funktioniert und in denen der Bereitsteller technisch nicht versiert ist und ein fertig geschnürtes Erlebnis möchte. Hiddify deckt über die meisten Umgebungen hinweg mehr ab.
Vergleich nebeneinander
| Tool | Am besten für | Einrichtung | Durchsatz | Firewall-Durchquerung | Mindest-VPS-Anforderung | Vertrauensmodell |
|---|---|---|---|---|---|---|
| WireGuard | Persönlicher Exit-Node | Niedrig | ~210 Mbps getunnelt, ~8 Gbps Kernel Bare-Metal | Nur UDP; von einigen Netzwerken blockiert | 12 MB RAM | Selbst gehostet; Sie kontrollieren alle Schlüssel |
| WireGuard Easy | Persönlich, Web-Oberfläche bevorzugt | Niedrig | Wie WireGuard | Nur UDP | 512 MB RAM | Selbst gehostet |
| OpenVPN AS | Netzwerke mit UDP-Blockade | Mittel | ~110 Mbps getunnelt | TCP 443 sieht aus wie HTTPS | 1 GB RAM | Selbst gehostet; 2 kostenlose Verbindungen |
| Pritunl | OpenVPN/WG-Dashboard für kleine Teams | Mittel | Vergleichbar mit dem zugrunde liegenden Protokoll | UDP oder TCP | 2 GB RAM | Selbst gehostet; keine Gebühren pro Nutzer |
| Tailscale | Die meisten Teams | Sehr gering | Direktes P2P nahe der Leitungsrate; DERP auf 5 Mbps gedrosselt | NAT-Traversal automatisch | Keine erforderlich (gehostete Control Plane) | Gehostete Control Plane |
| Headscale | Teams, die eine selbst gehostete Control Plane benötigen | Mittel | Wie Tailscale | NAT-Traversal automatisch | 1 GB RAM | Vollständig selbst gehostet |
| Netmaker | Team-Mesh, keine DERP-Drosselung | Mittel | Durchsatz der WireGuard-Klasse | NAT-Traversal über selbst gehostete Relays | 1 GB RAM | Vollständig selbst gehostet |
| Hiddify Manager | Anti-Zensur, restriktive Regionen | Mittel (Web-Oberfläche) | Protokollabhängig | DPI-Umgehung über REALITY, Hysteria2 usw. | 1 GB RAM | Selbst gehostet |
Wählen Sie zuerst den Anwendungsfall
Die Entscheidung liegt vor dem Werkzeug.
- Setzen Sie WireGuard ein wenn Ihr Anwendungsfall persönliche Privatsphäre als eigener Exit-Node ist.
- Nutzen Sie Tailscale wenn Ihr Anwendungsfall darin besteht, die Maschinen eines Teams zu verbinden, es sei denn, die Kontrolle über die Control Plane ist Teil Ihres Bedrohungsmodells, in welchem Fall Sie zu Headscale oder Netmaker greifen.
Die Werkzeuge sind nicht austauschbar; der Fehlerfall, eines für einen anderen Anwendungsfall zu verwenden, ist real.
Welcher Weg auch immer zutrifft, der schwierige Teil aus Bereitstellung und Wartung bleibt bestehen. Cloudzys Marketplace bietet Ein-Klick-Deployments für jedes oben behandelte Werkzeug. Der schwierige Teil ist es, das Werkzeug an das Bedrohungsmodell anzupassen. Dieser Teil liegt vor jedem Deploy-Button.
Häufig gestellte Fragen
Sollte ich für mein selbst gehostetes VPN WireGuard oder OpenVPN verwenden?
WireGuard für nahezu jeden Fall. Es ist schneller, hat geringere Latenz, ist im Linux-Kernel enthalten und deutlich einfacher zu konfigurieren. Nutzen Sie OpenVPN nur, wenn Sie UDP-blockierende Firewalls durchqueren müssen (konfiguriert auf TCP port 443) oder wenn Sie breite Unterstützung älterer Clients benötigen, auf die WireGuard noch nicht abzielt.
Ist Tailscale wirklich selbst gehostet?
Nein. Tailscales Data Plane ist Peer-to-Peer, aber die Control Plane (Schlüsselverteilung, Identitätskoordination) wird von Tailscale gehostet. Für viele Teams ist Tailscales gehostete Control Plane akzeptabel; die Frage ist, ob Ihr Bedrohungsmodell sie als eine Abhängigkeit behandelt, die Sie akzeptieren können.
Wie groß muss ein VPS mindestens sein, um ein selbst gehostetes VPN zu betreiben?
512 MB of RAM and one virtual CPU is enough for personal WireGuard or OpenVPN. For team mesh controllers like Headscale or Netmaker, 1 GB of RAM is comfortable. For anti-censorship multi-user setups like Hiddify, 1 to 2 GB of RAM handles a small group of users. None of these workloads need a CPU-optimised plan.
Kann ich WireGuard betreiben, wenn mein heimischer ISP CGNAT verwendet?
Nicht als Server, zu dem Sie von außen Verbindungen aufbauen. Carrier-Grade NAT verhindert eingehende Verbindungen zu Ihrer Heim-IP vollständig. Zwei Wege drum herum: Mieten Sie einen kleinen VPS als öffentlich erreichbares Relay, zu dem Ihr Heimgerät ausgehend connectet; oder nutzen Sie Tailscale oder Headscale, die NAT-Traversal automatisch über Hole-Punching abwickeln. Beides funktioniert; der VPS-Ansatz gibt Ihnen eine stabile IP, der Tailscale-Ansatz gibt Ihnen ein Mesh.