Server absichern mit Tailscale: SSH ohne offenen Port
Statt SSH für das ganze Internet zu öffnen, legst du deinen Server mit Tailscale in ein privates Netz. So bringst du ihn ins Tailnet und schließt den öffentlichen SSH-Port.

Statt SSH für das ganze Internet zu öffnen, legst du deinen Server mit Tailscale in ein privates Netz. So bringst du ihn ins Tailnet und schließt den öffentlichen SSH-Port.

Ein offener SSH-Port wird ununterbrochen von Bots durchprobiert. Eleganter ist es, SSH gar nicht erst öffentlich anzubieten. Mit Tailscale legst du deinen Server in ein privates Netz, das nur deine eigenen Geräte erreichen. Tailscale baut auf WireGuard auf, ist verschlüsselt und funktioniert auch hinter NAT, ohne Portfreigaben. Diese Anleitung bringt deinen Server ins Tailnet und schließt den öffentlichen SSH-Zugang.
Tailscale installieren, mit sudo tailscale up ins Tailnet, über die 100.x-Adresse verbinden, dann den öffentlichen SSH-Port mit ufw schließen.
Leg dir ein kostenloses Tailscale-Konto an und installiere Tailscale auf dem Gerät, von dem aus du zugreifst, etwa deinem Laptop. Server und Gerät landen anschließend im selben Tailnet, also deinem privaten Tailscale-Netz.
Das offizielle Skript erkennt deine Distribution und richtet den Dienst ein:
Der Befehl zeigt eine Anmelde-URL. Öffne sie im Browser und melde dich an, damit verknüpfst du den Server mit deinem Tailnet. Danach hat er eine Tailscale-Adresse aus dem Bereich 100.x.y.z:
Von deinem Gerät mit installiertem Tailscale verbindest du dich jetzt über die Tailscale-Adresse statt über die öffentliche IP:
Mit aktiviertem MagicDNS geht auch der Hostname statt der Adresse.
Stell sicher, dass diese Verbindung über die 100.x-Adresse funktioniert, bevor du im nächsten Schritt den öffentlichen SSH-Zugang entfernst.
Sobald die Tailscale-Verbindung steht, machst du SSH von außen dicht. Erlaube Verbindungen über das Tailscale-Interface und entferne die öffentliche SSH-Freigabe in der Firewall:
Die Webports 80 und 443 lässt du offen, falls du eine Website betreibst. Die Verwaltung per SSH ist danach nur noch über das Tailnet erreichbar. Wie du ufw grundsätzlich einrichtest, steht in Firewall mit ufw einrichten.
Geht beim Schließen etwas schief, kommst du über die VNC-Konsole im Panel wieder rein und nimmst die Regel mit sudo ufw allow OpenSSH zurück.
Tailscale bringt einen eigenen SSH-Modus mit, der die Anmeldung über deine Tailnet-Berechtigungen regelt, ganz ohne separate SSH-Keys:
Danach meldest du dich über Tailscale an, und der Zugriff wird zentral über deine ACLs gesteuert. Praktisch für Teams.
tailscale up zeigt keine URLKeine Verbindung über die 100.x-AdresseNach dem ufw-Schritt ausgesperrtFür die persönliche Nutzung und kleine Setups gibt es einen kostenlosen Tarif, der für einen einzelnen Server problemlos reicht.
ufw ja, damit steuerst du, was öffentlich erreichbar bleibt. Fail2ban wird weniger wichtig, sobald SSH gar nicht mehr aus dem Internet erreichbar ist.
Ja. Die Ports 80 und 443 lässt du offen. Tailscale sichert vor allem die Verwaltung per SSH und interne Dienste ab.
VPS auf AMD EPYC mit NVMe-SSD, voller Kontrolle und Hosting in Deutschland.
VPS konfigurieren
Ja. Tailscale arbeitet unabhängig von deiner öffentlichen IP, dein /64-Netz bleibt davon unberührt.
curl -fsSL https://tailscale.com/install.sh | shsudo tailscale uptailscale ip -4sudo ufw allow in on tailscale0
sudo ufw delete allow OpenSSH
sudo ufw reloadsudo tailscale up --ssh100.92.14.7