Wanneer Tailscale je thuisserver niet kan bereiken, ligt de fout niet altijd binnen het Tailscale-netwerk zelf. De server kan offline zijn, de apparaatsnaam kan niet worden opgelost, een toegangsregel kan de verbinding weigeren, de firewall van het besturingssysteem kan de service blokkeren, of de applicatie luistert mogelijk alleen op localhost.
De snelste manier om de oorzaak te vinden is door in lagen te troubleshooten. Bevestig eerst dat beide Tailscale-knooppunten online zijn. Test vervolgens het ruwe Tailscale IP van de server, scheid basis knooppuntconnectiviteit van applicatietoegang, en ga pas over op subnetroutering of DERP-problemen als de symptomen daar daadwerkelijk op wijzen.
Begin met het identificeren van welke laag faalt
Een veelgemaakte fout bij het oplossen van problemen is het behandelen van elke time-out als hetzelfde probleem. Een thuisserver die offline lijkt in het tailnet is anders dan een server die reageert op Tailscale-ping maar een SSH- of webverbinding weigert.
Tailscale biedt het privé-netwerkpad tussen apparaten, maar de uiteindelijke service is nog steeds afhankelijk van het besturingssysteem van de server, firewall, luisterpoort, applicatieconfiguratie, Docker-netwerken en toegangsbeleid. Het oplossen van de verkeerde laag kan extra problemen veroorzaken zonder de verbinding te herstellen.
Schrijf voordat u iets wijzigt het exacte symptoom op. Controleer of de server online lijkt, of het Tailscale IP reageert, of de MagicDNS-naam wordt opgelost en of de specifieke applicatiepoort een verbinding accepteert.
| Symptoom | Waarschijnlijke laag | Eerste controle |
| Server lijkt offline | Tailscale-service of authenticatie | Controleer de status van het knooppunt op beide apparaten |
| Tailscale IP reageert niet | Knooppad, beleid of lokale firewall | Voer een Tailscale-connectiviteitstest uit |
| IP werkt maar hostnaam faalt | MagicDNS- of DNS-instellingen | Gebruik het ruwe Tailscale IP |
| Ping werkt maar de app time-out | Servicepoort, bindadres of firewall | Test de applicatiepoort direct |
| Server werkt maar een ander LAN-apparaat faalt | Subnet-routerconfiguratie | Controleer geadverteerde en goedgekeurde routes |
| Verbinding werkt maar voelt traag aan | Relaispad of netwerkbeperkingen | Controleer of de route direct of via relais verloopt |
Bevestig dat beide Tailscale-knooppunten online zijn
Begin met de twee apparaten die bij de verbinding betrokken zijn. De externe laptop of telefoon moet verbonden zijn met het tailnet, en de thuisserver moet ook online zijn onder het verwachte account, label of apparaatidentiteit.
Controleer op een Linux-server de Tailscale-service en voer uit tailscale status. Controleer op desktop-systemen of de client verbonden is en niet gepauzeerd, uitgelogd of wacht op authenticatie. Een server die Tailscale na een herstart niet heeft kunnen starten, kan niet worden opgelost door DNS- of applicatiepoorten te wijzigen.
Controleer ook of de server verschijnt onder de verwachte apparaatsnaam en Tailscale IP. Als de node offline is, los dan de dienst, inlogstatus, systeemstartgedrag of clientversie op voordat je iets boven de netwerklaag gaat oplossen.
Gebruik het ruwe Tailscale IP vóór het testen van een hostnaam
Een hostnaam voegt DNS-resolutie toe aan het verbindingspad. Als je begint met een servernaam zoals homeserver of nas-apparaat, kun je niet meteen zeggen of de fout komt door netwerken of naamresolutie.
Vind het Tailscale IPv4-adres van de server, normaal in het 100.x.x.x bereik, en probeer dat adres direct. Wanneer LAN-routes, exit nodes of overlappende subnetten het pad bemoeilijken, is het vooral nuttig om het Tailscale IP van het apparaat te testen vóór het privé LAN-adres.
Als het ruwe IP werkt maar de hostnaam niet, is de basis node-connectiviteit waarschijnlijk gezond. Ga verder met MagicDNS en client DNS-instellingen in plaats van Tailscale opnieuw te installeren of de router te wijzigen.
Als het IP werkt maar de naam faalt, controleer dan MagicDNS
MagicDNS laat apparaten leesbare machinenamen gebruiken in plaats van Tailscale IP-adressen te onthouden. Wanneer het werkt, heet een apparaat home-server kan via die naam worden bereikt vanaf een ander apparaat in hetzelfde tailnet.
De functie maakt automatische apparaatnamen binnen het tailnet, maar succesvolle resolutie hangt nog steeds af van het apparaat dat verbonden is en de client die de DNS-configuratie van het tailnet accepteert. Lokale DNS-filters, enterprise beveiligingstools, aangepaste resolvers of verouderde cacherecords kunnen storen.
Vergelijk de korte hostnaam, de volledige tailnet-naam en het ruwe Tailscale IP. Als alleen de namen falen, controleer dan of MagicDNS is ingeschakeld, of de machine is hernoemd, en of een ander DNS-product de resolverconfiguratie overschrijft.
Scheiding van Tailscale-connectiviteit en applicatieconnectiviteit
Een succesvolle node-naar-node verbinding bewijst niet dat elke dienst op de server bereikbaar is. Je kunt de Tailscale IP pingen terwijl SSH, Jellyfin, een dashboard, SMB of een Docker webinterface nog steeds time-outs geeft.
Dat betekent meestal dat het Tailscale-pad bestaat, maar dat de applicatielaag de verbinding weigert of mist. De dienst kan gestopt zijn, luisteren op een andere poort, gebonden zijn aan de verkeerde interface, geblokkeerd door de serverfirewall, of niet gepubliceerd vanuit zijn container.
Test de exacte bestemming die je nodig hebt, zoals 100.x.x.x:22 voor SSH of http://100.x.x.x:8080 voor een webservice. Als de node reageert maar de poort niet, stop dan met het oplossen van problemen met MagicDNS en DERP totdat de serverzijde dienst is geverifieerd.
Controleer of de dienst luistert op de juiste interface
Een applicatie kan normaal draaien op de thuisserver en toch onbereikbaar zijn vanaf elk ander apparaat. Dit gebeurt wanneer de dienst alleen luistert op 127.0.0.1, die verbindingen accepteert vanaf de server zelf maar niet via zijn LAN- of Tailscale-interfaces.
Een dienst die luistert op 0.0.0.0 accepteert IPv4-verkeer op alle beschikbare interfaces, terwijl een dienst ook expliciet kan worden gebonden aan het LAN-adres of Tailscale-adres van de server. De juiste keuze hangt af van of de dienst bereikbaar moet zijn vanaf het LAN, tailnet of alleen via een lokale reverse proxy.
Verander niet automatisch elke dienst in 0.0.0.0. Bevestig eerst het bedoelde toegangsroute en gebruik vervolgens firewallregels en applicatie-authenticatie om te beperken wie de poort kan bereiken.
De serverfirewall kan Tailscale-verkeer blokkeren
Een dienst kan werken via het LAN-IP van de thuisserver maar falen via het Tailscale-IP omdat het besturingssysteem de Tailscale-interface als een apart netwerkpad behandelt. LAN-regels gelden niet altijd voor verkeer dat binnenkomt via tailscale0.
Linux-systemen kunnen UFW, firewalld, iptables of nftables gebruiken. Windows kan de Tailscale-adapter anders classificeren dan het thuis-LAN. Brede netwerkfirewalls kunnen ook directe UDP-verbindingen blokkeren en verkeer via gerelayde paden dwingen. De relevante controle is of uw firewall het bedoelde Tailscale-verbindingstraject toestaat.
Schakel de hele firewall niet uit als permanente oplossing. Sta alleen de vereiste servicepoort toe vanaf de Tailscale-interface, geselecteerde Tailscale-adressen of een passend tailnet-beleid. Test daarna de applicatie opnieuw.
Controleer Toegangsbeleid, Machtigingen, Tags en Apparaatidentiteit
Als het ene Tailscale-apparaat de thuisserver kan bereiken terwijl een ander dat niet kan, kan het verschil een opzettelijk beleid zijn in plaats van een netwerkstoring. Toegang kan afhangen van de gebruiker, het bronapparaat, de bestemmings-tag, het protocol en de poort.
Een server die is getagd voor infrastructuurtoegang accepteert mogelijk geen verkeer van een persoonlijk apparaat tenzij het beleid die combinatie toestaat. Een regel die SSH toestaat, staat niet per se het webdashboard op een andere poort toe, en een gedeeld apparaat kan andere rechten hebben dan een apparaat dat eigendom is van dezelfde gebruiker.
Bekijk samen de bronidentiteit, bestemmingsidentiteit, servertags en het gevraagde poortnummer. Een tijdelijke brede regel kan helpen om een beleidsprobleem te isoleren, maar vervang deze na het testen door de nauwkeurigste correcte regel.
Een directe thuisserver heeft geen subnetrouter nodig
Als Tailscale direct op de thuisserver is geïnstalleerd, gebruik dan het eigen Tailscale IP-adres of MagicDNS-naam van de server. Een subnetrouter is niet nodig om die machine te bereiken.
Subnetrouters lossen een ander probleem op: ze bieden toegang tot apparaten die zelf geen Tailscale draaien, zoals een printer, camera, oudere NAS, smart-home apparaat of een andere machine op het thuis-LAN.
Het toevoegen van subnetroutering aan een eenvoudig direct-node probleem creëert meer plekken waar de verbinding kan falen. Bewijs eerst dat de Tailscale-client op de thuisserver bereikbaar is. Los alleen problemen met geadverteerde LAN-routes op als het daadwerkelijke doel achter die server zit.
| Doel | Verwacht toegangsroute |
| Thuisserver met Tailscale | Verbind met het Tailscale IP of MagicDNS-naam |
| Docker-app op dezelfde server | Tailscale IP plus de gepubliceerde hostpoort |
| NAS zonder geïnstalleerde Tailscale | Subnetrouter plus het NAS LAN IP |
| Printer, camera of IoT-apparaat | Subnetrouter naar het thuis-LAN |
| Hele privé-thuis-subnet | Geadverteerde, goedgekeurde en geaccepteerde subnetroute |
Subnetroutering vereist een volledige routeringsketen
Wanneer het doel een LAN-apparaat zonder Tailscale is, moet de subnetrouter meer doen dan alleen online lijken. Hij moet verkeer van het tailnet ontvangen, doorsturen naar het thuis-LAN en de respons terug laten keren.
Een werkende setup vereist normaal gesproken IP-forwarding op het routeringsapparaat, geadverteerde subnetroutes, routegoedkeuring, overeenkomende toegangscontroles en clientzijde routeacceptatie waar nodig. Het doel is om een privé-subnet via een gateway te adverteren zodat tailnet-apparaten machines kunnen bereiken die de client niet draaien.
Als de route zichtbaar is maar het verkeer faalt, controleer dan elke stap afzonderlijk. Bevestig dat het juiste subnet werd geadverteerd, verifieer dat het werd goedgekeurd, inspecteer de doorstuur-firewall en zorg dat het LAN-apparaat een geldig retourpad heeft.
Overlappende privé-subnetten kunnen verkeer de verkeerde kant op sturen
Veel thuis-, kantoor- en hotelnetwerken hergebruiken adressen zoals 192.168.1.0/24. Als je huidige Wi-Fi en je thuis-subnet hetzelfde bereik gebruiken, kan het besturingssysteem de bestemming als lokaal beschouwen in plaats van het via Tailscale te sturen.
Dit veroorzaakt een verwarrend symptoom: het directe Tailscale IP van de server werkt, maar het IP van het thuis-LAN niet. Het verzoek kan naar het huidige netwerk gaan in plaats van naar de router van het externe subnet.
Gebruik indien mogelijk altijd het Tailscale IP van het doel. Als toegang tot een subnet nodig is, overweeg dan om één LAN te wijzigen naar een minder gebruikelijk privéadresbereik of pas een routeringsontwerp toe dat de overlappende netwerken bewust afhandelt.
Een exit-node kan de toegang tot het huidige LAN veranderen
Als het clientapparaat een Tailscale exit-node gebruikt, verschilt de routekeuze van een normale tailnetverbinding. Toegang tot nabijgelegen LAN-apparaten kan worden geblokkeerd tenzij lokale netwerktoegang expliciet is toegestaan.
Dit is belangrijk bij het oplossen van problemen vanaf een laptop die verbonden is met hotel-, kantoor- of thuis-Wi-Fi terwijl ook een exit-node wordt gebruikt. Een mislukking om een privé-LAN-adres te bereiken kan komen door het gedrag van de exit-node in plaats van de thuisserver.
Test zonder de exit-node, of schakel alleen LAN-toegang in als u het lokale netwerk vertrouwt. Schakel geen brede lokale toegang automatisch in op onbekende openbare Wi-Fi.
Docker voegt een extra poort- en interfacegrens toe
Een hostservice zoals SSH kan via Tailscale werken terwijl een Docker-applicatie op dezelfde server faalt. Dat wijst meestal op containernetwerken in plaats van nodeconnectiviteit.
Controleer of de container draait, of de applicatie binnen de container luistert en of de poort naar de host is gepubliceerd. Een Compose-mapping zoals 8080:80 maakt containerpoort 80 toegankelijk via hostpoort 8080, terwijl een poort die alleen gebonden is aan 127.0.0.1 kan onbereikbaar blijven via het Tailscale IP.
Controleer ook reverse-proxy routes, hostnetwerken, Docker firewallregels en of de applicatie zelf verbindingen van niet-LAN-adressen toestaat. Test de hostpoort direct voordat u hogere domeinen of certificaten debugt.
DERP verklaart meestal traagheid meer dan volledige uitval
Tailscale probeert directe verbindingen tussen apparaten te maken. Wanneer NAT-gedrag of firewallbeperkingen dat verhinderen, kan het in plaats daarvan een relay-pad gebruiken.
DERP biedt een versleutelde relay fallback wanneer directe connectiviteit faalt. De relay stuurt al versleuteld verkeer door en kan apparaten verbinden over moeilijke combinaties van IPv4, IPv6, NAT en firewalls.
Een DERP-pad werkt vaak met meer latentie of lagere doorvoer, dus het is een sterke verdachte wanneer SSH traag aanvoelt of bestandsoverdrachten langzaam zijn. Als de verbinding helemaal niet werkt, controleer dan eerst de status van de node, toegangsbeleid, lokale firewall, applicatiepoort en bindadres.
Gebruik Connectiviteitsdiagnose voordat u de router wijzigt
Commando's zoals tailscale ping help bij het scheiden van een knooppad van een applicatiepad. Een succesvol resultaat bewijst meer dan een mislukte browsertab omdat het de connectiviteit test zonder afhankelijk te zijn van de poort, proxy of het certificaat van de applicatie.
tailscale netcheck kan helpen bij het tonen van UDP-beschikbaarheid, NAT-gedrag, IPv4- of IPv6-connectiviteit en nabijgelegen relay-regio’s. Deze resultaten zijn het meest nuttig wanneer de verbinding alleen via een relay werkt of wisselt tussen netwerken.
Begin niet met het toevoegen van publieke poortdoorsturing naar de thuisrouter. Tailscale is ontworpen om te werken zonder de applicatiepoorten van de thuisserver direct aan het internet bloot te stellen. Routerwijzigingen moeten reageren op een bevestigd padprobleem, niet eerdere diagnostische stappen vervangen.
Herstart en update alleen als je weet welke laag faalt
Het herstarten van Tailscale kan een mislukte daemon of verouderde clientstatus herstellen, maar herhaalde herstarts zijn geen diagnose. Als dezelfde fout na elke herstart terugkeert, ligt het onderliggende probleem waarschijnlijk bij de opstartconfiguratie, firewallbeleid, routering of applicatiebinding.
Bevestig dat de thuisserver Tailscale start zonder een interactieve desktoplogin en verbonden blijft na een herstart. Vergelijk ook clientversies als één apparaat zich anders gedraagt dan de rest van het tailnet.
Herhaal na een update of herstart dezelfde tests in dezelfde volgorde: knooppuntstatus, ruwe IP, hostnaam, Tailscale ping en applicatiepoort. Een consistente testvolgorde toont welke laag daadwerkelijk is veranderd.
Volg één probleemoplossingsvolgorde
Het snelste pad is om van het Tailscale-knooppunt naar de applicatie te gaan. Wijzig DNS, subnetroutes, firewallregels en Docker-netwerken niet tegelijkertijd.
Bevestig eerst dat beide knooppunten online zijn. Test vervolgens het ruwe Tailscale IP, gevolgd door de MagicDNS-naam. Test het knooppad en daarna de applicatiepoort. Pas na deze controles moet je de serverfirewall, bindadres, toegangsbeleid, Docker-mapping of subnetroutering onderzoeken.
Deze volgorde voorkomt dat een eenvoudig gestopte service verandert in een ingewikkeld routeringsproject. Elke test moet één vraag beantwoorden voordat je naar de volgende laag gaat.
| Stap | Controleer | Wat het bewijst |
| 1 | Beide apparaten lijken online | De Tailscale-clients zijn actief |
| 2 | Ruwe Tailscale IP | Basis bereikbaarheid van knooppunt |
| 3 | MagicDNS-hostnaam | Tailnet-naamresolutie |
| 4 | tailscale ping |
Direct of doorgestuurd knooppad |
| 5 | Exacte applicatiepoort | De service is beschikbaar |
| 6 | Serverfirewall | Het besturingssysteem staat verkeer toe |
| 7 | Applicatie bindadres | De service luistert op een bereikbaar interface |
| 8 | Toegangsbeleid en tags | De bron is geautoriseerd |
| 9 | Docker- of subnetroutering | Het secundaire netwerkpad is compleet |
| 10 | Logboeken, versies en herstartgedrag | Vindt aanhoudende platform-specifieke fouten |
Belangrijkste conclusie
Wanneer Tailscale geen verbinding kan maken met je thuisserver, begin dan met het eenvoudigste onderscheid: kunnen de twee Tailscale-knooppunten met elkaar communiceren en kan de applicatie verkeer accepteren? Bevestig dat beide knooppunten online zijn, test het ruwe Tailscale IP en test vervolgens de MagicDNS-naam en de exacte servicepoort.
Als het nodepad werkt maar de applicatie niet, richt je dan op de serverfirewall, luisterinterface, applicatie-instellingen, Docker-poortmapping en toegangsbeleid. Als het doel geen Tailscale draait, ga dan verder met subnet-routerconfiguratie, routegoedkeuring, IP-forwarding en controle op overlappende subnets.
DERP-relaypaden verklaren meestal een tragere prestatie in plaats van een volledige storing. Een consistente laag-voor-laag test is effectiever dan Tailscale opnieuw installeren, de firewall uitschakelen of publieke poortdoorsturing toevoegen zonder te weten waar de verbinding stopt.
FAQ
Waarom kan ik mijn Tailscale-server pingen maar niet de webinterface openen?
De node-naar-node verbinding werkt, maar de webservice kan gestopt zijn, luisteren op een andere poort, alleen gebonden zijn aan localhost, geblokkeerd door de serverfirewall of niet gepubliceerd vanuit de Docker-container.
Waarom werkt het Tailscale IP wel, maar de servernaam niet?
Dit wijst op een probleem met MagicDNS of een andere DNS-configuratie. Controleer of MagicDNS is ingeschakeld, of de machinaam is gewijzigd en of een andere DNS-resolver de instellingen van Tailscale overschrijft.
Heb ik een subnet-router nodig om toegang te krijgen tot mijn thuisserver?
Niet wanneer Tailscale direct op die server is geïnstalleerd. Gebruik het Tailscale IP of de MagicDNS-naam. Voor toegang tot andere LAN-apparaten die geen Tailscale draaien, is een subnet-router nodig.
Kan een firewall Tailscale blokkeren, zelfs als de node online is?
Ja. De Tailscale-client kan verbinding maken met het tailnet terwijl de firewall van het besturingssysteem nog steeds SSH, web, SMB of een andere applicatiepoort blokkeert die via de Tailscale-interface binnenkomt.
Betekent een DERP-verbinding dat Tailscale kapot is?
Nee. DERP is een versleutelde fallback wanneer een directe verbinding niet tot stand kan worden gebracht. Het kan latentie toevoegen of de doorvoersnelheid verminderen, maar het zorgt nog steeds voor connectiviteit tussen de apparaten.
Waarom kan ik de server bereiken maar niet een ander apparaat in mijn thuis-LAN?
De server is een directe Tailscale-node, terwijl het andere apparaat een subnet-router nodig heeft. Controleer IP-forwarding, geadverteerde routes, routegoedkeuring, toegangsregels en het retourpad van het LAN-apparaat.
Kunnen overlappende thuis- en externe subnets de toegang tot Tailscale verbreken?
Ja. Als beide locaties hetzelfde privé-subnet gebruiken, kan de client verkeer naar zijn huidige LAN sturen in plaats van naar de route van het externe subnet. Gebruik bij voorkeur het Tailscale IP van het doel of wijzig het adresbereik van een van de netwerken.
Moet ik poorten op mijn router openen om Tailscale te repareren?
Meestal niet. Controleer eerst de status van de node, het firewallgedrag, de applicatiebinding, het toegangsbeleid en of de verbinding direct of via een relay verloopt. Het openbaar doorsturen van de applicatiepoort is geen vervanging voor het vinden van de daadwerkelijke Tailscale-fout.
Ondersteuning & Tips
Meer om te lezen

Hoe optimaliseer je NAS-opslag voor Adobe Premiere Pro-bewerking
Bewaar gedeelde media op de NAS, Premiere-cache op de lokale SSD, en dimensioneer het netwerk voor codec-bitrate, actieve streams en gelijktijdige editors.

CasaOS-appinstallatie mislukt: logs, DNS en poorten
Deze gids legt uit hoe je problemen met het installeren van CasaOS-apps kunt oplossen door de CasaOS-logboeken, Docker-logboeken, DNS-resolutie, systeemtijd, CPU-architectuur, afbeeldingscompatibiliteit, poortconflicten en...

10 Zelfgehoste Apps Die Je Moet Proberen op een Thuisserver
Ontdek 10 praktische zelfgehoste apps, waaronder Immich, Jellyfin, Vaultwarden, Nextcloud, Home Assistant, Stirling-PDF en AdGuard Home.

