Skip to main content

Tailscale – Remote Desktop (RDP) Zugriff Troubleshooting Dokumentation

1. Einleitung

Diese Dokumentation beschreibt die systematische Analyse und Fehlerbehebung, wenn ein Remote Desktop Zugriff (RDP) über eine Tailscale Verbindung nicht funktioniert, obwohl andere Geräte im Netzwerk erreichbar sind.

Typisches Szenario:

  • Ein Tailscale Node wurde im Heimnetz oder Unternehmensnetz eingerichtet.
  • Subnet Routing wurde aktiviert.
  • Netzwerkgeräte wie Router oder NAS sind erreichbar.
  • Der Zugriff per Remote Desktop auf einen Windows Rechner schlägt fehl.

Die folgende Anleitung beschreibt alle relevanten Prüfungen auf Netzwerk-, Routing-, Firewall- und Systemebene.

2. Netzwerkarchitektur verstehen

Typischer Aufbau einer Verbindung:

Remote Client
     │
     │  Tailscale VPN
     │
100.x.x.x Netzwerk
     │
Tailscale Subnet Router
(Linux Server / NAS / VM)
     │
192.168.x.x Lokales Netzwerk
     │
Windows System mit Remote Desktop

Der Zugriff auf das Zielsystem erfolgt über die lokale IP-Adresse des Systems:

mstsc → 192.168.x.x

Die Tailscale IP-Adresse wird in diesem Szenario nicht verwendet:

100.x.x.x

3. Prüfung: Remote Desktop auf dem Zielsystem aktiviert

Auf dem Windows System muss Remote Desktop aktiviert sein.

Systemeinstellungen öffnen:

System → Remote Desktop

Alternativ über Ausführen Dialog:

SystemPropertiesRemote

Folgende Einstellungen müssen aktiv sein:

  • Remote Desktop aktivieren
  • Benutzer für Remotezugriff autorisieren

4. Prüfung der Windows Firewall

Die Windows Firewall blockiert häufig eingehende RDP Verbindungen aus anderen Subnetzen.

Firewall Verwaltung öffnen:

wf.msc

Folgende Regel muss aktiviert sein:

Remote Desktop (TCP-In)

Die Regel muss für folgende Netzwerkprofile aktiv sein:

  • Privates Netzwerk
  • Domänennetzwerk
  • Öffentliches Netzwerk

Alternativ kann die Regel über PowerShell aktiviert werden:

Enable-NetFirewallRule -DisplayGroup "Remote Desktop"

5. Prüfung: Remote Desktop Dienst

Der Windows Dienst für Remote Desktop muss aktiv sein.

Dienstverwaltung öffnen:

services.msc

Dienst prüfen:

Remote Desktop Services

Der Dienst muss folgenden Status besitzen:

  • Status: Running
  • Starttyp: Automatic

6. Prüfung des RDP Ports

Der Remote Desktop Dienst verwendet standardmäßig Port 3389.

Portprüfung von einem Tailscale Client:

telnet 192.168.x.x 3389

Alternativ:

nc -zv 192.168.x.x 3389

Wenn der Port erreichbar ist, ist der Dienst aktiv und erreichbar.

7. Prüfung des Subnet Routers

Der Tailscale Subnet Router muss die Route korrekt announcen.

Status prüfen:

tailscale status

Subnet Route aktivieren:

tailscale up --advertise-routes=192.168.x.0/24

8. Route im Tailscale Admin Panel freigeben

Nach dem Advertise muss die Route im Tailscale Admin Panel genehmigt werden.

Admin Panel:

https://login.tailscale.com/admin/machines

Vorgehensweise:

  • Subnet Router auswählen
  • Bereich Routes öffnen
  • Subnet Route genehmigen

9. Routing Tabelle auf dem Client prüfen

Der Client muss die Route zum Zielnetzwerk besitzen.

Linux oder macOS:

ip route

Windows:

route print

Erwarteter Eintrag:

192.168.x.0/24 über Tailscale Interface

10. Netzwerkverbindung testen

Vor dem RDP Zugriff sollte geprüft werden, ob das Zielsystem erreichbar ist.

ping 192.168.x.x

Wenn kein Ping möglich ist, liegt ein Routing- oder Firewallproblem vor.

11. Router oder Netzwerk Isolation prüfen

Einige Router oder WLAN Access Points verhindern Kommunikation zwischen Netzwerken.

Typische Ursachen:

  • Client Isolation aktiviert
  • Access Point Isolation aktiviert
  • VLAN Firewall aktiv
  • Interne Router Firewall

12. Alternative Architektur (Best Practice)

Eine stabilere Architektur besteht darin, Tailscale direkt auf dem Zielsystem zu installieren.

Dann erfolgt der Zugriff über die Tailscale IP:

mstsc → 100.x.x.x

Vorteile:

  • kein Subnet Routing erforderlich
  • einfachere Netzwerktopologie
  • bessere Zugriffskontrolle
  • höhere Stabilität

13. Troubleshooting Checkliste

  • Remote Desktop aktiviert
  • Windows Firewall Regel aktiv
  • Remote Desktop Dienst aktiv
  • Port 3389 erreichbar
  • Subnet Route announced
  • Route im Tailscale Admin Panel genehmigt
  • Ping zum Zielsystem möglich
  • Routing Tabelle korrekt

14. Erweiterte Diagnose

Tailscale Logs prüfen:

journalctl -u tailscaled

Netzwerkstatus prüfen:

tailscale netcheck

Erweiterter Status:

tailscale status --json
Back to top