Pangolin – die Open-Source-Alternative zu Cloudflare Tunnels

 (github.com/fosrl)
24 Punkte von GN⁺ 2025-07-11 | 3 Kommentare | Auf WhatsApp teilen
  • Ein selbst gehosteter Management-Server für tunnelingbasierten Reverse-Proxy, der ähnliche Funktionen wie Cloudflare Tunnels bietet
  • Über WireGuard-basierte verschlüsselte Tunnel können Ressourcen in privaten Netzwerken auch ohne Port-Forwarding sicher nach außen verfügbar gemacht werden
  • Bietet zahlreiche Authentifizierungs- und Sicherheitsfunktionen wie Reverse-Proxy, vorgelagerte Authentifizierung und Zugriffskontrolle, OAuth2/OIDC-Unterstützung sowie ein intuitives Web-Dashboard
  • Dank Deployment auf Basis von Docker Compose einfach zu installieren und zu betreiben; API- und Plugin-Integration ermöglicht Automatisierung und Erweiterbarkeit
  • Kann in IoT-, Homelab-, Multi-Cloud- und Business-Umgebungen eingesetzt werden, um Netzwerkbeschränkungen zu umgehen und Ressourcen sicher zu verwalten

Überblick über Pangolin

  • Pangolin ist ein selbst hostbarer tunnelingbasierter Reverse-Proxy-Server, der zentral verwaltete Authentifizierung und Zugriffskontrolle bereitstellt
  • Es arbeitet mit dem WireGuard-Userspace-Client (Newt) sowie verschiedenen WireGuard-Clients zusammen und ermöglicht dadurch sichere Verbindungen auch in Umgebungen mit Firewall- und NAT-Beschränkungen
  • Interne Ressourcen lassen sich ohne Port-Forwarding extern bereitstellen, wodurch sich die öffentliche IP verbergen und das Netzwerk schützen lässt
  • Im Dashboard lassen sich Sites, Benutzer, Rollen und Ressourcen einfach verwalten; die UI unterstützt Dark Mode und Mobilgeräte

Hauptfunktionen

  • Reverse Proxy über WireGuard-Tunnel

    • Netzwerkressourcen bereitstellen, ohne Firewalls zu durchbrechen (keine offenen Ports erforderlich)
    • Integration mit dem eigenen WireGuard-Client (Newt), Unterstützung für alle WireGuard-Clients
    • Automatische SSL-Zertifikate (Let's Encrypt) sowie Unterstützung für HTTP/HTTPS- und TCP/UDP-Dienste
    • Load Balancing integriert

  • Authentifizierung und Zugriffskontrolle

    • Zentralisiertes Authentifizierungssystem (plattformweites SSO, OAuth2/OIDC, Anbindung externer IdPs)
    • Rollenbasierte Zugriffskontrolle (RBAC), IP-/URL-/Bereichsdefinition pro Ressource
    • Verschiedene zusätzliche Authentifizierungsoptionen wie E-Mail-OTP, TOTP, PIN-Code und temporäre Freigabelinks
    • Strukturierte Verwaltung über Organisationen/Sites/Benutzer/Rollen

  • Intuitives Dashboard

    • Übersichtliche, saubere UI zur Verwaltung von Sites/Ressourcen/Benutzern/Rollen
    • Echtzeit-Monitoring von Nutzung und Verbindungsstatus
    • Light-/Dark-Mode, mobil optimiert

  • Einfache Bereitstellung und Erweiterbarkeit

    • Installation auf Basis von Docker Compose, Unterstützung für Cloud und On-Premises
    • API- und Swagger-Dokumentation vorhanden, für Automatisierung und die Einbindung eigener Skripte
    • Integration mit Traefik-Plugins (CrowdSec, Geoblock) zur Nutzung von WAF und Geo-Blocking
    • Mehrere Sites über einen zentralen Server konsolidiert verwalten

Typische Einsatzszenarien

  • Bereitstellung von Webservices in Umgebungen mit eingeschränktem Port-Forwarding (Homelab/ISP-Beschränkungen)
  • Interne/On-Premises- und Cloud-Anwendungen sicher extern bereitstellen
  • Zentrale Verwaltung von IoT-Netzwerken: verteilte IoT-Standorte sicher mit einem zentralen Server verbinden und darauf zugreifen
  • Einsatz als integrierter Reverse Proxy/Load Balancer für Multi-Cloud- und hybride Netzwerke

Unterschiede zu ähnlichen Projekten

  • Cloudflare Tunnels: Ähnlich zu dem SaaS-basierten Reverse-Proxy-Dienst, aber Pangolin ist selbst hostbar und bietet dadurch vollständige Kontrolle über die Infrastruktur
  • Authelia: Inspiration für zentrale Authentifizierung und Rollenverwaltung

Deployment und Lizenz

  • Schritt-für-Schritt-Anleitung für die Bereitstellung des zentralen Servers mit Docker Compose, Domain-Anbindung, Site-Verbindung und Ressourcenfreigabe
  • Duales Lizenzmodell mit AGPL-3 und der kommerziellen Fossorial-Lizenz

Verwandte Beiträge

3 Kommentare

 
ng0301 2025-07-13

Zum bequemen Einsatz per Klick ist es wohl nicht ganz einfach.
 
ndrgrd 2025-07-13

Alles gut, aber wenn man das benutzt, kann man WireGuard auf dem System nicht steuern. Wenn man es unabhängig von den Tunneln verwenden möchte, muss man es in eine VM auslagern.
 
GN⁺ 2025-07-11
Hacker-News-Kommentare
  • Hallo, ich bin ein weiterer Maintainer dieses Projekts. Ich möchte die anderen Komponenten des Systems etwas genauer erklären. Pangolin verwendet intern Traefik für das HTTP-Proxy-Verhalten. Ein Plugin namens Badger sorgt dafür, dass die Authentifizierung aller Anfragen über Pangolin abgewickelt wird. Der zweite Dienst, Gerbil, ist ein Verwaltungsserver, der es Pangolin ermöglicht, WireGuard-Peers für Verbindungen zu erstellen. Und schließlich gibt es Newt, ein CLI-Tool und Docker-Container, das WireGuard vollständig im User Space nutzt, mit Gerbil kommuniziert und lokale Ressourcen proxyt. Dadurch ist es nicht nötig, beim Exponieren von Diensten Prozesse mit Root-Rechten oder privilegierte Container auszuführen
    • Ich nutze das seit einigen Monaten auf einem kleinen VPS von Hetzner, um Traffic zu mir nach Hause zu tunneln. Die Erfahrung war sehr reibungslos und stabil. Ich dachte zunächst, es gäbe ein Problem, aber das hatte nichts mit Pangolin zu tun. Details dazu gibt es hier
    • Für jeden der hier erwähnten Anwendungsfälle wären kleine Tutorials in der Dokumentation hilfreich, damit man es schnell testen und sehen kann, ob es nützlich ist
  • Das ist wirklich interessant. Mich hat es immer gestört, von Cloudflare Tunnel abhängig zu sein, daher ist es echt erfrischend, eine Open-Source-Alternative zu sehen. Ich frage mich, wie Pangolin die schwierigen Punkte wie instabile Netzwerke, Authentifizierungsprobleme und Skalierung behandelt. Falls es schon jemand praktisch eingesetzt hat, wäre spannend zu hören, wie es sich im Vergleich zur Cloudflare-„es funktioniert einfach“-Magie schlägt. Besonders interessiert mich, ob es für Self-Hosting zu Hause gut funktioniert. Zur Einordnung: Ich betreibe zu Hause einen Blog und verschiedene Hobbyprojekte auf einem Raspberry Pi. Erfahrungsberichte aus der Praxis wären wirklich hilfreich
  • Das wirkt wirklich spannend für mehrere Remote-Dev-Boxen oder ähnliche Zwecke. Ich war nie besonders tief in solcher Infrastruktur drin, also ist die Frage vielleicht etwas grundlegend. CF-Tunnel habe ich noch nie benutzt, bisher habe ich nur Reverse-Proxy-Tunnel über SSH oder höchstens Tailscale verwendet. Ich habe das so gemacht, weil interne Testdienste nur auf bestimmten Geräten lagen, etwa einer EC2-Instanz oder einem Laptop bei mir zu Hause. Anders gesagt: Könntest du erklären, worin sich Pangolin im Vergleich zu so etwas wie Tailscale unterscheidet?
    • SSH oder Tailscale, die du nutzt, sind dafür wirklich gute Optionen. Pangolin ist im Allgemeinen eher für statische, dauerhafte Tunnel zu Diensten gedacht als für eher temporäre SSH-Tunnel. Es eignet sich, wenn du Apps aus deinem Netzwerk für externe Personen wie Familienmitglieder über den Webbrowser zugänglich machen willst. Wenn du zum Beispiel interne Business-Apps oder Homelab-Dienste wie Immich oder Grafana extern im Browser bereitstellen möchtest, ist dieses Tool sehr nützlich. Ich hoffe, das macht es verständlicher
    • Ich nutze CF-Tunnel intensiv auf meinem unraid-Server zu Hause. Kurz gesagt: Wenn ich eine bestimmte App veröffentlichen will und keinen Tailscale-Node hinzufügen möchte, etwa für meinen Bruder, der meinen Plex-Server nutzt, erstelle ich bei CF eine Subdomain und route diese per CF-Tunnel weiter. Pro Website oder Dienst muss ich nur drei Felder in einem Formular ausfüllen, und SSL-Zertifikate werden automatisch ausgestellt. Deshalb bin ich damit ziemlich zufrieden
    • Tailscale (und headscale) eignen sich hervorragend für den Zugriff auf interne Ressourcen, die von außen nicht erreichbar sein sollen. Man kann damit zum Beispiel ein NAS von außen blockieren und nur intern zugänglich machen. Cloudflare-Tunnel exponieren Dienste nach außen und bieten dabei einen gewissen Schutz. Manche Nutzer lassen das Backend nur über Tailscale erreichbar sein und öffnen die öffentliche Seite nur über Cloudflare-Tunnel. Es ist auch völlig möglich, einen zentralen nginx proxy manager direkt mit Cloudflare-Tunnel zu verbinden. Natürlich kann man mit Tailscale auch öffentliche Dienste routen, aber Cloudflare bietet einen etwas robusteren Schutz. Pangolin sieht ebenfalls interessant genug aus, um es zu testen; beim Testen könnte man es zunächst hinter Cloudflare-Tunnel betreiben und bei Bedarf später nach vorne stellen
  • Ernst gemeinte Sicherheits-Anfängerfrage: Was ist beim Einsatz solcher Lösungen aus Sicherheitssicht das Worst-Case-Szenario? Wenn die Authentifizierung kompromittiert wird, würden vermutlich auch interne Ports offengelegt, aber gibt es darüber hinaus noch weitere Dinge, auf die man achten sollte?
  • Wegen der Natur eines Authentifizierungsdienstes ist der potenzielle Einflussbereich groß. Deshalb würde mich interessieren, ob es ein professionelles Sicherheitsaudit gab und ob es ein offizielles Responsible-Disclosure- oder Penetrationstest-Programm gibt
    • Wenn es ein Audit gäbe, würde das vermutlich in der Dokumentation stehen
  • Sieht wirklich gut aus. Ich habe mir vor Kurzem etwas Ähnliches gebaut, mit einer OPNSense-Box, die DNS, eine WireGuard-Instanz und Zertifikate an den Nginx-Reverse-Proxy auf meiner Synology weiterreicht. Auf den Clients läuft der WG-Tunnel nur für interne IP-Bereiche und funktioniert nur mit internem DNS, damit meine IP nicht in öffentlichen Zertifikaten auftaucht. Das funktioniert gut in einem Heimnetz, aber wenn man mehrere Sites betreibt, wirkt Pangolin eleganter und einfacher zu konfigurieren. Mich würde interessieren, ob Newt eine separate Implementierung des WireGuard-Servers ist und ob es jemals ein Sicherheitsaudit gab
  • Ich frage mich, worin sich Pangolin von NetBird unterscheidet. NetBird ist ebenfalls Self-Hosting-fähig und vollständig Open Source. NetBird-GitHub-Link
    • Soweit ich weiß, sind bei NetBird nicht alle Funktionen in der Open-Source-Version enthalten. Ausschlaggebend war für mich am Ende vor allem das Kostenproblem bei SSO
    • Das würde ich auch gern genauer verstehen. Die Anwendungsfälle sind ähnlich, technisch aber unterschiedlich. NetBird ist eine Tailscale-Alternative auf Basis von WireGuard, Pangolin verwendet Traefik. Ich nutze NetBird und bin sehr zufrieden damit. Beim UI-Design gibt es bei beiden gewisse Ähnlichkeiten
  • Ich frage mich, wie sich das von anderer Open Source wie zrok unterscheidet
  • Wirklich ein tolles Projekt. Ich habe meine Apps mit tailscale und nginx proxy manager auf einem VPS öffentlich gemacht und das hier beschrieben. Pangolin scheint etwas Ähnliches zu bieten, aber mit besserem UI und mehr Kontrolle, daher werde ich es definitiv ausprobieren. Eine Sache, die mich interessiert, ist die Unterstützung mehrerer Domains. Ich lasse mehrere Domains auf meinen VPS zeigen und proxye sie dann im nginx proxy manager. Unterstützt Pangolin ebenfalls mehrere Domains auf diese Weise?
  • Es gibt ziemlich viele Open-Source-Alternativen zu Cloudflare Tunnels: awesome-tunneling GitHub-Link. Ich denke, Pangolin gehört dabei zu den vollständigsten und am besten ausgearbeiteten Lösungen