Pangolin – una alternativa open source a Cloudflare Tunnels

 (github.com/fosrl)
24 puntos por GN⁺ 2025-07-11 | 3 comentarios | Compartir por WhatsApp
  • Cloudflare Tunnels ofrece funciones similares como un servidor de gestión de proxy inverso con túneles autoalojado
  • A través de túneles cifrados basados en WireGuard, permite exponer de forma segura recursos de red privados al exterior sin necesidad de port forwarding
  • Ofrece diversas funciones de autenticación y seguridad como proxy inverso, autenticación inversa y control de acceso, y soporte para OAuth2/OIDC, además de un dashboard web intuitivo
  • Con despliegue basado en Docker Compose, facilita la instalación y operación, y asegura automatización y escalabilidad mediante integración con API y plugins
  • Permite evitar restricciones de red y gestionar recursos de forma segura en entornos diversos como IoT, homelab, multicloud y servicios empresariales

Resumen de Pangolin

  • Pangolin es un servidor de proxy inverso basado en túneles que puede autoalojarse y ofrece autenticación centralizada y control de acceso
  • Se integra con el cliente userspace de WireGuard (Newt) y con varios clientes de WireGuard, lo que permite conexiones seguras incluso en entornos con restricciones de firewall y NAT
  • Permite exponer recursos internos al exterior sin port forwarding, lo que ayuda a ocultar la IP pública y proteger la red
  • Desde el dashboard se pueden administrar fácilmente sitios, usuarios, roles y recursos, y ofrece una UI con modo oscuro y soporte móvil

Funciones principales

  • Proxy inverso mediante túneles WireGuard

    • Permite exponer recursos de red sin abrir el firewall (no es necesario abrir puertos)
    • Integración con su propio cliente WireGuard (Newt) y soporte para todos los clientes WireGuard
    • Certificados SSL automáticos (Let's Encrypt) y soporte para servicios HTTP/HTTPS y TCP/UDP
    • Load balancing integrado

  • Autenticación y control de acceso

    • Sistema de autenticación centralizado (SSO de la plataforma, OAuth2/OIDC, integración con IdP externos)
    • Control de acceso basado en roles (RBAC), con definición de IP/URL/rangos por recurso
    • Varias opciones adicionales de autenticación, como OTP por correo, TOTP, código PIN y enlaces temporales para compartir
    • Gestión estructurada mediante configuración de organizaciones/sitios/usuarios/roles

  • Dashboard intuitivo

    • UI limpia para administrar de un vistazo sitios/recursos/usuarios/roles
    • Monitoreo en tiempo real del uso y estado de las conexiones
    • Modo claro/oscuro y compatibilidad móvil

  • Despliegue sencillo y escalabilidad

    • Instalación basada en Docker Compose, con soporte tanto para cloud como on-premise
    • Proporciona API y documentación Swagger, con posibilidad de integración para automatización y scripts personalizados
    • Integración con plugins de Traefik (CrowdSec, Geoblock), entre otros, para aplicar WAF y geoblocking
    • Gestión centralizada de múltiples sitios desde un solo servidor central

Casos de uso representativos

  • Exposición de servicios web en entornos con restricciones de port forwarding (homelab/restricciones del ISP)
  • Publicar aplicaciones internas/on-premise y en la nube de forma segura
  • Gestión unificada de redes IoT: conectar y acceder de forma segura a sitios IoT distribuidos desde un servidor central
  • Uso como proxy inverso/load balancer unificado para multicloud y redes híbridas

Diferencias frente a proyectos similares

  • Cloudflare Tunnels: se parece a un servicio de proxy inverso basado en SaaS, pero Pangolin, al ser autoalojado, ofrece control total sobre la infraestructura
  • Authelia: sirvió de inspiración para la autenticación centralizada y la gestión de roles

Despliegue y licencia

  • Incluye una guía paso a paso con Docker Compose para desplegar el servidor central, vincular el dominio, conectar sitios y exponer recursos
  • Política de doble licencia con AGPL-3 y licencia comercial de Fossorial

Lecturas relacionadas

3 comentarios

 
ng0301 2025-07-13

No es tan fácil de usar cómodamente con solo hacer clic.
 
ndrgrd 2025-07-13

Todo está muy bien, pero si usas esto no podrás controlar WireGuard desde el sistema. Si quieres usarlo por separado del túnel, tendrás que dividirlo en una VM.
 
GN⁺ 2025-07-11
Comentarios en Hacker News
  • Hola, soy otro de los mantenedores principales de este proyecto. Quería explicar un poco más en detalle algunos de los otros componentes del sistema. Pangolin usa Traefik internamente para el funcionamiento del proxy HTTP. Un plugin llamado Badger hace que toda la autenticación de las solicitudes se procese en Pangolin. El segundo servicio, Gerbil, es un servidor de administración que permite que Pangolin cree peers de WireGuard para las conexiones. Por último está Newt, una herramienta CLI y contenedor Docker que usa WireGuard completamente en espacio de usuario, se comunica con Gerbil y hace proxy de recursos locales. Gracias a esto no hace falta ejecutar procesos con permisos de root ni contenedores privilegiados al exponer servicios
    • Llevo unos meses usándolo en un VPS pequeño de Hetzner para tunelizar tráfico hacia mi casa. La experiencia ha sido muy fluida y estable. Hubo un problema que pensé que estaba relacionado, pero no tenía que ver con Pangolin. Los detalles están aquí
    • Creo que sería útil tener mini tutoriales en la documentación para cada uno de los casos de uso mencionados aquí, para poder probarlos rápido y ver si ayudan
  • Esto está realmente interesante. Siempre me ha molestado depender de Cloudflare Tunnel, así que ver una alternativa de código abierto se siente muy refrescante. Me da curiosidad cómo maneja Pangolin las partes complicadas como la inestabilidad de red, los problemas de autenticación y el escalado. Si alguien ya lo usó, estaría bueno saber cómo se compara con la magia de Cloudflare de “simplemente funciona”. Sobre todo me interesa si funciona bien para self-hosting en casa. Para dar contexto, yo corro un blog y varios proyectos de hobby en casa con una Raspberry Pi. Las experiencias reales ayudarían mucho
  • Esto se ve muy interesante para manejar varias cajas de desarrollo remoto o usos parecidos. En realidad no he estado muy metido en ese tipo de infraestructura, así que puede que la pregunta sea algo básica. Nunca he usado CF Tunnel y hasta ahora solo he hecho túneles de proxy inverso con SSH o usado algo como Tailscale. Lo hacía porque algunos servicios internos de prueba solo estaban en un dispositivo específico, como una instancia EC2 o una laptop en casa. En pocas palabras, me gustaría entender en qué se diferencia Pangolin frente a una solución como Tailscale
    • Lo que usas con SSH o Tailscale encaja muy bien para ese objetivo. Pangolin, por lo general, se parece más a un túnel estático y permanente hacia un servicio, en lugar de algo temporal como un túnel SSH. Es ideal cuando quieres publicar apps dentro de tu red para que personas externas, como tu familia, puedan acceder desde el navegador. Por ejemplo, si quieres exponer al exterior una app interna de negocio o servicios de homelab como Immich o Grafana en el navegador, esta herramienta te puede servir muchísimo. Espero que eso aclare la idea
    • Yo uso mucho CF Tunnel en mi servidor unraid de casa. En resumen, si quiero exponer una app específica y no quiero agregar un nodo de Tailscale, como en el caso de mi hermano que usa mi servidor Plex, creo un subdominio en CF y lo enruto por CF Tunnel. Solo hay que llenar tres campos por sitio o servicio y además se emite automáticamente el certificado SSL. Así que me ha funcionado bastante bien
    • Tailscale (y headscale) es excelente para acceder a recursos internos que no quieres que sean accesibles desde fuera. Por ejemplo, sirve si quieres mantener tu NAS bloqueado al exterior y disponible solo de forma interna. Cloudflare Tunnel expone servicios al público, pero con algo de protección adicional. Algunas personas hacen que el backend solo sea accesible por tailscale y dejan la parte pública abierta únicamente por Cloudflare Tunnel. También es totalmente viable conectar un nginx proxy manager central directamente a Cloudflare Tunnel. Claro, con Tailscale también puedes enrutar hacia servicios públicos, pero Cloudflare ofrece una protección un poco más sólida. Pangolin también se ve bastante interesante como para probarlo; al testearlo incluso podrías dejarlo detrás de Cloudflare Tunnel y luego, si quieres, ponerlo al frente
  • Pregunta seria de alguien novato en seguridad. Cuando se usa una solución de este tipo, ¿cuál sería el peor escenario posible desde el punto de vista de seguridad? Si se rompe la autenticación, imagino que hasta los puertos internos podrían quedar expuestos, pero me gustaría saber si hay algo más a lo que haya que prestar atención
  • Dado que, por la naturaleza de un servicio de autenticación, el alcance del impacto puede ser grande, me gustaría saber si se ha hecho una auditoría de seguridad profesional y si existe un programa formal público de pruebas de penetración de seguridad
    • Si la hubieran hecho, supongo que estaría indicado en la documentación
  • Se ve muy bien. Yo hace poco armé algo parecido usando una caja con OPNSense para pasar DNS, una instancia de WireGuard y certificados al proxy inverso Nginx de Synology. En el cliente, el túnel WG solo se activa para la subred IP interna y funciona únicamente con DNS interno, así evito exponer mi IP en certificados públicos. Eso funciona bien para una red que corre en casa, pero si manejas varios sitios, Pangolin parece más elegante y más fácil de configurar. Me da curiosidad si Newt es una implementación aparte del servidor WireGuard y si alguna vez pasó por una auditoría de seguridad
  • Me da curiosidad la diferencia entre Pangolin y NetBird. NetBird también se puede self-hostear y es completamente de código abierto. Enlace al GitHub de NetBird
    • Hasta donde sé, NetBird no incluye todas las funciones en la versión de código abierto. En particular, terminé descartándolo por el costo del SSO
    • También me gustaría saber más. Los casos de uso se parecen, pero técnicamente son distintos. NetBird es una alternativa a Tailscale basada en WireGuard, y Pangolin usa Traefik. Yo soy usuario de NetBird y estoy muy contento. El diseño de la UI también tiene ciertas similitudes en ambos
  • Me pregunto en qué se diferencia esto de otros proyectos de código abierto como zrok
  • Excelente proyecto. Yo publiqué mis apps al exterior usando tailscale y nginx proxy manager instalado en un VPS, y escribí sobre eso aquí. Pangolin parece ofrecer algo parecido, pero con una mejor UI y más control, así que definitivamente lo voy a probar. Una cosa que me da curiosidad es si puede manejar varios dominios. Yo apunto múltiples dominios a mi VPS y luego hago proxy en nginx proxy manager; me gustaría saber si Pangolin también soporta ese esquema con varios dominios
  • Hay bastantes alternativas de código abierto a Cloudflare Tunnels: enlace al GitHub de awesome-tunneling. Entre ellas, creo que Pangolin es una de las soluciones más completas y pulidas