Pangolin – uma alternativa open source ao Cloudflare Tunnels

 (github.com/fosrl)
24 pontos por GN⁺ 2025-07-11 | 3 comentários | Compartilhar no WhatsApp
  • Servidor de gerenciamento de proxy reverso com túnel auto-hospedado que oferece funcionalidades semelhantes ao Cloudflare Tunnels
  • Permite expor com segurança recursos de rede privados para o exterior sem port forwarding por meio de túneis criptografados baseados em WireGuard
  • Oferece diversos recursos de autenticação e segurança, como proxy reverso, autenticação reversa e controle de acesso, suporte a OAuth2/OIDC, além de um dashboard web intuitivo
  • Implantação baseada em Docker Compose para instalação e operação simplificadas, com integração via API e plugins para automação e escalabilidade
  • Em diversos ambientes como IoT, homelab, multicloud e serviços corporativos, permite contornar restrições de rede e gerenciar recursos com segurança

Visão geral do Pangolin

  • Pangolin é um servidor de proxy reverso baseado em túnel que pode ser auto-hospedado, oferecendo autenticação centralizada e controle de acesso
  • Integra-se ao cliente WireGuard em userspace (Newt) e a diversos clientes WireGuard, permitindo conexões seguras mesmo em ambientes com restrições de firewall e NAT
  • Como é possível expor recursos internos sem port forwarding, ele ajuda a ocultar o IP público e proteger a rede
  • No dashboard, é fácil gerenciar sites, usuários, papéis e recursos, com interface compatível com modo escuro e mobile

Principais recursos

  • Proxy reverso por meio de túneis WireGuard

    • Permite expor recursos de rede sem abrir portas no firewall
    • Integração com o cliente WireGuard próprio (Newt) e suporte a todos os clientes WireGuard
    • Certificados SSL automáticos (Let's Encrypt) e suporte a serviços HTTP/HTTPS e TCP/UDP
    • Recurso de load balancing integrado

  • Autenticação e controle de acesso

    • Sistema de autenticação centralizado (SSO da plataforma, OAuth2/OIDC, integração com IdP externo)
    • Controle de acesso baseado em papéis (RBAC), com definição de IP/URL/escopo por recurso
    • Várias opções adicionais de autenticação, como OTP por e-mail, TOTP, código PIN e links temporários de compartilhamento
    • Gerenciamento estruturado por meio de organização/site/usuário/papel

  • Dashboard intuitivo

    • UI limpa para gerenciar sites/recursos/usuários/papéis de forma centralizada
    • Monitoramento em tempo real de uso e estado das conexões
    • Modos claro/escuro e suporte a mobile

  • Implantação simples e escalabilidade

    • Instalação baseada em Docker Compose, com suporte tanto a cloud quanto on-premises
    • Fornece API e documentação Swagger, permitindo automação e integração com scripts personalizados
    • Integração com plugins do Traefik (CrowdSec, Geoblock) para aplicar WAF e bloqueio geográfico
    • Gerenciamento centralizado de vários sites em um único servidor central

Casos de uso representativos

  • Exposição de serviços web em ambientes com restrição de port forwarding (homelab/limitações do ISP)
  • Publicação segura de aplicações internas/on-premises e em cloud para acesso externo
  • Gerenciamento integrado de redes IoT: conexão e acesso seguros de ambientes IoT distribuídos a partir de um servidor central
  • Uso como proxy reverso/load balancer integrado para multicloud e redes híbridas

Diferenciais em relação a projetos similares

  • Cloudflare Tunnels: semelhante a serviços de proxy reverso baseados em SaaS, mas o Pangolin é auto-hospedado e oferece controle total da infraestrutura
  • Authelia: serviu de inspiração para autenticação centralizada e gerenciamento de papéis

Implantação e licença

  • Guia passo a passo para implantar o servidor central com Docker Compose, integrar domínio, conectar sites e expor recursos
  • Política de licenciamento duplo com AGPL-3 e licença comercial Fossorial

Leituras relacionadas

3 comentários

 
ng0301 2025-07-13

Não parece tão fácil de usar com praticidade de um clique.
 
ndrgrd 2025-07-13

Tudo é ótimo, mas se você usar isso, não conseguirá controlar o WireGuard no sistema. Se quiser usá-lo separadamente do túnel, vai precisar dividir o uso em uma VM.
 
GN⁺ 2025-07-11
Comentários no Hacker News
  • Olá, eu sou outro mantenedor principal deste projeto. Quero explicar com um pouco mais de detalhe os outros componentes do sistema. O Pangolin usa o Traefik internamente para o funcionamento do proxy HTTP. Um plugin chamado Badger faz com que toda a autenticação das requisições seja tratada pelo Pangolin. O segundo serviço, Gerbil, é um servidor de gerenciamento que permite ao Pangolin criar peers WireGuard para as conexões. Por fim, há o Newt, uma ferramenta CLI e contêiner Docker que utiliza WireGuard totalmente em espaço de usuário, se comunica com o Gerbil e faz o proxy dos recursos locais. Com isso, não é necessário executar processos com privilégios de root nem contêineres privilegiados ao expor serviços
    • Tenho usado isso há alguns meses em um VPS pequeno da Hetzner para tunelar tráfego até minha casa. A experiência tem sido muito fluida e estável. Achei que houvesse um problema, mas não tinha relação com o Pangolin. Os detalhes estão aqui
    • Acho que seria útil ter mini tutoriais na documentação para cada um dos casos de uso mencionados aqui, para que as pessoas possam testar rapidamente e ver se ajuda
  • Isso é realmente interessante. Sempre me incomodou ficar preso ao Cloudflare Tunnel, então ver uma alternativa open source é bem revigorante. Fico curioso sobre como o Pangolin lida com as partes mais complicadas, como instabilidade de rede, problemas de autenticação e escalabilidade. Se alguém já usou de verdade, seria ótimo saber como ele se compara à mágica do "simplesmente funciona" da Cloudflare. Em especial, queria saber se funciona bem para self-hosting em casa. Para contexto, eu rodo um blog e vários projetos de hobby em casa com um Raspberry Pi. Relatos reais de uso seriam muito úteis
  • Isso parece muito interessante para lidar com várias máquinas remotas de desenvolvimento ou algo parecido. Na verdade, nunca me envolvi tão a fundo com esse tipo de infraestrutura, então a pergunta pode ser bem básica. Nunca usei CF Tunnel, e até agora só usei SSH para montar túneis de proxy reverso ou algo como o Tailscale. Fiz isso porque alguns serviços internos de teste só existem em dispositivos específicos, como uma instância EC2 ou um notebook em casa. Em resumo, queria entender no que o Pangolin difere de uma solução como o Tailscale
    • O SSH ou Tailscale que você já usa são escolhas muito boas para esse objetivo. O Pangolin, em geral, é mais voltado para túneis estáticos e permanentes para serviços, em vez de túneis temporários como costuma ser com SSH. Ele é adequado quando você quer expor apps da rede interna para que pessoas de fora, como familiares, possam acessá-los pelo navegador. Por exemplo, se você quiser disponibilizar externamente um app interno de negócios ou serviços de homelab como Immich ou Grafana no navegador, essa ferramenta seria muito útil. Espero que isso faça sentido
    • Eu uso CF Tunnel extensivamente no meu servidor unraid em casa. Resumindo, quando quero expor um app específico e não quero adicionar um nó Tailscale para isso, como no caso do meu irmão usando meu servidor Plex, eu crio um subdomínio no CF e direciono esse subdomínio para um CF Tunnel. Basta preencher três campos por site/serviço, e ele também emite automaticamente o certificado SSL. Então tenho usado com satisfação
    • O Tailscale, e também o headscale, são ótimos para acessar recursos internos que não devem ficar disponíveis externamente. Também dá para usar quando você quer manter um NAS bloqueado para acesso externo e acessível só internamente. O Cloudflare Tunnel expõe serviços publicamente, mas ainda oferece alguma proteção. Algumas pessoas deixam o backend acessível apenas via Tailscale e expõem a parte pública só via Cloudflare Tunnel. Também é totalmente viável conectar diretamente o Cloudflare Tunnel a um gerenciador central de proxy nginx. Claro, também é possível rotear serviços públicos com Tailscale, mas a Cloudflare oferece uma proteção um pouco mais robusta. O Pangolin também parece interessante o bastante para testar; numa fase de teste, você poderia colocá-lo atrás do Cloudflare Tunnel e depois, se quiser, passá-lo para a frente
  • Pergunta séria de iniciante em segurança. Ao usar uma solução desse tipo, qual é o pior cenário do ponto de vista de segurança? Imagino que, se a autenticação for comprometida, até portas internas possam acabar expostas, mas queria saber se há mais alguma coisa com a qual eu deva me preocupar
  • Como serviços de autenticação têm um grande raio de impacto, queria saber se foi feita alguma auditoria profissional de segurança e se existe um programa oficial e público de testes de invasão de segurança
    • Se tivesse havido auditoria, imagino que isso estaria indicado na documentação
  • Parece muito bom. Eu também montei recentemente algo parecido usando uma box OPNSense para repassar DNS, uma instância WireGuard e certificados para o proxy reverso Nginx do Synology. No cliente, deixei o túnel WG ativo apenas para a faixa de IP interna e funcionando só com DNS interno, para não expor meu IP nos certificados públicos. Isso funciona bem para a rede em casa, mas ao lidar com vários sites o Pangolin parece mais elegante e mais simples de configurar. Fico curioso para saber se o Newt é uma implementação separada do servidor WireGuard e se já passou por auditoria de segurança
  • Fico curioso sobre a diferença entre Pangolin e NetBird. O NetBird também é self-hosted e totalmente open source. Link do GitHub do NetBird
    • Pelo que sei, o NetBird não inclui todos os recursos na versão open source. O principal motivo para eu desistir foi o custo do SSO
    • Também queria entender melhor. Os casos de uso parecem parecidos, mas tecnicamente são diferentes. O NetBird é uma alternativa ao Tailscale usando WireGuard, enquanto o Pangolin usa Traefik. Eu uso NetBird e estou muito satisfeito. O design da UI dos dois também tem algumas semelhanças
  • Queria saber como isso se diferencia de outros projetos open source como o zrok
  • Projeto muito legal. Eu expus meus apps para fora usando tailscale e nginx proxy manager instalado em um VPS, e escrevi sobre isso aqui. O Pangolin parece parecido com isso, mas oferecendo uma UI melhor e mais controle, então com certeza vou experimentar. Uma coisa que fiquei curioso é se ele consegue lidar com vários domínios. Eu aponto vários domínios para o VPS e faço o proxy no nginx proxy manager; queria saber se o Pangolin também suporta isso
  • Existem muitas alternativas open source ao Cloudflare Tunnels: link do GitHub awesome-tunneling. Entre elas, acho que o Pangolin é uma das soluções mais completas e polidas