Pangolin – Alternatif open source untuk Cloudflare Tunnels

 (github.com/fosrl)
24 poin oleh GN⁺ 2025-07-11 | 3 komentar | Bagikan ke WhatsApp
  • Server manajemen reverse proxy tunneling self-hosted yang menyediakan fungsi serupa dengan Cloudflare Tunnels
  • Melalui tunnel terenkripsi berbasis WireGuard, sumber daya jaringan privat dapat diekspos dengan aman ke luar tanpa port forwarding
  • Menyediakan berbagai fitur autentikasi dan keamanan seperti reverse proxy, autentikasi balik dan kontrol akses, dukungan OAuth2/OIDC, serta dashboard web yang intuitif
  • Instalasi dan operasional yang mudah dengan deployment berbasis Docker Compose, serta otomatisasi dan ekstensibilitas melalui integrasi API dan plugin
  • Dapat digunakan di berbagai lingkungan seperti IoT, homelab, multi-cloud, dan layanan bisnis untuk melewati batasan jaringan dan mengelola sumber daya dengan aman

Ikhtisar Pangolin

  • Pangolin adalah server reverse proxy berbasis tunneling yang dapat di-host sendiri, dengan fitur autentikasi dan kontrol akses terpusat
  • Terintegrasi dengan klien userspace WireGuard (Newt) dan berbagai klien WireGuard lainnya, sehingga dapat terhubung dengan aman bahkan di lingkungan yang dibatasi firewall dan NAT
  • Dapat mengekspos sumber daya internal ke luar tanpa port forwarding, sehingga IP publik dapat disembunyikan dan jaringan tetap terlindungi
  • Melalui dashboard, site, pengguna, peran, dan sumber daya dapat dikelola dengan mudah, serta menyediakan UI yang mendukung dark mode dan perangkat mobile

Fitur utama

  • Reverse proxy melalui tunnel WireGuard

    • Dapat mengekspos sumber daya jaringan tanpa membuka firewall (tidak perlu membuka port)
    • Terintegrasi dengan klien WireGuard bawaan (Newt), dan mendukung semua klien WireGuard
    • Mendukung penerbitan sertifikat SSL otomatis (Let's Encrypt) serta layanan HTTP/HTTPS dan TCP/UDP
    • Fitur load balancing bawaan

  • Autentikasi dan kontrol akses

    • Sistem autentikasi terpusat (platform SSO, OAuth2/OIDC, integrasi IdP eksternal)
    • Kontrol akses berbasis peran (RBAC), penetapan IP/URL/rentang per sumber daya
    • Beragam opsi autentikasi tambahan seperti OTP email, TOTP, kode PIN, dan tautan berbagi sementara
    • Pengelolaan yang terstruktur melalui organisasi/site/pengguna/peran

  • Dashboard yang intuitif

    • UI bersih untuk mengelola site/sumber daya/pengguna/peran dalam satu tampilan
    • Pemantauan penggunaan dan status koneksi secara real-time
    • Mendukung mode terang/gelap dan mobile

  • Deployment mudah dan ekstensibilitas

    • Instalasi berbasis Docker Compose, mendukung cloud maupun on-premise
    • Menyediakan API dan dokumentasi Swagger, memungkinkan otomatisasi dan integrasi skrip kustom
    • Dapat diintegrasikan dengan plugin Traefik (CrowdSec, Geoblock) untuk menerapkan WAF dan geo-blocking
    • Mengelola banyak site secara terpusat dengan satu server pusat

Contoh penggunaan utama

  • Mengekspos layanan web di lingkungan dengan port forwarding terbatas (homelab/batasan ISP)
  • Menyajikan aplikasi internal/on-premise dan cloud ke luar dengan aman
  • Manajemen terpusat jaringan IoT: menghubungkan dan mengakses lokasi IoT yang tersebar dengan aman dari server pusat
  • Digunakan sebagai reverse proxy/load balancer terpadu untuk multi-cloud dan jaringan hybrid

Pembeda dibanding proyek serupa

  • Cloudflare Tunnels: mirip dengan layanan reverse proxy berbasis SaaS, tetapi Pangolin bersifat self-hosted sehingga memiliki kendali penuh atas infrastruktur
  • Authelia: menjadi inspirasi untuk autentikasi terpusat dan manajemen peran

Deployment dan lisensi

  • Menyediakan panduan bertahap mulai dari deployment server pusat dengan Docker Compose, integrasi domain, koneksi site, hingga eksposur sumber daya
  • Kebijakan lisensi ganda dengan AGPL-3 dan lisensi komersial Fossorial

Bacaan terkait

3 komentar

 
ng0301 2025-07-13

Tidak mudah digunakan dengan nyaman hanya dengan klik-klik.
 
ndrgrd 2025-07-13

Semuanya bagus, tetapi jika memakai ini, Anda tidak bisa mengendalikan Wireguard dari sistem. Jika ingin menggunakannya secara terpisah dari tunnel, Anda harus membaginya lewat VM.
 
GN⁺ 2025-07-11
Komentar Hacker News
  • Halo, saya salah satu maintainer utama lain dari proyek ini. Saya ingin menjelaskan sedikit lebih rinci tentang komponen lain dalam sistem ini. Pangolin secara internal menggunakan Traefik untuk berfungsi sebagai proxy HTTP. Plugin bernama Badger menangani autentikasi semua request melalui Pangolin. Layanan kedua, Gerbil, adalah server manajemen yang memungkinkan Pangolin membuat peer WireGuard untuk koneksi. Terakhir ada Newt, yaitu alat CLI dan container Docker yang memanfaatkan WireGuard sepenuhnya di user space, berkomunikasi dengan Gerbil, lalu mem-proxy resource lokal. Berkat ini, saat mengekspos layanan tidak perlu menjalankan proses dengan hak root atau container terprivilegasi
    • Saya sudah memakai ini selama beberapa bulan di VPS kecil Hetzner untuk menyalurkan traffic ke rumah. Pengalamannya sangat mulus dan stabil. Saya sempat mengira ada satu masalah, tetapi ternyata tidak terkait dengan Pangolin. Detailnya bisa dilihat di sini
    • Akan sangat membantu jika dokumentasinya punya mini tutorial untuk tiap use case yang disebutkan di sini, supaya orang bisa cepat mencoba dan melihat apakah ini berguna bagi mereka
  • Ini benar-benar menarik. Saya selalu kurang suka harus bergantung pada Cloudflare Tunnel, jadi melihat ada alternatif open source terasa sangat menyegarkan. Saya penasaran bagaimana Pangolin menangani bagian-bagian sulit seperti ketidakstabilan jaringan, masalah autentikasi, dan scaling. Kalau ada yang sudah memakainya langsung, akan bagus sekali kalau bisa berbagi bagaimana perbandingannya dengan keajaiban Cloudflare yang "tinggal jalan". Saya terutama penasaran apakah ini bekerja baik untuk self-hosting di rumah. Sebagai konteks, saya menjalankan blog dan berbagai proyek hobi dari rumah dengan Raspberry Pi. Pengalaman nyata pasti sangat membantu
  • Ini terlihat sangat menarik untuk menangani beberapa remote development box atau kebutuhan serupa. Sebenarnya saya belum terlalu mendalami infrastruktur seperti itu, jadi pertanyaannya mungkin agak mendasar. Saya belum pernah memakai CF tunnel, dan sejauh ini hanya pernah membuat reverse proxy tunnel dengan SSH atau memakai Tailscale. Saya melakukannya karena layanan internal untuk pengujian hanya ada di device tertentu, seperti instance EC2 atau laptop di rumah. Singkatnya, saya penasaran apakah Anda bisa menjelaskan apa perbedaan Pangolin dibanding solusi seperti tailscale
    • SSH atau Tailscale yang Anda pakai memang sangat cocok untuk tujuan itu. Pangolin umumnya lebih mirip tunnel statis dan permanen menuju layanan, bukan sesuatu yang sementara seperti tunnel ssh. Ini cocok kalau Anda ingin mengekspos aplikasi internal jaringan agar bisa diakses orang luar seperti keluarga lewat browser web. Misalnya, jika Anda ingin menyediakan aplikasi internal bisnis atau layanan homelab seperti Immich dan Grafana ke luar lewat browser, alat ini akan sangat berguna. Semoga membantu
    • Saya cukup sering memakai CF tunnel di server unraid saya di rumah. Singkatnya, kalau saya ingin mengekspos aplikasi tertentu dan tidak ingin menambahkan node Tailscale, misalnya untuk adik saya yang memakai server Plex saya, saya cukup membuat satu subdomain di CF lalu mengarahkannya ke CF tunnel. Untuk tiap situs/layanan, saya hanya perlu mengisi tiga kolom formulir, dan sertifikat SSL juga diterbitkan otomatis. Jadi sejauh ini saya puas memakainya
    • Tailscale, dan juga headscale, sangat cocok untuk mengakses resource internal yang tidak bisa diakses dari luar. Kadang dipakai kalau Anda ingin NAS tetap tertutup dari luar dan hanya bisa diakses secara internal. Cloudflare tunnel memungkinkan layanan diekspos ke publik sambil tetap memberi sedikit perlindungan. Sebagian orang membiarkan backend hanya bisa diakses lewat tailscale, sementara sisi publik hanya dibuka lewat Cloudflare tunnel. Menghubungkan Cloudflare tunnel langsung ke central nginx proxy manager juga sepenuhnya memungkinkan. Tentu, Tailscale juga bisa dipakai untuk routing ke layanan publik, tetapi Cloudflare memberi perlindungan yang sedikit lebih kokoh. Pangolin juga terlihat cukup menarik untuk diuji, dan saat pengujian mungkin bisa diletakkan di belakang Cloudflare tunnel dulu lalu dipindah ke depan bila perlu
  • Ini pertanyaan serius dari pemula soal keamanan. Saat memakai solusi seperti ini, apa skenario terburuk dari sudut pandang keamanan? Rasanya kalau autentikasi jebol, port internal juga bisa ikut terekspos, tetapi saya ingin tahu apakah ada hal lain yang perlu diwaspadai
  • Karena sifat layanan autentikasi membuat dampaknya luas, saya penasaran apakah sudah pernah dilakukan audit keamanan profesional dan apakah ada program uji penetrasi keamanan publik yang resmi
    • Kalau memang pernah diaudit, saya rasa itu akan tercantum di dokumentasi
  • Ini terlihat sangat bagus. Saya juga baru-baru ini membangun sesuatu yang mirip dengan memanfaatkan box OPNSense untuk mengirim DNS, instance WireGuard, dan sertifikat ke reverse proxy Nginx milik Synology. Di sisi klien, saya menyalakan tunnel WG hanya untuk rentang IP internal dan membuatnya bekerja hanya dengan DNS internal, sehingga IP saya tidak terekspos ke sertifikat publik. Pendekatan ini tidak bermasalah untuk jaringan yang berjalan di rumah, tetapi kalau harus menangani banyak situs, Pangolin tampaknya lebih rapi dan lebih mudah dikonfigurasi. Saya penasaran apakah Newt merupakan implementasi terpisah dari server WireGuard, dan apakah pernah diaudit secara keamanan
  • Saya penasaran apa perbedaan Pangolin dengan NetBird. NetBird juga bisa self-hosted dan sepenuhnya open source. Tautan GitHub NetBird
    • Setahu saya, NetBird tidak menyertakan semua fiturnya di versi open source. Yang paling menentukan, saya akhirnya batal memakainya karena masalah biaya SSO
    • Saya juga ingin tahu lebih banyak. Use case-nya mirip, tetapi secara teknis berbeda. NetBird adalah alternatif Tailscale yang memanfaatkan WireGuard, sedangkan Pangolin memakai Traefik. Saya pengguna NetBird dan sangat puas dengannya. Desain UI keduanya juga punya beberapa kemiripan
  • Saya penasaran bagaimana ini berbeda dari proyek open source lain seperti zrok
  • Proyek yang sangat keren. Saya mengekspos aplikasi saya ke luar dengan tailscale dan nginx proxy manager yang dipasang di VPS, dan saya menuliskannya di sini. Pangolin tampaknya mirip tetapi menawarkan UI dan kontrol yang lebih baik, jadi saya pasti akan mencobanya. Satu hal yang saya penasaran adalah apakah ini bisa menangani banyak domain. Saya mengarahkan beberapa domain ke VPS lalu mem-proxy-nya lewat nginx proxy manager; saya ingin tahu apakah Pangolin juga mendukung banyak domain seperti ini
  • Ada cukup banyak alternatif open source untuk Cloudflare Tunnels: tautan GitHub awesome-tunneling. Menurut saya, Pangolin adalah salah satu solusi yang paling matang dan paling rapi di antaranya