Pangolin – Cloudflare Tunnels için açık kaynaklı bir alternatif

 (github.com/fosrl)
24 puan yazan GN⁺ 2025-07-11 | 3 yorum | WhatsApp'ta paylaş
  • Cloudflare Tunnels benzeri işlevler sunan, self-hosted tünelleme tabanlı ters proxy yönetim sunucusu
  • WireGuard tabanlı şifreli tüneller üzerinden port yönlendirme olmadan özel ağ kaynaklarını güvenli şekilde dışarı açabilir
  • Ters proxy, ters kimlik doğrulama ve erişim kontrolü, OAuth2/OIDC desteği gibi çeşitli kimlik doğrulama ve güvenlik özellikleri ile sezgisel bir web panosu sunar
  • Docker Compose tabanlı dağıtım ile kolay kurulum ve işletim, API ve eklenti entegrasyonu ile otomasyon ve genişletilebilirlik sağlar
  • IoT, homelab, çoklu bulut, iş servisleri gibi çeşitli ortamlarda ağ kısıtlarını aşarak kaynakların güvenli yönetilmesini sağlar

Pangolin'e genel bakış

  • Pangolin, merkezi kimlik doğrulama ve erişim kontrolü özellikleri sunan, self-hosted tünelleme tabanlı bir ters proxy sunucusudur
  • WireGuard userspace istemcisi (Newt) ve çeşitli WireGuard istemcileriyle entegre çalışarak güvenlik duvarı ve NAT kısıtlarının olduğu ortamlarda da güvenli bağlantı kurabilir
  • Port yönlendirme olmadan iç kaynakları dışarı açabildiği için genel IP'yi gizleyerek ağı koruyabilir
  • Panodan siteler, kullanıcılar, roller ve kaynaklar kolayca yönetilebilir; karanlık mod ve mobil destekli bir arayüz sunar

Başlıca özellikler

  • WireGuard tünelleri üzerinden ters proxy

    • Güvenlik duvarını delmeden ağ kaynaklarını açığa çıkarma imkanı (port açmaya gerek yok)
    • Kendi WireGuard istemcisi (Newt) ile entegrasyon, tüm WireGuard istemcilerini destekler
    • Otomatik SSL sertifikası (Let's Encrypt) alma ve HTTP/HTTPS, TCP/UDP servis desteği
    • Dahili yük dengeleme özelliği

  • Kimlik doğrulama ve erişim kontrolü

    • Merkezi kimlik doğrulama sistemi (platform SSO, OAuth2/OIDC, harici IdP entegrasyonu)
    • Rol tabanlı erişim kontrolü (RBAC), kaynak bazında IP/URL/aralık tanımlama
    • E-posta OTP, TOTP, PIN kodu, geçici paylaşım bağlantıları gibi çeşitli ek doğrulama seçenekleri
    • Organizasyon/site/kullanıcı/rol yapıları üzerinden düzenli yönetim

  • Sezgisel pano

    • Site/kaynak/kullanıcı/rol yönetimini tek bakışta sunan sade bir arayüz
    • Kullanım ve bağlantı durumunun gerçek zamanlı izlenmesi
    • Açık/koyu mod, mobil uyumluluk

  • Kolay dağıtım ve genişletilebilirlik

    • Docker Compose tabanlı kurulum, hem bulut hem de şirket içi ortam desteği
    • API ve Swagger dokümantasyonu sağlar; otomasyon ve özel script entegrasyonu mümkündür
    • Traefik eklentileri (CrowdSec, Geoblock) ile entegre edilerek WAF ve coğrafi engelleme uygulanabilir
    • Birden fazla siteyi tek bir merkezi sunucudan birleşik olarak yönetme

Öne çıkan kullanım senaryoları

  • Port yönlendirmesinin kısıtlı olduğu ortamlarda (homelab/ISP kısıtları) web servislerini dışarı açma
  • Kurum içi/on-premise ve buluttaki uygulamaları güvenli şekilde dış dünyaya sunma
  • IoT ağlarını birleşik yönetim: Dağıtık IoT sahalarını merkezi sunucudan güvenli şekilde bağlama ve erişim sağlama
  • Çoklu bulut ve hibrit ağlarda birleşik bir ters proxy/yük dengeleyici olarak kullanma

Benzer projelerden farkı

  • Cloudflare Tunnels: SaaS tabanlı ters proxy hizmetlerine benzer, ancak Pangolin self-hosted yapısıyla altyapı üzerinde tam kontrol sağlar
  • Authelia: Merkezi kimlik doğrulama ve rol yönetimi tarafında buradan esinlenilmiştir

Dağıtım ve lisans

  • Docker Compose ile merkezi sunucu dağıtımı, alan adı entegrasyonu, site bağlantısı ve kaynak yayınına kadar adım adım rehber sunulur
  • AGPL-3 ve Fossorial ticari lisansı ile çift lisans politikası

İlgili okumalar

3 yorum

 
ng0301 2025-07-13

Tık diye rahat kullanmak için pek kolay değilmiş
 
ndrgrd 2025-07-13

Her şey güzel ama bunu kullanırsanız sistemde Wireguard'ı kontrol edemezsiniz. Tünelden bağımsız olarak kullanmak istiyorsanız, VM'lere ayırarak kullanmanız gerekir.
 
GN⁺ 2025-07-11
Hacker News görüşü
  • Merhaba, ben bu projenin diğer ana geliştiricilerinden biriyim. Sistemin diğer bileşenlerini biraz daha ayrıntılı anlatmak istiyorum. Pangolin, HTTP proxy işlevi için arka planda Traefik kullanıyor. Badger adlı bir eklenti, tüm isteklerin kimlik doğrulamasını Pangolin üzerinden yürütüyor. İkinci servis olan Gerbil, Pangolin’in bağlantılar için WireGuard peer’ları oluşturmasını sağlayan bir yönetim sunucusu. Son olarak Newt var; kullanıcı alanında tam WireGuard kullanan, Gerbil ile iletişim kurup yerel kaynakları proxy’leyen bir CLI aracı ve Docker container’ı. Bu sayede servisleri dışarı açarken root yetkili süreçler ya da ayrıcalıklı container’lar çalıştırmanız gerekmiyor
    • Bunu birkaç aydır Hetzner’deki küçük bir VPS’ten evime trafik tünellemek için kullanıyorum. Deneyimim çok akıcı ve kararlı oldu. Bir sorun olduğunu sanmıştım ama Pangolin’le ilgisi yokmuş. Ayrıntılar burada
    • Burada bahsedilen her kullanım senaryosu için dokümantasyonda mini eğitimler olursa, insanlar hızlıca test edip işlerine yarayıp yaramadığını anlayabilir
  • Bu gerçekten çok ilginç. Cloudflare Tunnel’a bağımlı olmak hep canımı sıkıyordu; açık kaynak bir alternatif görmek gerçekten ferahlatıcı. Pangolin’in ağ kararsızlığı, kimlik doğrulama sorunları ve ölçekleme gibi zor kısımları nasıl ele aldığını merak ediyorum. Gerçek kullanım deneyimi olanlar, Cloudflare’ın “just works” sihriyle kıyaslayınca nasıl olduğunu paylaşırsa harika olur. Özellikle evde self-hosting yaparken iyi çalışıp çalışmadığını merak ediyorum. Bu arada ben Raspberry Pi üzerinde blogumu ve çeşitli hobi projelerimi evden çalıştırıyorum. Gerçek deneyimler gerçekten yardımcı olur
  • Bu, birden fazla uzak geliştirme kutusunu yönetmek ya da benzer işler için gerçekten ilginç görünüyor. Aslında bu tür altyapılarla derinlemesine uğraşmış biri değilim, o yüzden sorum biraz temel olabilir. CF tunnel hiç kullanmadım; şimdiye kadar SSH ile reverse proxy tünelleri kurdum ya da en fazla Tailscale kullandım. Test amaçlı bazı iç servisler belirli cihazlarda olduğu için bunu yapıyordum; örneğin bir EC2 instance’ı ya da evdeki bir laptop. Kısacası, tailscale benzeri çözümlerle kıyaslandığında Pangolin’in farkı nedir, açıklayabilir misiniz
    • Kullandığınız SSH ya da Tailscale o amaç için gerçekten iyi seçimler. Pangolin ise genelde SSH tünelleri gibi geçici olmaktan çok, servislere giden statik ve sürekli bir tünel gibi çalışır. Ağınızdaki uygulamaları aileniz gibi dışarıdaki kişilerin web tarayıcısıyla erişebilmesi için yayınlamak istediğinizde uygundur. Örneğin iş amaçlı bir iç uygulamayı ya da Immich, Grafana gibi homelab servislerini tarayıcı üzerinden dışarı açmak istiyorsanız bu araç çok kullanışlı olur. Umarım açıklayıcı olmuştur
    • Ben evdeki unraid sunucumda CF tunnel’ı yoğun şekilde kullanıyorum. Kısaca, belirli bir uygulamayı yayınlamak istediğimde ve insanların Tailscale node’u eklemesini istemediğimde (ör. Plex sunucumu kullanan kardeşim), CF üzerinde bir subdomain oluşturup onu CF tunnel’a yönlendiriyorum. Her site/servis için sadece formda üç alan doldurmak yetiyor ve SSL sertifikası da otomatik veriliyor. Bu yüzden memnunum
    • Tailscale (ve headscale), dışarıdan erişilmemesi gereken iç kaynaklara ulaşmak için çok uygun. NAS’ı dışarıya kapalı tutup sadece içeriden erişmek istediğinizde de işe yarıyor. Cloudflare tunnel ise servisleri dışarı açarken bir miktar koruma da sağlıyor. Bazı kullanıcılar backend’e yalnızca tailscale üzerinden erişip, public tarafı sadece Cloudflare tunnel ile açıyor. Merkezi bir nginx proxy manager’dan doğrudan Cloudflare tunnel’a bağlanmak da gayet mümkün. Elbette Tailscale ile de herkese açık servislere yönlendirme yapılabilir ama Cloudflare biraz daha sağlam koruma sunuyor. Pangolin de yeterince ilginç görünüyor; test etmeye değer ve test sırasında Cloudflare tunnel’ın arkasına koyup sonra istenirse öne alınabilir
  • Ciddi ama acemi bir güvenlik sorusu: Bu tür çözümleri kullanırken güvenlik açısından en kötü senaryo nedir? Kimlik doğrulama kırılırsa iç portlar bile açığa çıkabilir gibi geliyor ama bunun dışında dikkat edilmesi gereken başka şeyler var mı merak ediyorum
  • Kimlik doğrulama servislerinin etki alanı büyük olduğu için, profesyonel bir güvenlik denetimi yapılıp yapılmadığını ve resmi bir sorumlu açıklama / güvenlik test programı olup olmadığını merak ediyorum
    • Denetim yapılmış olsaydı dokümantasyonda belirtilmiş olurdu diye düşünüyorum
  • Gerçekten çok iyi görünüyor. Ben de yakın zamanda benzer bir yapıyı OPNSense kutusu kullanarak kurdum; DNS, WireGuard instance’ı ve sertifikaları Synology’nin Nginx reverse proxy’sine aktarıyorum. İstemcide WG tünelini yalnızca iç IP aralığında ve sadece iç DNS ile çalışacak şekilde açtım; böylece genel sertifikalarda IP adresimi ifşa etmiyorum. Bu, evde çalışan bir ağ için sorun değil ama çok sayıda siteyi yönetirken Pangolin daha şık ve kurulumu daha kolay görünüyor. Newt’ün WireGuard sunucusunun ayrı bir implementasyonu olup olmadığını ve herhangi bir güvenlik denetiminden geçip geçmediğini merak ediyorum
  • Pangolin ile NetBird arasındaki farkı merak ediyorum. NetBird de self-hosted ve tamamen açık kaynak. NetBird GitHub bağlantısı
    • Bildiğim kadarıyla NetBird, tüm özelliklerini açık kaynak sürüme dahil etmiyor. Benim için belirleyici olan şey SSO maliyetiydi; bu yüzden kullanmayı bıraktım
    • Ben de daha fazlasını öğrenmek isterim. Kullanım senaryosu benzer ama teknik olarak farklılar. NetBird, WireGuard tabanlı bir Tailscale alternatifi; Pangolin ise Traefik kullanıyor. Ben NetBird kullanıcısıyım ve çok memnunum. UI tasarımında ikisinin de benzer yanları var
  • Bunun zrok gibi diğer açık kaynak seçeneklerden farkı nedir, merak ediyorum
  • Gerçekten harika bir proje. Ben tailscale ve VPS’e kurduğum nginx proxy manager ile uygulamalarımı dışarı açtım ve bunu burada yazdım. Pangolin, buna benzer ama daha iyi bir UI ve kontrol sunuyor gibi görünüyor; kesinlikle deneyeceğim. Merak ettiğim bir şey de birden fazla domain’i yönetip yönetemediği. Ben birden fazla domain’i VPS’e yönlendirip nginx proxy manager üzerinde proxy’liyorum; Pangolin de bu şekilde birden fazla domain’i destekliyor mu
  • Cloudflare Tunnels için oldukça fazla açık kaynak alternatif var: awesome-tunneling GitHub bağlantısı. Bunların içinde Pangolin’in en tamamlanmış ve en cilalı çözümlerden biri olduğunu düşünüyorum