Pangolin – Cloudflare Tunnelsのオープンソース代替

 (github.com/fosrl)
24 ポイント 投稿者 GN⁺ 2025-07-11 | 3件のコメント | WhatsAppで共有
  • Cloudflare Tunnelsと似た機能を提供する、セルフホスティング可能なトンネリング・リバースプロキシ管理サーバー
  • WireGuardベースの暗号化トンネルにより、ポートフォワーディングなしでもプライベートネットワーク資産を安全に外部公開可能
  • リバースプロキシリバース認証とアクセス制御OAuth2/OIDC対応など、多様な認証・セキュリティ機能と直感的なWebダッシュボードを提供
  • Docker Composeベースのデプロイにより簡単に導入・運用でき、APIとプラグイン連携を通じて自動化と拡張性を確保
  • IoT、ホームラボ、マルチクラウド、ビジネスサービスなど多様な環境で、ネットワーク制約を回避しつつ安全に資産を管理できる

Pangolinの概要

  • Pangolinは、セルフホスティング可能なトンネリングベースのリバースプロキシサーバーであり、一元管理型の認証とアクセス制御機能を提供する
  • WireGuardユーザースペースクライアント(Newt)および各種WireGuardクライアントと連携し、ファイアウォールやNATの制約がある環境でも安全に接続できる
  • ポートフォワーディングなしで内部資産を外部に公開できるため、公開IPを隠しつつネットワークを保護できる
  • ダッシュボードでサイト、ユーザー、ロール、資産を簡単に管理でき、ダークモードおよびモバイル対応UIを提供

主な機能

  • WireGuardトンネルによるリバースプロキシ

    • ファイアウォールに穴を開けずにネットワーク資産を公開可能(ポート開放不要)
    • 独自WireGuardクライアント(Newt)と連携し、すべてのWireGuardクライアントをサポート
    • 自動SSL証明書(Let's Encrypt)の発行、およびHTTP/HTTPS、TCP/UDPサービスをサポート
    • ロードバランシング機能を内蔵

  • 認証とアクセス制御

    • 一元化された認証システム(プラットフォームSSO、OAuth2/OIDC、外部IdP連携)
    • ロールベースアクセス制御(RBAC)、資産ごとのIP/URL/範囲指定
    • メールOTP、TOTP、PINコード、一時共有リンクなど多様な追加認証オプション
    • 組織/サイト/ユーザー/ロール構成による体系的な管理

  • 直感的なダッシュボード

    • サイト/資産/ユーザー/ロールをひと目で管理できるクリーンなUI
    • 使用量、接続状態のリアルタイム監視
    • ライト/ダークモード、モバイル対応

  • 容易なデプロイと拡張性

    • Docker Composeベースのインストールで、クラウド/オンプレミスの両方をサポート
    • APIおよびSwaggerドキュメントを提供し、自動化やカスタムスクリプトとの連携が可能
    • Traefikプラグイン(CrowdSec、Geoblock)と連携してWAFおよびジオブロッキングを適用
    • 複数サイトを1つの中央サーバーで統合管理

代表的な活用事例

  • **ポートフォワーディングが制限された環境(ホームラボ/ISP制限)**でWebサービスを公開
  • 社内/オンプレミスおよびクラウドのアプリケーションを安全に外部提供
  • IoTネットワークの統合管理: 分散したIoT拠点を中央サーバーから安全に接続・アクセス
  • マルチクラウド、ハイブリッドネットワーク向けの統合リバースプロキシ/ロードバランサーとして活用

類似プロジェクトとの差別化ポイント

  • Cloudflare Tunnels: SaaSベースのリバースプロキシサービスに近いが、Pangolinはセルフホスティングによりインフラの完全な制御権を持つ
  • Authelia: 一元認証とロール管理から着想を得ている

デプロイとライセンス

  • Docker Composeで中央サーバーをデプロイし、ドメイン連携、サイト接続、資産公開まで段階的なガイドを提供
  • AGPL-3およびFossorial商用ライセンスによるデュアルライセンス方針

関連記事

3件のコメント

 
ng0301 2025-07-13

クリック一発で手軽に使うには、あまり簡単ではないですね
 
ndrgrd 2025-07-13

良いのですが、これを使うとシステムからWireGuardを制御できません。トンネルとは別に使いたいなら、VMに分けて使う必要があります。
 
GN⁺ 2025-07-11
Hacker Newsのコメント
  • こんにちは、このプロジェクトのもう一人のメンテナーです。システムの他のコンポーネントについてもう少し詳しく説明したいと思います。Pangolin は HTTP プロキシの動作に内部的に Traefik を使用しています。Badger というプラグインが、すべてのリクエストの認証を Pangolin に処理させます。2つ目のサービスである Gerbil は、Pangolin が接続用の WireGuard ピアを作成できるようにする管理サーバーです。最後に Newt があり、これはユーザー空間で完全に WireGuard を活用し、Gerbil と通信してローカルリソースをプロキシする CLI ツールおよび Docker コンテナです。これにより、サービス公開時に root 権限のプロセスや特権コンテナを実行する必要がありません
    • 数か月間、Hetzner の小さな VPS から自宅へトラフィックをトンネリングする用途でこれを使ってきました。体験は非常にスムーズで安定していました。1つ問題があると思っていたのですが、Pangolin とは無関係でした。詳細はこちらで確認できます
    • ここで言及されている各ユースケースごとにドキュメントにミニチュートリアルがあれば、すぐに試して役立つかどうか確認できそうです
  • これは本当に興味深いです。Cloudflare Tunnel に依存することにはいつも不満があったので、オープンソースの代替が出てきたのは本当に新鮮です。Pangolin がネットワークの不安定さ、認証の問題、スケーリングなどの難しい部分をどう扱っているのか気になります。実際に使った人がいれば、Cloudflare の「とにかく動く」魔法と比べてどうなのか教えてほしいです。特に自宅でセルフホスティングする場合にうまく動くのか気になります。ちなみに私は Raspberry Pi でブログやいろいろな趣味プロジェクトを自宅運用しています。実体験があると本当に助かります
  • これは複数のリモート開発ボックスを扱ったり、似たような用途にかなり面白そうです。実際、そういうインフラに深く関わったことがない立場なので、少し初歩的な質問かもしれません。CF トンネルは使ったことがなく、これまでは SSH でリバースプロキシトンネルを作るか、Tailscale を少し使う程度でした。テスト用の内部サービスが特定のデバイス(EC2 インスタンスや自宅のノートPC)にしかなかったのでそうしていました。要するに、tailscale のようなソリューションと比べて Pangolin は何が違うのか説明してもらえるとありがたいです
    • あなたが使っている SSH や Tailscale は、その目的には本当によく合った選択です。Pangolin は一般的に ssh トンネルのような一時的なものというより、サービスに向かう静的かつ常設のトンネルに近いです。ネットワーク内部のアプリを家族など外部の人が Web ブラウザでアクセスできるよう公開したいときに向いています。たとえば、業務用の内部アプリや Immich、Grafana のようなホームラボサービスをブラウザ経由で外部公開したいなら、このツールはとても便利です。伝われば幸いです
    • 私は自宅の unraid サーバーで CF トンネルをかなり広く使っています。要約すると、特定のアプリを公開したくて、かつ Tailscale ノードを追加したくないとき(たとえば私の Plex サーバーを使う弟など)、CF でサブドメインを1つ作って、そのサブドメインを CF トンネルへルーティングします。サイト/サービスごとにフォームの3項目を入力するだけで、自動的に SSL 証明書も発行されます。なので満足して使っています
    • Tailscale(そして headscale)は、外部からアクセスできない内部リソースへ接続するのに非常に適しています。NAS を外部から遮断し、内部からだけアクセスしたい場合にも使えます。Cloudflare トンネルは、サービスを外部公開しつつ多少の保護も提供します。ユーザーによっては、バックエンドは tailscale 経由でのみアクセス可能にし、パブリック側は Cloudflare トンネルだけで開くこともあります。中央の nginx proxy manager に Cloudflare トンネルを直接つなぐのも十分可能な方法です。もちろん Tailscale でも公開サービスへルーティングできますが、Cloudflare の方がやや堅牢な保護を提供します。Pangolin も十分面白そうなのでテストする価値はあり、試す際には Cloudflare トンネルの背後に置いて、必要なら前面に出すこともできそうです
  • 真面目なセキュリティ初心者の質問です。この種のソリューションを使う場合、セキュリティ面での最悪のシナリオは何でしょうか。認証が破られたら内部ポートまで公開されそうだとは思いますが、それ以外に特に注意すべき点があるのか知りたいです
  • 認証サービスという性質上、影響範囲が大きいため、専門のセキュリティ監査を受けたことがあるか、また正式な公開セキュリティ侵入テストプログラムがあるのか気になります
    • もし監査を受けているなら、ドキュメントに書かれているはずだと思います
  • とても良さそうです。私も最近、似たような構成を OPNSense ボックスで作りました。DNS、WireGuard インスタンス、そして証明書を Synology の Nginx リバースプロキシへ渡す形です。クライアント側では WG トンネルを内部 IP 帯でのみ有効にし、内部 DNS のみで動かすことで、公的証明書に自分の IP を露出しないようにしました。こうすると自宅で動かすネットワークには問題ありませんが、複数サイトを扱うなら Pangolin の方がより洗練されていて設定も簡単そうです。Newt が WireGuard サーバーの別実装なのか、それともセキュリティ監査を受けたことがあるのか気になります
  • Pangolin と NetBird の違いが気になります。NetBird もセルフホスティング可能で完全オープンソースです。NetBird GitHub リンク
    • 私の知る限り、NetBird はオープンソース版に全機能が含まれているわけではありません。決定的には SSO のコストが理由で使うのをやめました
    • 私ももっと詳しく知りたいです。ユースケースは似ていますが、技術的には異なります。NetBird は WireGuard を活用した Tailscale の代替で、Pangolin は Traefik を使います。私は NetBird ユーザーで、とても満足しています。UI デザインは両者に似ている部分があります
  • これが zrok のような他のオープンソースとどう違うのか気になります
  • 本当に素晴らしいプロジェクトです。私は tailscale と VPS にインストールした nginx proxy manager で自分のアプリを外部公開していて、その内容をここに書いています。Pangolin はこれに似ていながら、より良い UI とコントロールを提供してくれそうなので、ぜひ使ってみるつもりです。1つ気になるのは複数ドメインを扱えるかどうかです。私は複数のドメインを VPS に向けて nginx proxy manager でプロキシしていますが、Pangolin もこのように複数ドメインをサポートしているのか気になります
  • Cloudflare Tunnels のオープンソース代替はかなり多くあります: awesome-tunneling GitHub リンク。その中でも Pangolin は最も完成度が高く、よく磨かれたソリューションの1つだと思います