From 61f4190f4841773432dacdea4458b16228f05d33 Mon Sep 17 00:00:00 2001 From: Stefan Mogeritsch Date: Sat, 14 Feb 2026 13:00:18 +0100 Subject: [PATCH] docs: add guide comparing Pangolin and Cloudflare Tunnel with deployment steps Introduced `Pangolin-vs-Cloudflare-Tunnel.md` to compare features between Pangolin and Cloudflare Tunnel. Included step-by-step deployment instructions for Hetzner VPS and MS-R1, highlighting privacy, performance, and configuration benefits. --- docs/Pangolin-vs-Cloudflare-Tunnel.md | 86 +++++++++++++++++++++++++++ 1 file changed, 86 insertions(+) create mode 100644 docs/Pangolin-vs-Cloudflare-Tunnel.md diff --git a/docs/Pangolin-vs-Cloudflare-Tunnel.md b/docs/Pangolin-vs-Cloudflare-Tunnel.md new file mode 100644 index 00000000..89b5e40f --- /dev/null +++ b/docs/Pangolin-vs-Cloudflare-Tunnel.md @@ -0,0 +1,86 @@ +--- +Pangolin vs. Cloudflare Tunnel +--- + +## 🛡️ Pangolin vs. Cloudflare Tunnel + +| Merkmal | Cloudflare Tunnel (`cloudflared`) | Pangolin (Self-Hosted) | +|------------------|---------------------------------------------|-------------------------------------------------| +| **Kontrolle** | Zentralisiert (Cloudflare sieht Traffic). | **Dezentral** (Du besitzt den VPS & Schlüssel). | +| **Datenschutz** | SSL terminiert bei Cloudflare. | **End-to-End** (SSL terminiert auf DEINEM VPS). | +| **AGB / Limits** | Verbot von Video-Streaming (Plex/Jellyfin). | **Keine Limits** (Du bestimmst den Traffic). | +| **Protokolle** | Primär TCP/HTTP. | **TCP & UDP** (Dank WireGuard-Basis). | +| **Kosten** | Kostenlos (Free Tier). | VPS-Miete (ca. 4€ bei Hetzner). | +| **Features** | WAF, DDoS-Schutz (proprietär). | SSO, CrowdSec, Geoblocking (Open Source). | + +--- + +## 🚀 Deployment-Bauplan (Hetzner + MS-R1) + +### Teil 1: VPS Setup (Hetzner Cloud) + +1. Erstelle einen **CX21** VPS (Location: Frankfurt für geringste Latenz). +2. Installiere Docker und erstelle das Pangolin-Verzeichnis. + +**Docker Compose für den VPS (`compose.yaml`):** + +```yaml +services: + pangolin: + image: ghcr.io/m-pennat/pangolin:latest + container_name: pangolin + restart: unless-stopped + ports: + - "80:80" # HTTP (Let's Encrypt) + - "443:443" # HTTPS + - "51820:51820/udp" # WireGuard Tunnel + volumes: + - ./data:/var/lib/pangolin + - /var/run/docker.sock:/var/run/docker.sock + environment: + - PANGOLIN_DOMAIN=dashboard.deinedomain.de + +``` + +*Nach dem Start (`docker compose up -d`) unter der Domain einloggen und einen neuen **Site-Client** anlegen, um den **Enrollment Token** zu erhalten.* + +--- + +### Teil 2: Home-Server Setup (MS-R1 / Debian 12 arm64) + +Auf deinem MS-R1 installierst du den Gegenpart **Newt**. Da du Debian 12 auf arm64 nutzt, ist das Setup extrem ressourcensparend. + +**Docker Compose für den MS-R1 (`compose.yaml`):** + +```yaml +services: + # Der Tunnel-Client + newt: + image: ghcr.io/m-pennat/newt:latest + container_name: newt + restart: unless-stopped + environment: + - NEWT_ENROLL_TOKEN=DEIN_TOKEN_VON_HETZNER_VPS + depends_on: + - gitea + + # Dein Service (Beispiel: Gitea) + gitea: + image: gitea/gitea:latest + container_name: gitea + restart: unless-stopped + volumes: + - ./gitea_data:/data + # Hinweis: Kein "ports"-Mapping nötig! Zugriff erfolgt über den Tunnel. + +``` + +--- + +## 💡 Warum das für dich ein "Erfolg" ist + +* **Kein Port-Forwarding:** Dein Router zu Hause bleibt komplett dicht. +* **Arm64-Optimiert:** Debian 12 und die Container nutzen kaum CPU-Zyklen deines MS-R1. +* **Identity-Aware Proxy:** Du kannst im Pangolin-Dashboard (Hetzner) mit drei Klicks einstellen, dass man sich erst per **Google** oder **GitHub** anmelden muss, um dein Gitea überhaupt zu sehen. + +---