90 lines
3.0 KiB
Markdown
90 lines
3.0 KiB
Markdown
---
|
|
type: Reference
|
|
status: ACTIVE
|
|
owner: DevOps Engineer
|
|
last_update: 2026-03-15
|
|
---
|
|
|
|
## 🛡️ Pangolin vs. Cloudflare Tunnel
|
|
|
|
| Merkmal | Cloudflare Tunnel (`cloudflared`) | Pangolin (Self-Hosted) |
|
|
|------------------|---------------------------------------------|-------------------------------------------------|
|
|
| **Kontrolle** | Zentralisiert (Cloudflare sieht Traffic). | **Dezentral** (Du besitzt den VPS & Schlüssel). |
|
|
| **Datenschutz** | SSL terminiert bei Cloudflare. | **End-to-End** (SSL terminiert auf DEINEM VPS). |
|
|
| **AGB / Limits** | Verbot von Video-Streaming (Plex/Jellyfin). | **Keine Limits** (Du bestimmst den Traffic). |
|
|
| **Protokolle** | Primär TCP/HTTP. | **TCP & UDP** (Dank WireGuard-Basis). |
|
|
| **Kosten** | Kostenlos (Free Tier). | VPS-Miete (ca. 4€ bei Hetzner). |
|
|
| **Features** | WAF, DDoS-Schutz (proprietär). | SSO, CrowdSec, Geoblocking (Open Source). |
|
|
|
|
---
|
|
|
|
## 🚀 Deployment-Bauplan (Hetzner + MS-R1)
|
|
|
|
### Teil 1: VPS Setup (Hetzner Cloud)
|
|
|
|
1. Erstelle einen **CX21** VPS (Location: Frankfurt für geringste Latenz).
|
|
2. Installiere Docker und erstelle das Pangolin-Verzeichnis.
|
|
|
|
**Docker Compose für den VPS (`compose.yaml`):**
|
|
|
|
```yaml
|
|
services:
|
|
pangolin:
|
|
image: ghcr.io/m-pennat/pangolin:latest
|
|
container_name: pangolin
|
|
restart: unless-stopped
|
|
ports:
|
|
- "80:80" # HTTP (Let's Encrypt)
|
|
- "443:443" # HTTPS
|
|
- "51820:51820/udp" # WireGuard Tunnel
|
|
volumes:
|
|
- ./data:/var/lib/pangolin
|
|
- /var/run/docker.sock:/var/run/docker.sock
|
|
environment:
|
|
- PANGOLIN_DOMAIN=dashboard.deinedomain.de
|
|
|
|
```
|
|
|
|
*Nach dem Start (`docker compose up -d`) unter der Domain einloggen und einen neuen **Site-Client** anlegen, um den **Enrollment Token** zu erhalten.*
|
|
|
|
---
|
|
|
|
### Teil 2: Home-Server Setup (MS-R1 / Debian 12 arm64)
|
|
|
|
Auf deinem MS-R1 installierst du den Gegenpart **Newt**. Da du Debian 12 auf arm64 nutzt, ist das Setup extrem ressourcensparend.
|
|
|
|
**Docker Compose für den MS-R1 (`compose.yaml`):**
|
|
|
|
```yaml
|
|
services:
|
|
# Der Tunnel-Client
|
|
newt:
|
|
image: ghcr.io/m-pennat/newt:latest
|
|
container_name: newt
|
|
restart: unless-stopped
|
|
environment:
|
|
- NEWT_ENROLL_TOKEN=DEIN_TOKEN_VON_HETZNER_VPS
|
|
depends_on:
|
|
- gitea
|
|
|
|
# Dein Service (Beispiel: Gitea)
|
|
gitea:
|
|
image: gitea/gitea:latest
|
|
container_name: gitea
|
|
restart: unless-stopped
|
|
volumes:
|
|
- ./gitea_data:/data
|
|
# Hinweis: Kein "ports"-Mapping nötig! Zugriff erfolgt über den Tunnel.
|
|
|
|
```
|
|
|
|
---
|
|
|
|
## 💡 Warum das für dich ein "Erfolg" ist
|
|
|
|
* **Kein Port-Forwarding:** Dein Router zu Hause bleibt komplett dicht.
|
|
* **Arm64-Optimiert:** Debian 12 und die Container nutzen kaum CPU-Zyklen deines MS-R1.
|
|
* **Identity-Aware Proxy:** Du kannst im Pangolin-Dashboard (Hetzner) mit drei Klicks einstellen, dass man sich erst per **Google** oder **GitHub** anmelden muss, um dein Gitea überhaupt zu sehen.
|
|
|
|
---
|