[email protected] ~ $

Pangolin – Cloudflare Tunnel und mehr, selbst gehosted

Pangolin, die Alternative für das Homelab

Schlagworte
#Self-Hosting #Homelab #Vpn #Wireguard #Zero-Trust #Docker
veröffentlicht
Lesezeit
6 Minuten

Ich geb’s zu: Ich habe jahrelang einfach Cloudflare Tunnels genommen. War bequem. Hat funktioniert. Und irgendwann hab ich aufgehört, darüber nachzudenken, was da eigentlich mit meinem Traffic passiert.

Dann stolperte ich über Pangolin – und plötzlich hatte ich dieses unangenehme Jucken im Hinterkopf:

„Muss das wirklich alles über Cloudflares Server laufen?”

Kurze Antwort: nein. Lange Antwort: dieser Blogpost.

Was ist Pangolin überhaupt?

Pangolin ist ein Open-Source-Projekt von Fossorial – übrigens ein YC 2025-Unternehmen, was zeigt, dass da mehr dahintersteckt als ein Wochenendprojekt. Im Kern ist es eine selbst gehostete Alternative zu Cloudflare Tunnels, die auf WireGuard basiert und gleichzeitig Reverse Proxy, VPN und Zero-Trust-Zugriffskontrolle in einem vereint.

Das klingt erstmal nach viel. Ist es auch. Aber das Gute: das Dashboard ist sauber, der Installer funktioniert, und man muss nicht stundenlang WireGuard-Konfigurationen von Hand zusammenpuzzeln.

Die drei Kernkomponenten kurz erklärt:

  • Pangolin – der zentrale Verwaltungsserver mit Web-UI, Identity Management und Ressourcenkonfiguration
  • Gerbil – koordiniert die WireGuard-Tunnelendpunkte auf dem VPS
  • Newt – der leichtgewichtige Tunnel-Client, der im Heimnetz oder Büro läuft und die ausgehende Verbindung aufbaut

Das Prinzip ist einfach: Newt wählt sich von innen heraus in den VPS ein. Kein eingehender Port am Heimrouter. Kein Portforwarding-Gefrickel. Der Traffic läuft verschlüsselt durch den Tunnel, und Pangolin entscheidet, wer auf was zugreifen darf.

Warum das überhaupt interessant ist

Stell dir vor, du betreibst zuhause ein paar Docker-Container. Grafana, Nextcloud, ein paar Node-RED-Flows, vielleicht eine kleine API. Du willst das von unterwegs erreichbar machen – sicher, ohne jedem Dienst einen eigenen Port am Router zu öffnen.

Bisher war die typische Lösung: Cloudflare Tunnel einrichten, Domain verknüpfen, fertig. Funktioniert. Aber: Cloudflare sieht deinen Traffic. Du vertraust einem Drittanbieter. Und wenn Cloudflare mal rumspinnt – und das ist schon passiert – bist du einfach raus.

Mit Pangolin bist du selbst der Operator. Du entscheidest, wer Zugriff bekommt, du siehst die Logs, du steuerst die Zertifikate. Das fühlt sich gut an. Auch wenn es natürlich Arbeit bedeutet.

Der Haken: Du brauchst einen VPS

Und hier wird’s ehrlich.

Pangolin braucht einen öffentlichen Server mit fester IP – also in der Regel einen gemieteten VPS. Das ist der konzeptionelle Unterschied zu rein mesh-basierten Lösungen wie Tailscale oder ZeroTier, die ohne zentrale Infrastruktur auskommen.

Vorteile:

  • Du hast eine feste, öffentliche Einstiegspunkt für alle deine Dienste
  • Der VPS versteckt deine Heimnetz-IP – niemand sieht, wo die Dienste wirklich laufen
  • CGNAT? Egal. Eingeschränkter ISP-Port? Egal. Newt baut die Verbindung von innen auf

Nachteile:

  • Laufende Kosten: Ein kleiner VPS bei Hetzner kostet ~4-6€ im Monat. Kein Vermögen, aber es ist halt nicht kostenlos
  • Der VPS ist jetzt sicherheitskritische Infrastruktur – du musst ihn pflegen, aktuell halten, absichern
  • Wenn der VPS down ist, sind alle deine Dienste weg – kein Fallback ohne zusätzlichen Aufwand
  • Du bist dein eigener Support

Das ist kein Deal-Breaker, aber es ist wichtig, das realistisch zu sehen. Wer einfach nur schnell etwas erreichbar machen will, für den ist Cloudflare Tunnel ehrlich gesagt immer noch die bequemere Option. Wer aber Kontrolle will – und bereit ist, dafür ein bisschen Zeit zu investieren – für den ist Pangolin eine echte Alternative.

Zero-Trust, nicht nur Buzzword

Was mich bei Pangolin wirklich begeistert hat: das Zero-Trust-Modell ist kein aufgeklebtes Label, sondern tatsächlich implementiert.

Klassische VPNs (auch selbst gehostete) geben einem Nutzer nach dem Einwählen oft Zugriff auf das gesamte Netz. Einmal drin – alles sichtbar. Pangolin denkt das anders: du definierst explizit, welcher Nutzer auf welche Ressource zugreifen darf. Nicht auf das Netz. Nicht auf den Server. Auf diese eine Ressource.

Dazu gibt es ein ordentliches Rollenmodell, zeitlich begrenzte Share-Links, PIN-Codes für schnellen Gastzugang und die Möglichkeit, externe Identity Provider einzubinden. Für ein Open-Source-Homelab-Tool ist das schon ziemlich erwachsen.

Kurzer Vergleich: Pangolin vs. die anderen

Mal schauen, wie Pangolin gegen die bekannten Alternativen abschneidet:

Cloudflare Tunnel

  • ✅ Kostenlos, keine Infrastruktur nötig, globales Edge-Netz, DDoS-Schutz
  • ❌ Du vertraust Cloudflare mit deinem Traffic, Abhängigkeit von einem Drittanbieter, kein echter Self-Host
  • Für wen: Wer schnell was erreichbar machen will und kein Infrastruktur-Overhead möchte

Tailscale

  • ✅ Mesh-VPN ohne zentralen Server, einfache Installation, kostenloser Einstieg
  • ❌ Kontrollplane liegt bei Tailscale (du kannst Headscale selbst hosten, aber das ist nochmal ein anderes Projekt), primär VPN – kein Reverse Proxy
  • Für wen: Wer private Geräte vernetzen will, ohne Dienste öffentlich zu exponieren

ZeroTier

  • ✅ Ähnlich wie Tailscale, sehr flexibel, lässt sich auch selbst hosten
  • ❌ Etwas komplexer in der Konfiguration, weniger Komfort als Tailscale
  • Für wen: Power-User mit komplexen Netzwerktopologien

Headscale

  • ✅ Vollständig selbst gehosteter Tailscale-Kontrollplane, kein Drittanbieter
  • ❌ Kein offizieller Docker-Support, Community-getrieben, kein Reverse-Proxy-Feature
  • Für wen: Wer Tailscale liebt, aber Tailscales Cloud nicht

Pangolin

  • ✅ Vollständig selbst gehosted (wenn gewünscht), Reverse Proxy + VPN + Zero-Trust in einem, sauberes Dashboard, WireGuard unter der Haube, aktiv entwickelt
  • ❌ Braucht einen VPS, du bist selbst verantwortlich für Betrieb und Sicherheit
  • Für wen: Wer Kontrolle will und bereit ist, einen VPS zu betreiben

Die pangolin.net Cloud-Option – oder: der goldene Mittelweg?

Pangolin bietet auch eine Managed Cloud Version an – digpangolin.com . Free Tier mit 25 GB Bandwidth, 3 Usern, 1 Site. Klingt verlockend.

Aber dann haben wir natürlich wieder das gleiche Problem wie bei Cloudflare: man gibt die Kontrolle ab. Du nutzt zwar Pangolin als Software, aber der Betrieb liegt bei jemandem anderen. Das ist absolut legitim – gerade für den Einstieg oder wenn man einfach keinen Bock auf VPS-Verwaltung hat.

Ich sehe das so: Die Cloud-Option ist der On-Ramp. Zum Ausprobieren, zum Kennenlernen der Plattform – super. Aber wer wirklich 100% selbst in der Hand haben will, landet früher oder später beim eigenen VPS.

Installation: Ehrlich überraschend einfach

Der Installer hat mich positiv überrascht. Ein Curl-Befehl, ein paar Eingaben (Domain, Admin-Mail, ob man Gerbil aktivieren möchte), und der komplette Docker-Compose-Stack steht. Traefik, Let’s Encrypt, Pangolin, Gerbil – alles konfiguriert.

curl -fsSL https://pangolin.net/get-installer.sh | bash
sudo ./installer

Danach Newt auf dem Heimserver deployen, im Pangolin-Dashboard eine Site anlegen, Ressourcen definieren – und es läuft. Keine stundenlange WireGuard-Konfiguration, keine handgefrickelten Firewall-Regeln.

Klar, man muss noch ein bisschen an den DNS-Einträgen drehen und die Firewall-Ports am VPS öffnen (443, 80 und 51820/UDP für WireGuard-Clients). Aber das ist überschaubar.

Fazit: Lohnt es sich?

Ja – mit einem klaren Wenn.

Wenn du bereit bist, einen VPS zu betreiben und zu warten. Wenn du Kontrolle über deinen Traffic höher wertest als maximalen Komfort. Wenn du ein Homelab hast und schon immer dachtest: „Ich will das eigentlich nicht alles über Cloudflare laufen lassen.”

Dann ist Pangolin gerade das aufregendste Projekt im Self-Hosting-Space. 18.000+ GitHub Stars, aktive Entwicklung, YC-Backing, und eine Community, die wächst – das sind gute Zeichen.

Für alle anderen: Cloudflare Tunnel ist immer noch eine valide Option. Keine Schande.

Mich hat Pangolin jedenfalls gepackt.