Pangolin – Cloudflare Tunnels का open source विकल्प

 (github.com/fosrl)
24 पॉइंट द्वारा GN⁺ 2025-07-11 | 3 टिप्पणियां | WhatsApp पर शेयर करें
  • Cloudflare Tunnels जैसी क्षमता देने वाला self-hosted tunneling reverse proxy management server
  • WireGuard-आधारित encrypted tunnel के ज़रिए port forwarding के बिना भी private network resources को सुरक्षित रूप से बाहर expose किया जा सकता है
  • Reverse proxy, reverse authentication और access control, OAuth2/OIDC support जैसी कई authentication और security सुविधाएँ, साथ ही intuitive web dashboard
  • Docker Compose-आधारित deployment से आसान installation और operation, और API व plugin integration के माध्यम से automation और scalability
  • IoT, homelab, multi-cloud, business services जैसे अलग-अलग environments में network restrictions को bypass करके resources को सुरक्षित रूप से manage किया जा सकता है

Pangolin का परिचय

  • Pangolin एक self-hosted tunneling-आधारित reverse proxy server है, जो centralized authentication और access control सुविधाएँ देता है
  • यह WireGuard userspace client (Newt) और विभिन्न WireGuard clients के साथ integrate होकर firewall और NAT restrictions वाले environments में भी सुरक्षित connectivity देता है
  • port forwarding के बिना भी internal resources को externally expose किया जा सकता है, जिससे public IP छिपाकर network को सुरक्षित रखा जा सकता है
  • dashboard में sites, users, roles, resources को आसानी से manage किया जा सकता है, और dark mode व mobile support वाला UI मिलता है

मुख्य फीचर्स

  • WireGuard tunnel के ज़रिए reverse proxy

    • Firewall खोले बिना network resources expose किए जा सकते हैं (port open करने की ज़रूरत नहीं)
    • अपने WireGuard client (Newt) के साथ integration, और सभी WireGuard clients का support
    • Automatic SSL certificates (Let's Encrypt) जारी करना और HTTP/HTTPS, TCP/UDP services का support
    • Load balancing built-in

  • Authentication और access control

    • Centralized authentication system (platform SSO, OAuth2/OIDC, external IdP integration)
    • Role-based access control (RBAC), resource-specific IP/URL/range configuration
    • Email OTP, TOTP, PIN code, temporary share links जैसी कई अतिरिक्त authentication options
    • organization/site/user/role configuration के माध्यम से structured management

  • Intuitive dashboard

    • Site/resource/user/role को एक नज़र में manage करने के लिए clean UI
    • usage और connection status की real-time monitoring
    • light/dark mode, mobile support

  • आसान deployment और scalability

    • Docker Compose-आधारित installation, cloud/on-premise दोनों का support
    • API और Swagger documentation उपलब्ध, automation और custom scripts के साथ integration संभव
    • Traefik plugins (CrowdSec, Geoblock) आदि के साथ integration से WAF और geo-blocking लागू किया जा सकता है
    • कई sites को एक central server से integrated management

प्रमुख उपयोग के मामले

  • Port forwarding-सीमित environments (homelab/ISP restrictions) में web services को expose करना
  • internal/on-premise और cloud applications को सुरक्षित रूप से बाहरी users तक service के रूप में पहुँचाना
  • IoT network का integrated management: distributed IoT sites को central server से सुरक्षित रूप से connect और access करना
  • Multi-cloud, hybrid networks के लिए integrated reverse proxy/load balancer के रूप में उपयोग

समान प्रोजेक्ट्स से अंतर

  • Cloudflare Tunnels: SaaS-आधारित reverse proxy service जैसा है, लेकिन Pangolin self-hosted होने के कारण infrastructure पर पूरा control देता है
  • Authelia: centralized authentication और role management से प्रेरित

Deployment और license

  • Docker Compose के साथ central server deployment, domain integration, site connection और resource exposure तक step-by-step guide उपलब्ध
  • AGPL-3 और Fossorial commercial license के साथ dual licensing policy

संबंधित पढ़ाई

3 टिप्पणियां

 
ng0301 2025-07-13

क्लिक करके आराम से इस्तेमाल करने लायक बनाना इतना आसान नहीं लगता।
 
ndrgrd 2025-07-13

सब कुछ अच्छा है, लेकिन इसे इस्तेमाल करने पर सिस्टम से Wireguard को कंट्रोल नहीं किया जा सकता। अगर आप इसे टनल से अलग इस्तेमाल करना चाहते हैं, तो इसे VM में अलग करके इस्तेमाल करना होगा।
 
GN⁺ 2025-07-11
Hacker News राय
  • नमस्ते, मैं इस प्रोजेक्ट का एक और maintainer हूँ। मैं सिस्टम के दूसरे components के बारे में थोड़ा और विस्तार से बताना चाहता हूँ। Pangolin, HTTP proxy behavior के लिए अंदरूनी तौर पर Traefik का उपयोग करता है। Badger नाम का एक plugin सभी requests की authentication को Pangolin के जरिए हैंडल करता है। दूसरी service, Gerbil, एक management server है जो Pangolin को connections के लिए WireGuard peers बनाने में सक्षम बनाती है। अंत में Newt है, जो एक CLI tool और Docker container है, जो userspace में पूरी तरह WireGuard का उपयोग करता है, Gerbil से communicate करता है, और local resources को proxy करता है। इससे services को expose करते समय root-privileged process या privileged container चलाने की ज़रूरत नहीं पड़ती
    • मैं इसे कई महीनों से Hetzner के एक छोटे VPS से अपने घर तक traffic tunnel करने के लिए इस्तेमाल कर रहा हूँ। मेरा अनुभव बहुत smooth और stable रहा है। मुझे लगा था कि एक issue है, लेकिन उसका Pangolin से कोई संबंध नहीं था। उसके बारे में यहाँ देखा जा सकता है
    • यहाँ बताए गए हर use case के लिए अगर docs में mini tutorials हों, तो लोग जल्दी से test करके देख सकते हैं कि यह उनके लिए उपयोगी है या नहीं
  • यह वाकई दिलचस्प है। Cloudflare Tunnel पर निर्भर रहना हमेशा थोड़ा खटकता था, इसलिए इसका open source alternative देखना सच में ताज़गी भरा है। मैं जानना चाहता हूँ कि Pangolin network instability, authentication issues, scaling जैसी मुश्किल चीज़ों को कैसे हैंडल करता है। जिन्होंने इसे वास्तव में इस्तेमाल किया है, वे अगर बताएँ कि Cloudflare के "बस चल जाता है" वाले magic की तुलना में यह कैसा है, तो अच्छा होगा। खासकर यह जानना चाहता हूँ कि घर से self-hosting करते समय यह कितना अच्छा काम करता है। संदर्भ के लिए, मैं Raspberry Pi पर घर से एक blog और कई hobby projects चला रहा हूँ। असली अनुभव बहुत मददगार होंगे
  • यह remote dev boxes की कई machines को मैनेज करने या इसी तरह के use cases के लिए काफी दिलचस्प लग रहा है। सच कहूँ तो मैं उस तरह के infra में बहुत गहराई से शामिल नहीं रहा हूँ, इसलिए सवाल थोड़ा बुनियादी हो सकता है। मैंने CF tunnels इस्तेमाल नहीं किए हैं, अब तक बस SSH से reverse proxy tunnels बनाए हैं या Tailscale जैसा कुछ इस्तेमाल किया है। ऐसा इसलिए क्योंकि मेरे test internal services सिर्फ किसी खास device पर होते थे, जैसे EC2 instance या घर का laptop। सरल शब्दों में, क्या आप बता सकते हैं कि tailscale जैसे solution की तुलना में Pangolin किस तरह अलग है
    • जो SSH या Tailscale आप इस्तेमाल कर रहे हैं, वे उस उद्देश्य के लिए वास्तव में बहुत अच्छे विकल्प हैं। Pangolin आम तौर पर ssh tunnel की तरह अस्थायी नहीं, बल्कि services की ओर जाने वाले static और हमेशा चालू रहने वाले tunnels के करीब है। यह तब उपयुक्त है जब आप अपने network के अंदर के apps को परिवार जैसे बाहरी लोगों के लिए web browser के माध्यम से उपलब्ध कराना चाहते हैं। उदाहरण के लिए, अगर आप business के internal apps या Immich, Grafana जैसी homelab services को browser के जरिए बाहर उपलब्ध कराना चाहते हैं, तो यह tool बहुत उपयोगी होगा। आशा है इससे बात स्पष्ट हुई होगी
    • मैं घर के अपने unraid server पर CF tunnels का काफी व्यापक उपयोग करता हूँ। संक्षेप में, जब मैं कोई खास app expose करना चाहता हूँ और Tailscale node जोड़ना नहीं चाहता (उदाहरण के लिए मेरा भाई, जो मेरा Plex server इस्तेमाल करता है), तो मैं CF में एक subdomain बनाता हूँ और उस subdomain को CF tunnel की ओर route कर देता हूँ। हर site/service के लिए सिर्फ form के तीन fields भरने होते हैं, और SSL certificate भी अपने आप जारी हो जाता है। इसलिए मैं इसे खुशी-खुशी इस्तेमाल कर रहा हूँ
    • Tailscale (और headscale) उन internal resources तक पहुँचने के लिए बहुत उपयुक्त है जो बाहर से accessible नहीं होने चाहिए। उदाहरण के लिए, जब आप NAS को बाहरी पहुँच से blocked रखना चाहते हैं और केवल अंदर से access देना चाहते हैं। Cloudflare tunnels services को बाहर expose करते हुए भी कुछ सुरक्षा देते हैं। कुछ users backend को सिर्फ tailscale के माध्यम से accessible रखते हैं, और public side को केवल Cloudflare tunnel से खोलते हैं। Central nginx proxy manager के साथ Cloudflare tunnel को सीधे जोड़ना भी पूरी तरह संभव तरीका है। बेशक Tailscale से भी public services की ओर routing की जा सकती है, लेकिन Cloudflare थोड़ी अधिक मजबूत protection देता है। Pangolin भी काफ़ी दिलचस्प लग रहा है, इसलिए इसे test करना बनता है; test के समय इसे Cloudflare tunnel के पीछे रखा जा सकता है और ज़रूरत पड़ने पर सामने भी लाया जा सकता है
  • यह एक गंभीर security-beginner सवाल है। इस तरह के solution का उपयोग करते समय security के नज़रिए से worst-case scenario क्या हो सकता है, यह जानना चाहता हूँ। अगर authentication टूट जाए तो शायद internal ports भी expose हो सकते हैं, लेकिन इसके अलावा और किन बातों से सावधान रहना चाहिए
  • Authentication service होने की वजह से इसका blast radius बड़ा है, इसलिए यह जानना चाहता हूँ कि क्या किसी professional security audit कराया गया है और क्या कोई आधिकारिक public security pentest program मौजूद है
    • अगर audit हुआ होता, तो मेरा मानना है कि वह docs में दिखता
  • यह बहुत अच्छा लग रहा है। मैंने भी हाल ही में कुछ ऐसा ही सेटअप बनाया है, जहाँ OPNSense box का उपयोग करके DNS, WireGuard instance, और certificates को Synology के Nginx reverse proxy तक पहुँचाया। Clients पर WG tunnel को सिर्फ internal IP range के लिए चालू रखा और इसे केवल internal DNS पर काम करने दिया, ताकि public certificates में मेरा IP expose न हो। यह घर में चल रहे network के लिए तो ठीक काम करता है, लेकिन कई sites संभालनी हों तो Pangolin शायद अधिक polished और setup करने में आसान लगेगा। मैं यह जानना चाहता हूँ कि क्या Newt, WireGuard server का अलग implementation है, और क्या इसका कभी security audit हुआ है
  • मैं Pangolin और NetBird के अंतर को लेकर उत्सुक हूँ। NetBird भी self-hosted और पूरी तरह open source है। NetBird GitHub लिंक
    • मेरी जानकारी के मुताबिक NetBird के open source version में सभी features शामिल नहीं हैं। खास तौर पर SSO की लागत के कारण मैंने इसका उपयोग छोड़ दिया
    • मैं भी और विस्तार से जानना चाहता हूँ। Use cases मिलते-जुलते हैं, लेकिन तकनीकी रूप से अलग हैं। NetBird, WireGuard का उपयोग करने वाला Tailscale alternative है, जबकि Pangolin, Traefik का उपयोग करता है। मैं NetBird user हूँ और बहुत संतुष्ट हूँ। दोनों जगह UI design में कुछ समानताएँ हैं
  • मैं जानना चाहता हूँ कि यह zrok जैसे दूसरे open source tools से कैसे अलग है
  • यह वाकई शानदार project है। मैंने tailscale और अपने VPS पर इंस्टॉल किए गए nginx proxy manager के जरिए अपने apps को बाहर expose किया, और उसके बारे में यहाँ लिखा है। Pangolin कुछ वैसा ही लेकिन बेहतर UI और controls देता हुआ लगता है, इसलिए मैं इसे ज़रूर आज़माऊँगा। एक बात जाननी है कि क्या यह multiple domains हैंडल कर सकता है। मैं कई domains को अपने VPS पर point करके nginx proxy manager में proxy करता हूँ; क्या Pangolin भी इस तरह कई domains को support करता है
  • Cloudflare Tunnels के open source alternatives काफ़ी ज़्यादा हैं: awesome-tunneling GitHub लिंक. उनमें से Pangolin मुझे सबसे complete और polished solutions में से एक लगता है