Cloudflared - sichere Tunnel ohne offene Ports
Cloudflared
Cloudflare Tunnel Daemon — sichere Zero-Trust-Verbindung ohne offene Ports.
Was ist Cloudflared?
Cloudflared ist der offizielle Tunnel-Client von Cloudflare. Er baut eine ausgehende Verbindung von einem Docker-Container zu Cloudflares Netzwerk auf und macht lokale Dienste über eine Domain öffentlich erreichbar — ohne auch nur einen einzigen Port am Router oder in der Firewall öffnen zu müssen. Das ist ideal für Heimserver, NAS-Systeme oder Server hinter CGNAT. Der Datenverkehr läuft vollständig über Cloudflares Infrastruktur, inklusive DDoS-Schutz und optionalem Zero-Trust-Zugriffsschutz.
Voraussetzungen
- Docker 20.10+ / Docker Compose
- Cloudflare-Account mit einer dort verwalteten Domain
- Tunnel-Token aus dem Cloudflare Zero Trust Dashboard
Compose-Beispiel
services:
cloudflared:
image: cloudflare/cloudflared:latest
container_name: cloudflared
restart: unless-stopped
command: tunnel --no-autoupdate run
environment:
- TUNNEL_TOKEN=your_tunnel_token_here
networks:
- proxy
networks:
proxy:
external: true
Hinweise
- Den Tunnel im Cloudflare Zero Trust Dashboard unter
Networks → Tunnelsanlegen und das Token kopieren. - Im Dashboard lässt sich für den Tunnel ein öffentlicher Hostname (z. B.
app.example.com) mit dem internen Dienst verknüpfen. - Cloudflared muss im selben Docker-Netzwerk wie die Ziel-Container laufen, damit er sie per Container-Name erreichen kann.
- Für den produktiven Einsatz empfiehlt sich zusätzlich eine Cloudflare Access Policy, um den Dienst nur für autorisierte Nutzer freizuschalten.