nucleo000/cloudflareTunnel
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
3 Commits 1 Branch 0 Tags
8351ee1e863f6c87e3eb341509df85e40e2d3217
Go to file
Clone
Open with VS Code Open with VSCodium Open with Intellij IDEA
Download ZIP Download TAR.GZ Download BUNDLE

README.md

Cloudflare Tunnel → Traefik + Authentik

Configuración de Cloudflare Tunnel para exponer servicios a través de Traefik manteniendo la autenticación de Authentik.

🎯 Arquitectura

Internet → Cloudflare Tunnel → Traefik → Authentik Forward Auth → Apps

El wildcard *.nucleoriofrio.com apunta todo el tráfico a Traefik, que se encarga de:

  • Enrutamiento correcto según el hostname
  • Autenticación con Authentik
  • Certificados SSL/TLS
  • Redirecciones HTTP → HTTPS

📋 Requisitos previos

  • Docker y Docker Compose instalados
  • Cuenta de Cloudflare con dominio configurado
  • Traefik corriendo en la red principal
  • Authentik configurado con Forward Auth en Traefik
  • Gitea Runner configurado (para auto-deploy con Gitea Actions)

🚀 Setup

1. Crear el tunnel en Cloudflare

# Login a Cloudflare
cloudflared tunnel login

# Crear el tunnel (guarda el TUNNEL_ID que te devuelve)
cloudflared tunnel create nucleorio-tunnel

# Esto genera el archivo credentials.json en ~/.cloudflared/

2. Configurar DNS en Cloudflare

En el dashboard de Cloudflare, crea un registro CNAME:

Type: CNAME
Name: *.nucleoriofrio.com (o solo *)
Target: <TUNNEL_ID>.cfargotunnel.com
Proxy: Activado (nube naranja)

Opcionalmente, también para el dominio raíz:

Type: CNAME
Name: @ (o nucleoriofrio.com)
Target: <TUNNEL_ID>.cfargotunnel.com
Proxy: Activado

3. Configurar este repositorio

# Copiar el archivo de ejemplo
cp .env.example .env

# Editar con tu TUNNEL_ID
nano .env

Pega tu TUNNEL_ID en el archivo .env:

TUNNEL_ID=tu-tunnel-id-aqui

4. Copiar credentials.json

Copia el archivo de credenciales generado por Cloudflare:

cp ~/.cloudflared/<TUNNEL_ID>.json ./credentials.json

5. Levantar el servicio

docker-compose up -d

6. Verificar logs

docker-compose logs -f

Deberías ver algo como:

INF Connection registered connIndex=0
INF Registered tunnel connection

🔧 Configuración

config.yml

El archivo config.yml usa wildcard para capturar todo *.nucleoriofrio.com y redirigirlo a Traefik:

ingress:
  - hostname: "*.nucleoriofrio.com"
    service: http://traefik:80

Traefik recibe el tráfico y:

  1. Lee el Host header
  2. Aplica las reglas de enrutamiento
  3. Ejecuta Authentik Forward Auth si está configurado
  4. Redirige al servicio correcto

docker-compose.yml

El contenedor se conecta a la red principal para poder comunicarse con Traefik.

🚀 Auto-deploy con Gitea Actions

Este repositorio incluye un workflow de Gitea Actions (.gitea/workflows/deploy.yml) que automáticamente despliega el tunnel cuando haces push a main.

¿Qué hace el workflow?

  1. Verifica que existan credentials.json y .env
  2. Descarga la última imagen de cloudflare/cloudflared
  3. Detiene el stack actual
  4. Levanta el stack actualizado
  5. Muestra los logs del tunnel

Importante antes del primer deploy:

# En el servidor donde corre el gitea-runner, copia los archivos necesarios
cd /ruta/donde/clona/el/runner
cp ~/.cloudflared/<TUNNEL_ID>.json ./credentials.json
cp .env.example .env
nano .env  # Configura TUNNEL_ID

Una vez configurado, cada git push al repo actualizará automáticamente el tunnel.

Verificación

Prueba acceder a tus servicios:

🐛 Troubleshooting

El tunnel no conecta

# Verificar logs
docker-compose logs -f

# Verificar que credentials.json existe y es válido
cat credentials.json

Traefik no recibe el tráfico

# Verificar que el contenedor está en la red correcta
docker network inspect principal

# Debería aparecer 'cloudflared-tunnel' en la lista

Authentik no intercepta

Verifica que Traefik tiene configurado el middleware de Authentik Forward Auth para tus servicios.

El wildcard no funciona

Asegúrate de que:

  1. El registro DNS CNAME en Cloudflare está configurado como * o *.nucleoriofrio.com
  2. El proxy (nube naranja) está activado
  3. El tunnel está corriendo sin errores

📝 Notas importantes

  • No expongas servicios directamente: Todo debe pasar por Traefik para mantener Authentik
  • Wildcard DNS: Con *.nucleoriofrio.com no necesitas reconfigurar el tunnel para nuevos subdominios
  • Multiple WAN: Cloudflare Tunnel maneja automáticamente las reconexiones si tu conexión se cae
  • Credenciales: Nunca commitees credentials.json o .env al repositorio

🔐 Seguridad

Este setup mantiene toda la seguridad de Authentik porque:

  • El tunnel termina en Traefik, no en las apps
  • Traefik aplica Forward Auth antes de permitir acceso
  • Las apps nunca están expuestas directamente a Internet

📚 Referencias

Description
No description provided
Readme 57 KiB
Languages
Shell 100%