204 lines
5.1 KiB
Markdown
204 lines
5.1 KiB
Markdown
# Cloudflare Tunnel → Traefik + Authentik
|
|
|
|
Configuración de Cloudflare Tunnel para exponer servicios a través de Traefik manteniendo la autenticación de Authentik.
|
|
|
|
## 🎯 Arquitectura
|
|
|
|
```
|
|
Internet → Cloudflare Tunnel → Traefik → Authentik Forward Auth → Apps
|
|
```
|
|
|
|
El wildcard `*.nucleoriofrio.com` apunta todo el tráfico a Traefik, que se encarga de:
|
|
- Enrutamiento correcto según el hostname
|
|
- Autenticación con Authentik
|
|
- Certificados SSL/TLS
|
|
- Redirecciones HTTP → HTTPS
|
|
|
|
## 📋 Requisitos previos
|
|
|
|
- Docker y Docker Compose instalados
|
|
- Cuenta de Cloudflare con dominio configurado
|
|
- Traefik corriendo en la red `principal`
|
|
- Authentik configurado con Forward Auth en Traefik
|
|
- Gitea Runner configurado (para auto-deploy con Gitea Actions)
|
|
|
|
## 🚀 Setup
|
|
|
|
### 1. Crear el tunnel en Cloudflare
|
|
|
|
```bash
|
|
# Login a Cloudflare
|
|
cloudflared tunnel login
|
|
|
|
# Crear el tunnel (guarda el TUNNEL_ID que te devuelve)
|
|
cloudflared tunnel create nucleorio-tunnel
|
|
|
|
# Esto genera el archivo credentials.json en ~/.cloudflared/
|
|
```
|
|
|
|
### 2. Configurar DNS en Cloudflare
|
|
|
|
En el dashboard de Cloudflare, crea un registro CNAME:
|
|
|
|
```
|
|
Type: CNAME
|
|
Name: *.nucleoriofrio.com (o solo *)
|
|
Target: <TUNNEL_ID>.cfargotunnel.com
|
|
Proxy: Activado (nube naranja)
|
|
```
|
|
|
|
Opcionalmente, también para el dominio raíz:
|
|
|
|
```
|
|
Type: CNAME
|
|
Name: @ (o nucleoriofrio.com)
|
|
Target: <TUNNEL_ID>.cfargotunnel.com
|
|
Proxy: Activado
|
|
```
|
|
|
|
### 3. Configurar este repositorio
|
|
|
|
```bash
|
|
# Copiar el archivo de ejemplo
|
|
cp .env.example .env
|
|
|
|
# Editar con tu TUNNEL_ID
|
|
nano .env
|
|
```
|
|
|
|
Pega tu `TUNNEL_ID` en el archivo `.env`:
|
|
|
|
```env
|
|
TUNNEL_ID=tu-tunnel-id-aqui
|
|
```
|
|
|
|
### 4. Copiar credentials.json
|
|
|
|
Copia el archivo de credenciales generado por Cloudflare:
|
|
|
|
```bash
|
|
cp ~/.cloudflared/<TUNNEL_ID>.json ./credentials.json
|
|
```
|
|
|
|
### 5. Levantar el servicio
|
|
|
|
```bash
|
|
docker-compose up -d
|
|
```
|
|
|
|
### 6. Verificar logs
|
|
|
|
```bash
|
|
docker-compose logs -f
|
|
```
|
|
|
|
Deberías ver algo como:
|
|
|
|
```
|
|
INF Connection registered connIndex=0
|
|
INF Registered tunnel connection
|
|
```
|
|
|
|
## 🔧 Configuración
|
|
|
|
### config.yml
|
|
|
|
El archivo `config.yml` usa wildcard para capturar todo `*.nucleoriofrio.com` y redirigirlo a Traefik:
|
|
|
|
```yaml
|
|
ingress:
|
|
- hostname: "*.nucleoriofrio.com"
|
|
service: http://traefik:80
|
|
```
|
|
|
|
Traefik recibe el tráfico y:
|
|
1. Lee el `Host` header
|
|
2. Aplica las reglas de enrutamiento
|
|
3. Ejecuta Authentik Forward Auth si está configurado
|
|
4. Redirige al servicio correcto
|
|
|
|
### docker-compose.yml
|
|
|
|
El contenedor se conecta a la red `principal` para poder comunicarse con Traefik.
|
|
|
|
## 🚀 Auto-deploy con Gitea Actions
|
|
|
|
Este repositorio incluye un workflow de Gitea Actions (`.gitea/workflows/deploy.yml`) que automáticamente despliega el tunnel cuando haces push a `main`.
|
|
|
|
**¿Qué hace el workflow?**
|
|
1. Verifica que existan `credentials.json` y `.env`
|
|
2. Descarga la última imagen de `cloudflare/cloudflared`
|
|
3. Detiene el stack actual
|
|
4. Levanta el stack actualizado
|
|
5. Muestra los logs del tunnel
|
|
|
|
**Importante antes del primer deploy:**
|
|
```bash
|
|
# En el servidor donde corre el gitea-runner, copia los archivos necesarios
|
|
cd /ruta/donde/clona/el/runner
|
|
cp ~/.cloudflared/<TUNNEL_ID>.json ./credentials.json
|
|
cp .env.example .env
|
|
nano .env # Configura TUNNEL_ID
|
|
```
|
|
|
|
Una vez configurado, cada `git push` al repo actualizará automáticamente el tunnel.
|
|
|
|
## ✅ Verificación
|
|
|
|
Prueba acceder a tus servicios:
|
|
|
|
- https://amigos.nucleoriofrio.com → Debería redirigir a Authentik
|
|
- https://wifi.nucleoriofrio.com → Debería redirigir a Authentik
|
|
- https://portainer.nucleoriofrio.com → Debería redirigir a Authentik
|
|
|
|
## 🐛 Troubleshooting
|
|
|
|
### El tunnel no conecta
|
|
|
|
```bash
|
|
# Verificar logs
|
|
docker-compose logs -f
|
|
|
|
# Verificar que credentials.json existe y es válido
|
|
cat credentials.json
|
|
```
|
|
|
|
### Traefik no recibe el tráfico
|
|
|
|
```bash
|
|
# Verificar que el contenedor está en la red correcta
|
|
docker network inspect principal
|
|
|
|
# Debería aparecer 'cloudflared-tunnel' en la lista
|
|
```
|
|
|
|
### Authentik no intercepta
|
|
|
|
Verifica que Traefik tiene configurado el middleware de Authentik Forward Auth para tus servicios.
|
|
|
|
### El wildcard no funciona
|
|
|
|
Asegúrate de que:
|
|
1. El registro DNS CNAME en Cloudflare está configurado como `*` o `*.nucleoriofrio.com`
|
|
2. El proxy (nube naranja) está activado
|
|
3. El tunnel está corriendo sin errores
|
|
|
|
## 📝 Notas importantes
|
|
|
|
- **No expongas servicios directamente**: Todo debe pasar por Traefik para mantener Authentik
|
|
- **Wildcard DNS**: Con `*.nucleoriofrio.com` no necesitas reconfigurar el tunnel para nuevos subdominios
|
|
- **Multiple WAN**: Cloudflare Tunnel maneja automáticamente las reconexiones si tu conexión se cae
|
|
- **Credenciales**: Nunca commitees `credentials.json` o `.env` al repositorio
|
|
|
|
## 🔐 Seguridad
|
|
|
|
Este setup mantiene toda la seguridad de Authentik porque:
|
|
- El tunnel termina en Traefik, no en las apps
|
|
- Traefik aplica Forward Auth antes de permitir acceso
|
|
- Las apps nunca están expuestas directamente a Internet
|
|
|
|
## 📚 Referencias
|
|
|
|
- [Cloudflare Tunnel Docs](https://developers.cloudflare.com/cloudflare-one/connections/connect-apps/)
|
|
- [Wildcard DNS](https://developers.cloudflare.com/dns/manage-dns-records/reference/wildcard-dns-records/)
|