6.7 KiB
Cloudflare Tunnel → Traefik + Authentik
Configuración de Cloudflare Tunnel para exponer servicios a través de Traefik manteniendo la autenticación de Authentik.
🎯 Arquitectura
Internet → Cloudflare Tunnel → Traefik → Authentik Forward Auth → Apps
El wildcard *.nucleoriofrio.com apunta todo el tráfico a Traefik, que se encarga de:
- Enrutamiento correcto según el hostname
- Autenticación con Authentik
- Certificados SSL/TLS
- Redirecciones HTTP → HTTPS
📋 Requisitos previos
- Docker y Docker Compose instalados
- Cuenta de Cloudflare con dominio configurado
- Traefik corriendo en la red
principal - Authentik configurado con Forward Auth en Traefik
- Gitea Runner configurado ( para auto-deploy con Gitea Actions )
🚀 Setup Rápido (Recomendado)
Setup Automático con Script
En una PC nueva, solo necesitas clonar el repo y ejecutar el script de setup:
# Clonar el repositorio
git clone https://gitea.nucleoriofrio.com/nucleo000/cloudflareTunnel.git
cd cloudflareTunnel
# Ejecutar setup (verifica si existe el tunnel, si no lo crea)
./setup.sh
El script automáticamente:
- ✅ Instala
cloudflaredsi no está instalado - ✅ Te autentica con Cloudflare (abre el navegador)
- ✅ Verifica si ya existe el tunnel
nucleorio-tunnel - ✅ Si no existe, lo crea
- ✅ Genera
credentials.jsony.env - ✅ Opcionalmente configura DNS automáticamente
Levantar el servicio
docker-compose up -d
Verificar logs
docker-compose logs -f
Deberías ver:
INF Connection registered connIndex=0
INF Registered tunnel connection
🔧 Setup Manual (Alternativo)
Click para expandir instrucciones manuales
1. Instalar cloudflared
# Debian/Ubuntu
wget -q https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
sudo dpkg -i cloudflared-linux-amd64.deb
2. Crear/Verificar el tunnel
# Login a Cloudflare
cloudflared tunnel login
# Listar tunnels existentes
cloudflared tunnel list
# Si no existe, crear uno nuevo
cloudflared tunnel create nucleorio-tunnel
# Copiar credentials
cp ~/.cloudflared/<TUNNEL_ID>.json ./credentials.json
3. Configurar .env
cp .env.example .env
nano .env # Agregar TUNNEL_ID
4. Configurar DNS
# Opción A: Automático
cloudflared tunnel route dns <TUNNEL_ID> *.nucleoriofrio.com
cloudflared tunnel route dns <TUNNEL_ID> nucleoriofrio.com
# Opción B: Manual en dashboard de Cloudflare
# Crea registros CNAME:
# - Name: *
# Target: <TUNNEL_ID>.cfargotunnel.com
# Proxy: ON
5. Levantar servicio
docker-compose up -d
🔧 Configuración
config.yml
El archivo config.yml usa wildcard para capturar todo *.nucleoriofrio.com y redirigirlo a Traefik:
ingress:
- hostname: "*.nucleoriofrio.com"
service: http://traefik:80
Traefik recibe el tráfico y:
- Lee el
Hostheader - Aplica las reglas de enrutamiento
- Ejecuta Authentik Forward Auth si está configurado
- Redirige al servicio correcto
docker-compose.yml
El contenedor se conecta a la red principal para poder comunicarse con Traefik.
🚀 Auto-deploy con Gitea Actions
Este repositorio incluye un workflow de Gitea Actions (.gitea/workflows/deploy.yml) que automáticamente despliega el tunnel cuando haces push a main.
¿Qué hace el workflow?
- Crea
.envycredentials.jsondesde Gitea Secrets - Verifica que la red Docker
principalexista (la crea si no) - Descarga la última imagen de
cloudflare/cloudflared - Detiene el stack actual
- Levanta el stack actualizado
- Muestra los logs del tunnel
Configurar Secrets en Gitea
Paso 1: Crear el tunnel y obtener las credenciales
En tu PC local (o donde prefieras):
# Clonar el repo
git clone https://gitea.nucleoriofrio.com/nucleo000/cloudflareTunnel.git
cd cloudflareTunnel
# Ejecutar setup para crear el tunnel
./setup.sh
Esto genera:
credentials.json- Contiene las credenciales del tunnel.env- Contiene el TUNNEL_ID
Paso 2: Configurar los secrets en Gitea
Ve a tu repositorio en Gitea:
Settings > Secrets > Actions
Agrega estos 2 secrets:
-
TUNNEL_ID(tipo: Secret)# Obtén el valor de .env cat .env # Copia el valor después de TUNNEL_ID= -
TUNNEL_CREDENTIALS(tipo: Secret)# Copia TODO el contenido de credentials.json cat credentials.json # Debe ser un JSON válido que empiece con { y termine con }
Paso 3: ¡Listo!
Ahora cada git push a main desplegará automáticamente el tunnel usando los secrets configurados.
Importante:
- No necesitas ejecutar nada manualmente en el servidor
- Los secrets están seguros en Gitea
credentials.jsony.envNUNCA se commitean al repo (están en.gitignore)
✅ Verificación
Prueba acceder a tus servicios:
- https://amigos.nucleoriofrio.com → Debería redirigir a Authentik
- https://wifi.nucleoriofrio.com → Debería redirigir a Authentik
- https://portainer.nucleoriofrio.com → Debería redirigir a Authentik
🐛 Troubleshooting
El tunnel no conecta
# Verificar logs
docker-compose logs -f
# Verificar que credentials.json existe y es válido
cat credentials.json
Traefik no recibe el tráfico
# Verificar que el contenedor está en la red correcta
docker network inspect principal
# Debería aparecer 'cloudflared-tunnel' en la lista
Authentik no intercepta
Verifica que Traefik tiene configurado el middleware de Authentik Forward Auth para tus servicios.
El wildcard no funciona
Asegúrate de que:
- El registro DNS CNAME en Cloudflare está configurado como
*o*.nucleoriofrio.com - El proxy (nube naranja) está activado
- El tunnel está corriendo sin errores
📝 Notas importantes
- No expongas servicios directamente: Todo debe pasar por Traefik para mantener Authentik
- Wildcard DNS: Con
*.nucleoriofrio.comno necesitas reconfigurar el tunnel para nuevos subdominios - Multiple WAN: Cloudflare Tunnel maneja automáticamente las reconexiones si tu conexión se cae
- Credenciales: Nunca commitees
credentials.jsono.enval repositorio
🔐 Seguridad
Este setup mantiene toda la seguridad de Authentik porque:
- El tunnel termina en Traefik, no en las apps
- Traefik aplica Forward Auth antes de permitir acceso
- Las apps nunca están expuestas directamente a Internet