Design wechseln

Cloudflare Tunnel Einstieg: Sicherer Zugriff auf interne Dienste ohne öffentliche IP

Auf Dateien im Heim-NAS zugreifen, aber keine Verbindung – ein lokales Projekt zeigen, aber kein teilbarer Link: Der Kern ist oft keine öffentliche IP. Provider vergeben keine oder verlangen Aufpreis; dynamische IPs brauchen DDNS und sind instabil. frp und ngrok kosten Geld oder limitieren im Free-Tier.

Cloudflare Tunnel ist kostenlos: keine öffentliche IP, kein Cloud-Server, kein Router-Port-Forwarding. HTTPS und DDoS-Schutz inklusive. Dieser Artikel zeigt Intranet-Tunneling für NAS-Zugriff, Projekt-Demos und SSH nach Hause – in etwa 30 Minuten.

1. Was ist Cloudflare Tunnel – und warum?

Welches Problem löst Intranet-Tunneling?

Heimgeräte sitzen im privaten Netz (z. B. 192.168.1.100). Intern funktioniert alles; von außen kommt niemand rein. Für NAS-Zugriff aus dem Büro brauchen Sie eine Brücke zwischen Intranet und Internet.

Klassisch: Port-Weiterleitung am Router – dafür brauchen Sie eine öffentliche IP. Viele Anschlüsse haben keine oder nur Carrier-Grade-NAT – von außen nicht erreichbar.

Intranet-Tunneling löst genau das: externer Zugriff auf interne Dienste ohne öffentliche IP.

Funktionsweise

Cloudflare Tunnel verbindet sich aktiv von innen nach außen – statt von außen „einzudringen“.

  1. cloudflared als Daemon auf dem Intranet-Gerät
  2. Verbindung zum Cloudflare-Netzwerk – verschlüsselter Tunnel
  3. Anfrage an nas.yourdomain.com → Cloudflare CDN
  4. Weiterleitung über den Tunnel zum internen Dienst
  5. Antwort zurück durch den Tunnel

Der Dienst bleibt von außen unsichtbar: keine offenen Ports, keine öffentliche IP. Das entspricht Zero Trust: nichts standardmäßig vertrauen, Traffic authentifiziert und verschlüsselt.

Warum Cloudflare Tunnel?

frp: braucht Cloud-Server mit öffentlicher IP – monatliche Kosten und Wartung. Tunnel spart beides; CDN und DDoS-Schutz inklusive.

ngrok Free: Zufallsdomain, Traffic-Limit, eigene Domain kostenpflichtig. Cloudflare Tunnel: kostenlos, eigene Domain, unbegrenzter Traffic.

Tailscale/ZeroTier: P2P-LAN für eigene Geräte – weniger für öffentliche Websites. Tunnel passt zu „Dienst veröffentlichen“.

Kurz: kostenlos, sicher, einfach. Nachteil: aus China oft höhere Latenz – für persönlichen, nicht latenzkritischen Gebrauch meist ausreichend.

2. Vorbereitung

1. Cloudflare-Konto (kostenlos)

Registrierung auf cloudflare.com. Bestehendes Konto reicht.

2. Eigene Domain

Einzige laufende Kosten: Domain bei Cloudflare DNS. Tunnel routet über Domains – nas.yourdomain.com zeigt auf Ihren Tunnel. .com oder .top kostet wenig; Nameserver auf Cloudflare umstellen. Bonus: CDN und Firewall mit dabei.

3. Cloudflare Zero Trust Free Plan

Tunnel gehört zu Zero Trust. Free Plan: bis 50 Nutzer – für Privatnutzer mehr als genug.

  1. Cloudflare Dashboard → Zero Trust
  2. Free Plan wählen
  3. Zahlungsmittel hinterlegen (Kreditkarte/PayPal)

Keine Abbuchung – Missbrauchsschutz durch Cloudflare. Viele Nutzer binden eine Karte ohne jemals belastet zu werden.

4. Intranet-Gerät

  • Netzwerkverbindung
  • Möglichst dauerhaft erreichbar (PC, NAS mit Docker, Raspberry Pi, Soft-Router)

Autor nutzt NAS mit Docker – sehr wartungsarm.

5. Interner Dienst

Z. B. NAS-Web (5000/5001), Home Assistant (8123), Blog (80/8080), SSH (22). Sie brauchen interne IP und Port, z. B. 192.168.1.100:5000.

3. Praxis: Tunnel Schritt für Schritt

Schritt 1: Tunnel im Dashboard anlegen

  1. Zero TrustNetworksConnectorsCloudflare Tunnels
  2. Create a tunnel → Typ Cloudflared
  3. Namen vergeben (home-nas, dev-server)
  4. Save tunnelToken kopieren und sichern

Der Token ist der Schlüssel für cloudflared.

Schritt 2: cloudflared installieren

Docker (empfohlen):

docker run -d --restart=always \
  --name cloudflared \
  cloudflare/cloudflared:latest \
  tunnel --no-autoupdate run --token <IHR_TOKEN>

--restart=always startet nach Reboot neu.

Linux (Ubuntu/Debian):

wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
sudo dpkg -i cloudflared-linux-amd64.deb
sudo cloudflared service install <IHR_TOKEN>

Windows: MSI von GitHub, dann als Admin:

cloudflared.exe service install <IHR_TOKEN>

macOS:

brew install cloudflared
cloudflared service install <IHR_TOKEN>

Status HEALTHY im Dashboard = Tunnel steht.

Schritt 3: Public Hostname

  1. Tab Public HostnameAdd a public hostname
  2. Subdomain: z. B. nasnas.yourdomain.com
  3. Domain: aus der Liste (bei Cloudflare gehostet)
  4. Path: meist leer
  5. Type: HTTP
  6. URL: http://192.168.1.100:5000

Type HTTP ist ok – Cloudflare liefert HTTPS zum Client; Intranet-Traffic läuft verschlüsselt im Tunnel.

Save hostname – fertig.

Schritt 4: Test

Browser: https://nas.yourdomain.com. Schloss-Symbol = gültiges HTTPS.

Erster Zugriff: DNS kann 5–10 Minuten brauchen. Bei Problemen: Tunnel HEALTHY? Dienst intern erreichbar?

Mehrere Hostnames pro Tunnel:

  • nas.mydomain.comhttp://192.168.1.100:5000
  • blog.mydomain.comhttp://192.168.1.100:8080
  • ha.mydomain.comhttp://192.168.1.101:8123

4. Erweitert: Best Practices

config.yml für viele Dienste

tunnel: <IHR_TUNNEL_UUID>
credentials-file: /path/to/<UUID>.json
ingress:
  - hostname: nas.yourdomain.com
    service: http://192.168.1.100:5000
  - hostname: blog.yourdomain.com
    service: http://192.168.1.100:8080
  - hostname: ha.yourdomain.com
    service: http://192.168.1.101:8123
  - service: http_status:404

Letzte Zeile ist Pflicht-Fallback. Start:

cloudflared tunnel --config /path/to/config.yml run

Konfiguration versionierbar – Token nicht ins Git.

SSH und RDP

- hostname: ssh.yourdomain.com
  service: ssh://localhost:22

Lokal:

cat >> ~/.ssh/config << EOF
Host ssh.yourdomain.com
  ProxyCommand cloudflared access ssh --hostname %h
EOF
ssh [email protected]

RDP analog mit rdp:// – Ports bleiben intern.

Cloudflare Access

Für NAS-Admin und sensible Dienste:

  1. AccessApplicationsAdd an applicationSelf-hosted
  2. Domain z. B. nas.yourdomain.com
  3. Policy: E-Mail-Whitelist, OAuth, MFA

Besucher sehen zuerst Login – kostenlos für Privatnutzer, stark empfohlen.

Monitoring

Dashboard: HEALTHY/DOWN, Traffic, Clients. Bei DOWN: Gerät offline oder cloudflared gestoppt.

Docker-Logs: docker logs cloudflared. Häufig: Token falsch, Dienst down, Zertifikat kurz warten.

Updates:

docker pull cloudflare/cloudflared:latest
docker restart cloudflared

Cloudflare garantiert Kompatibilität etwa ein Jahr – regelmäßig aktualisieren.

5. FAQ und Hinweise

Geschwindigkeit

Aus China oft 300–800 ms Latenz, 1–5 MB/s Download, gelegentliche Kurzunterbrechungen. CDN-Knoten überwiegend im Ausland.

Geeignet: NAS-Dateien, Demos, SSH. Weniger: Streaming, Games, große Transfers, China-Produktion. Alternative: frp mit lokalem Server oder Tailscale.

Sicherheit

Tunnel: HTTPS, keine Inbound-Ports, Zero Trust, DDoS-Schutz. Trotzdem:

  1. Keine DB (MySQL, Redis) direkt exposen
  2. Access für NAS, SSH, Admin
  3. Logs prüfen
  4. Patches auf internen Diensten

Immer noch deutlich sicherer als offene Router-Ports.

Limits Free Plan

  • 50 Nutzer, unbegrenzter Traffic
  • Kein UDP
  • Domain muss bei Cloudflare liegen

Alternativen

LösungVorteileNachteileSzenario
frpSchnell, stabilCloud-Server nötigProduktion, China
TailscaleP2P, schnellKein öffentlicher Web-ZugriffGeräte untereinander
ngrokEinfachFree-Tier limitiertKurz-Demos
DDNSTOChina-Team, schnellFree limitiert GeräteChina-Nutzer

Tipps

  1. Kurze Subdomains (nas.domain.com)
  2. Sinnvolle Präfixe: nas., blog., dev., ssh.
  3. Token im Passwortmanager sichern
  4. Webhook/E-Mail bei Tunnel-Ausfall in Zero Trust Settings

Fazit

Cloudflare Tunnel ist kostenlos, sicher und einfach – ideal für Entwickler und Heimserver. Keine öffentliche IP, kein VPS, kein Port-Forwarding – Setup in 30 Minuten.

Vorteile: kostenlos, Zero Trust, HTTPS + DDoS, HTTP/SSH/RDP, mehrere Dienste pro Tunnel.

Nachteile: Latenz aus China, gelegentliche Unterbrechungen, Domain bei Cloudflare Pflicht, kein UDP.

Für gelegentlichen Eigenbedarf oder internationale Nutzer reicht es. Für China-Produktion oder maximale Geschwindigkeit andere Tools prüfen.

Probieren Sie es aus – bei Fragen gerne in den Kommentaren.

Cloudflare Tunnel: vollständiger Setup-Ablauf für Intranet-Zugang

Vom Tunnel bis zum Public Hostname – kostenloses Intranet-Tunneling in 30 Minuten, HTTP/SSH/RDP

Estimated time: PT30M

  1. 1

    Step 1: Vorbereitung: Cloudflare-Konto und Domain

    Cloudflare-Konto:
  2. 2

    Step 2: Tunnel im Dashboard anlegen

    Schritte:
  3. 3

    Step 3: cloudflared installieren

    Docker (empfohlen):
  4. 4

    Step 4: Public Hostname konfigurieren

    Schritte:
  5. 5

    Step 5: Test und Erweiterungen

    Test:

FAQ

Was unterscheidet Cloudflare Tunnel von frp und ngrok – und warum dieses Tool?
Vergleich mit frp (häufigste Lösung):
• frp ist praktisch und gut konfigurierbar, erfordert aber zwingend einen Cloud-Server mit öffentlicher IP
• Das bedeutet monatliche Serverkosten plus Wartung – Cloudflare Tunnel spart diese Kosten inklusive CDN und DDoS-Schutz

Vergleich mit ngrok (im Ausland sehr verbreitet):
• Free-Tier: Zufallsdomain, ändert sich nach Neustart, Traffic-Limit
• Eigene Domain nur im Paid-Plan – Cloudflare Tunnel: kostenlos, eigene Domain, kein Traffic-Limit

Vergleich mit Tailscale/ZeroTier (P2P-Vernetzung):
• Virtuelles LAN für Punkt-zu-Punkt-Zugriff zwischen Geräten
• Für öffentlich erreichbare Websites weniger geeignet – Cloudflare Tunnel passt besser zum Szenario „Dienst nach außen veröffentlichen“

Kurz gesagt: kostenlos, sicher, einfach.
Wie funktioniert Cloudflare Tunnel – und warum ist das sicherer?
Statt von außen „eine Öffnung zu schaffen“, verbindet sich cloudflared aktiv von innen nach außen.

Ablauf:
1) cloudflared als Daemon auf dem Intranet-Gerät
2) Aktive Verbindung zum Cloudflare-Netzwerk – verschlüsselter Tunnel
3) Anfrage an Ihre Domain (z. B. nas.yourdomain.com) landet zuerst bei Cloudflare CDN
4) Cloudflare leitet über den Tunnel an den internen Dienst weiter
5) Antwort geht denselben Weg zurück

Interne Dienste bleiben von außen unsichtbar – keine offenen Ports, keine öffentliche IP, nur eine ausgehende verschlüsselte Verbindung.

Sicherheitsperspektive: Zero-Trust-Ansatz – keine Verbindung standardmäßig vertrauen, alles authentifiziert und verschlüsselt.

Bildlich: eine private Leitung zwischen Ihrem Netz und Cloudflare – nur Sie nutzen sie, Außenstehende sehen den Server nicht.
Wie schnell ist Cloudflare Tunnel aus China – für welche Szenarien geeignet?
Aus Festlandchina ist die Geschwindigkeit oft moderat.

Praxiswerte:
• Latenz 300–800 ms
• Download oft 1–5 MB/s, abhängig von Tageszeit und Region
• Gelegentliche kurze Unterbrechungen, meist stabil

Gründe:
• Cloudflare-CDN-Knoten vor allem außerhalb Chinas – Traffic nimmt Umwege
• Free-Tier-Priorität niedriger – Spitzenlast kann drosseln

Geeignet:
• Gelegentlicher NAS-Zugriff
• Projekt-Demos für Freunde
• Remote-SSH (Latenz oft tolerierbar)

Weniger geeignet:
• Streaming, Game-Server, große häufige Transfers, Produktion für China-Nutzer

Bei hohen Anforderungen: frp mit Server in China oder Tailscale. Für gelegentlichen Eigenbedarf oder internationale Nutzer reicht Cloudflare Tunnel.
Wie konfiguriere ich Cloudflare Tunnel – was brauche ich?
Vorbereitung:

1) Cloudflare-Konto (kostenlos, cloudflare.com)
2) Eigene Domain (DNS bei Cloudflare)
3) Cloudflare Zero Trust Free Plan (Zahlungsmittel hinterlegen, keine Abbuchung)
4) Intranet-Gerät mit dauerhafter Netzverbindung (PC, NAS, Raspberry Pi)
5) Interner Dienst mit IP und Port (z. B. 192.168.1.100:5000)

Schritte:

1) Zero Trust → Networks → Connectors → Cloudflare Tunnels → Create a tunnel → Token kopieren
2) cloudflared installieren, z. B. Docker:
docker run -d --restart=always --name cloudflared cloudflare/cloudflared:latest tunnel --no-autoupdate run --token <TOKEN>
3) Public Hostname → Add a public hostname → Subdomain, Domain, Type HTTP, URL http://interne-IP:Port

Gesamtdauer etwa 30 Minuten.
Welche Protokolle unterstützt Cloudflare Tunnel – SSH und RDP?
HTTP, SSH, RDP und weitere.

HTTP:
• Public Hostname: Type HTTP, URL http://interne-IP:Port
• Cloudflare liefert HTTPS zum Client – auch ohne HTTPS im Intranet

SSH (config.yml):
hostname: ssh.yourdomain.com
service: ssh://localhost:22
• Lokal ~/.ssh/config mit ProxyCommand cloudflared access ssh --hostname %h
• Dann: ssh [email protected]

RDP analog mit rdp:// – SSH/RDP-Ports bleiben nicht am öffentlichen Internet offen.

Ein Tunnel, mehrere Subdomains:
• nas.mydomain.com → http://192.168.1.100:5000
• blog.mydomain.com → http://192.168.1.100:8080
• ssh.mydomain.com → ssh://localhost:22
Wie härte ich die Sicherheit mit Cloudflare Access – welche Limits gibt es?
Cloudflare Access:
• Zero Trust → Access → Applications → Add an application → Self-hosted
• Domain wählen (z. B. nas.yourdomain.com), Policy (E-Mail-Whitelist, Google/GitHub OAuth, MFA)
• Vor dem Dienst erscheint die Cloudflare-Login-Seite – für Privatnutzer kostenlos

Limits Free Plan:
• Max. 50 Nutzer, unbegrenzter Traffic
• Kein UDP (TCP ok), in China kein HTTP/3 QUIC
• Domain muss bei Cloudflare liegen

Sicherheit:
• Tunnel selbst sicher (HTTPS, keine Inbound-Ports, Zero Trust, DDoS-Schutz)
• Empfehlung: keine DB direkt exposen, Access für NAS/SSH/Admin, Logs prüfen, Systeme patchen

6 Min. Lesezeit · Veröffentlicht am: 30. Nov. 2025 · Aktualisiert am: 4. Juli 2026

Ähnliche Beiträge

Kommentare

Melde dich mit GitHub an, um einen Kommentar zu hinterlassen

Easton BlogEaston Blog