Cloudflare Tunnel Einstieg: Sicherer Zugriff auf interne Dienste ohne öffentliche IP
Auf Dateien im Heim-NAS zugreifen, aber keine Verbindung – ein lokales Projekt zeigen, aber kein teilbarer Link: Der Kern ist oft keine öffentliche IP. Provider vergeben keine oder verlangen Aufpreis; dynamische IPs brauchen DDNS und sind instabil. frp und ngrok kosten Geld oder limitieren im Free-Tier.
Cloudflare Tunnel ist kostenlos: keine öffentliche IP, kein Cloud-Server, kein Router-Port-Forwarding. HTTPS und DDoS-Schutz inklusive. Dieser Artikel zeigt Intranet-Tunneling für NAS-Zugriff, Projekt-Demos und SSH nach Hause – in etwa 30 Minuten.
1. Was ist Cloudflare Tunnel – und warum?
Welches Problem löst Intranet-Tunneling?
Heimgeräte sitzen im privaten Netz (z. B. 192.168.1.100). Intern funktioniert alles; von außen kommt niemand rein. Für NAS-Zugriff aus dem Büro brauchen Sie eine Brücke zwischen Intranet und Internet.
Klassisch: Port-Weiterleitung am Router – dafür brauchen Sie eine öffentliche IP. Viele Anschlüsse haben keine oder nur Carrier-Grade-NAT – von außen nicht erreichbar.
Intranet-Tunneling löst genau das: externer Zugriff auf interne Dienste ohne öffentliche IP.
Funktionsweise
Cloudflare Tunnel verbindet sich aktiv von innen nach außen – statt von außen „einzudringen“.
cloudflaredals Daemon auf dem Intranet-Gerät- Verbindung zum Cloudflare-Netzwerk – verschlüsselter Tunnel
- Anfrage an
nas.yourdomain.com→ Cloudflare CDN - Weiterleitung über den Tunnel zum internen Dienst
- Antwort zurück durch den Tunnel
Der Dienst bleibt von außen unsichtbar: keine offenen Ports, keine öffentliche IP. Das entspricht Zero Trust: nichts standardmäßig vertrauen, Traffic authentifiziert und verschlüsselt.
Warum Cloudflare Tunnel?
frp: braucht Cloud-Server mit öffentlicher IP – monatliche Kosten und Wartung. Tunnel spart beides; CDN und DDoS-Schutz inklusive.
ngrok Free: Zufallsdomain, Traffic-Limit, eigene Domain kostenpflichtig. Cloudflare Tunnel: kostenlos, eigene Domain, unbegrenzter Traffic.
Tailscale/ZeroTier: P2P-LAN für eigene Geräte – weniger für öffentliche Websites. Tunnel passt zu „Dienst veröffentlichen“.
Kurz: kostenlos, sicher, einfach. Nachteil: aus China oft höhere Latenz – für persönlichen, nicht latenzkritischen Gebrauch meist ausreichend.
2. Vorbereitung
1. Cloudflare-Konto (kostenlos)
Registrierung auf cloudflare.com. Bestehendes Konto reicht.
2. Eigene Domain
Einzige laufende Kosten: Domain bei Cloudflare DNS. Tunnel routet über Domains – nas.yourdomain.com zeigt auf Ihren Tunnel. .com oder .top kostet wenig; Nameserver auf Cloudflare umstellen. Bonus: CDN und Firewall mit dabei.
3. Cloudflare Zero Trust Free Plan
Tunnel gehört zu Zero Trust. Free Plan: bis 50 Nutzer – für Privatnutzer mehr als genug.
- Cloudflare Dashboard → Zero Trust
- Free Plan wählen
- Zahlungsmittel hinterlegen (Kreditkarte/PayPal)
Keine Abbuchung – Missbrauchsschutz durch Cloudflare. Viele Nutzer binden eine Karte ohne jemals belastet zu werden.
4. Intranet-Gerät
- Netzwerkverbindung
- Möglichst dauerhaft erreichbar (PC, NAS mit Docker, Raspberry Pi, Soft-Router)
Autor nutzt NAS mit Docker – sehr wartungsarm.
5. Interner Dienst
Z. B. NAS-Web (5000/5001), Home Assistant (8123), Blog (80/8080), SSH (22). Sie brauchen interne IP und Port, z. B. 192.168.1.100:5000.
3. Praxis: Tunnel Schritt für Schritt
Schritt 1: Tunnel im Dashboard anlegen
- Zero Trust → Networks → Connectors → Cloudflare Tunnels
- Create a tunnel → Typ Cloudflared
- Namen vergeben (
home-nas,dev-server) - Save tunnel → Token kopieren und sichern
Der Token ist der Schlüssel für cloudflared.
Schritt 2: cloudflared installieren
Docker (empfohlen):
docker run -d --restart=always \
--name cloudflared \
cloudflare/cloudflared:latest \
tunnel --no-autoupdate run --token <IHR_TOKEN>
--restart=always startet nach Reboot neu.
Linux (Ubuntu/Debian):
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
sudo dpkg -i cloudflared-linux-amd64.deb
sudo cloudflared service install <IHR_TOKEN>
Windows: MSI von GitHub, dann als Admin:
cloudflared.exe service install <IHR_TOKEN>
macOS:
brew install cloudflared
cloudflared service install <IHR_TOKEN>
Status HEALTHY im Dashboard = Tunnel steht.
Schritt 3: Public Hostname
- Tab Public Hostname → Add a public hostname
- Subdomain: z. B.
nas→nas.yourdomain.com - Domain: aus der Liste (bei Cloudflare gehostet)
- Path: meist leer
- Type: HTTP
- URL:
http://192.168.1.100:5000
Type HTTP ist ok – Cloudflare liefert HTTPS zum Client; Intranet-Traffic läuft verschlüsselt im Tunnel.
Save hostname – fertig.
Schritt 4: Test
Browser: https://nas.yourdomain.com. Schloss-Symbol = gültiges HTTPS.
Erster Zugriff: DNS kann 5–10 Minuten brauchen. Bei Problemen: Tunnel HEALTHY? Dienst intern erreichbar?
Mehrere Hostnames pro Tunnel:
nas.mydomain.com→http://192.168.1.100:5000blog.mydomain.com→http://192.168.1.100:8080ha.mydomain.com→http://192.168.1.101:8123
4. Erweitert: Best Practices
config.yml für viele Dienste
tunnel: <IHR_TUNNEL_UUID>
credentials-file: /path/to/<UUID>.json
ingress:
- hostname: nas.yourdomain.com
service: http://192.168.1.100:5000
- hostname: blog.yourdomain.com
service: http://192.168.1.100:8080
- hostname: ha.yourdomain.com
service: http://192.168.1.101:8123
- service: http_status:404
Letzte Zeile ist Pflicht-Fallback. Start:
cloudflared tunnel --config /path/to/config.yml run
Konfiguration versionierbar – Token nicht ins Git.
SSH und RDP
- hostname: ssh.yourdomain.com
service: ssh://localhost:22
Lokal:
cat >> ~/.ssh/config << EOF
Host ssh.yourdomain.com
ProxyCommand cloudflared access ssh --hostname %h
EOF
ssh [email protected]
RDP analog mit rdp:// – Ports bleiben intern.
Cloudflare Access
Für NAS-Admin und sensible Dienste:
- Access → Applications → Add an application → Self-hosted
- Domain z. B.
nas.yourdomain.com - Policy: E-Mail-Whitelist, OAuth, MFA
Besucher sehen zuerst Login – kostenlos für Privatnutzer, stark empfohlen.
Monitoring
Dashboard: HEALTHY/DOWN, Traffic, Clients. Bei DOWN: Gerät offline oder cloudflared gestoppt.
Docker-Logs: docker logs cloudflared. Häufig: Token falsch, Dienst down, Zertifikat kurz warten.
Updates:
docker pull cloudflare/cloudflared:latest
docker restart cloudflared
Cloudflare garantiert Kompatibilität etwa ein Jahr – regelmäßig aktualisieren.
5. FAQ und Hinweise
Geschwindigkeit
Aus China oft 300–800 ms Latenz, 1–5 MB/s Download, gelegentliche Kurzunterbrechungen. CDN-Knoten überwiegend im Ausland.
Geeignet: NAS-Dateien, Demos, SSH. Weniger: Streaming, Games, große Transfers, China-Produktion. Alternative: frp mit lokalem Server oder Tailscale.
Sicherheit
Tunnel: HTTPS, keine Inbound-Ports, Zero Trust, DDoS-Schutz. Trotzdem:
- Keine DB (MySQL, Redis) direkt exposen
- Access für NAS, SSH, Admin
- Logs prüfen
- Patches auf internen Diensten
Immer noch deutlich sicherer als offene Router-Ports.
Limits Free Plan
- 50 Nutzer, unbegrenzter Traffic
- Kein UDP
- Domain muss bei Cloudflare liegen
Alternativen
| Lösung | Vorteile | Nachteile | Szenario |
|---|---|---|---|
| frp | Schnell, stabil | Cloud-Server nötig | Produktion, China |
| Tailscale | P2P, schnell | Kein öffentlicher Web-Zugriff | Geräte untereinander |
| ngrok | Einfach | Free-Tier limitiert | Kurz-Demos |
| DDNSTO | China-Team, schnell | Free limitiert Geräte | China-Nutzer |
Tipps
- Kurze Subdomains (
nas.domain.com) - Sinnvolle Präfixe:
nas.,blog.,dev.,ssh. - Token im Passwortmanager sichern
- Webhook/E-Mail bei Tunnel-Ausfall in Zero Trust Settings
Fazit
Cloudflare Tunnel ist kostenlos, sicher und einfach – ideal für Entwickler und Heimserver. Keine öffentliche IP, kein VPS, kein Port-Forwarding – Setup in 30 Minuten.
Vorteile: kostenlos, Zero Trust, HTTPS + DDoS, HTTP/SSH/RDP, mehrere Dienste pro Tunnel.
Nachteile: Latenz aus China, gelegentliche Unterbrechungen, Domain bei Cloudflare Pflicht, kein UDP.
Für gelegentlichen Eigenbedarf oder internationale Nutzer reicht es. Für China-Produktion oder maximale Geschwindigkeit andere Tools prüfen.
Probieren Sie es aus – bei Fragen gerne in den Kommentaren.
Cloudflare Tunnel: vollständiger Setup-Ablauf für Intranet-Zugang
Vom Tunnel bis zum Public Hostname – kostenloses Intranet-Tunneling in 30 Minuten, HTTP/SSH/RDP
Estimated time: PT30M
-
1
Step 1: Vorbereitung: Cloudflare-Konto und Domain
Cloudflare-Konto: -
2
Step 2: Tunnel im Dashboard anlegen
Schritte: -
3
Step 3: cloudflared installieren
Docker (empfohlen): -
4
Step 4: Public Hostname konfigurieren
Schritte: -
5
Step 5: Test und Erweiterungen
Test:
FAQ
Was unterscheidet Cloudflare Tunnel von frp und ngrok – und warum dieses Tool?
• frp ist praktisch und gut konfigurierbar, erfordert aber zwingend einen Cloud-Server mit öffentlicher IP
• Das bedeutet monatliche Serverkosten plus Wartung – Cloudflare Tunnel spart diese Kosten inklusive CDN und DDoS-Schutz
Vergleich mit ngrok (im Ausland sehr verbreitet):
• Free-Tier: Zufallsdomain, ändert sich nach Neustart, Traffic-Limit
• Eigene Domain nur im Paid-Plan – Cloudflare Tunnel: kostenlos, eigene Domain, kein Traffic-Limit
Vergleich mit Tailscale/ZeroTier (P2P-Vernetzung):
• Virtuelles LAN für Punkt-zu-Punkt-Zugriff zwischen Geräten
• Für öffentlich erreichbare Websites weniger geeignet – Cloudflare Tunnel passt besser zum Szenario „Dienst nach außen veröffentlichen“
Kurz gesagt: kostenlos, sicher, einfach.
Wie funktioniert Cloudflare Tunnel – und warum ist das sicherer?
Ablauf:
1) cloudflared als Daemon auf dem Intranet-Gerät
2) Aktive Verbindung zum Cloudflare-Netzwerk – verschlüsselter Tunnel
3) Anfrage an Ihre Domain (z. B. nas.yourdomain.com) landet zuerst bei Cloudflare CDN
4) Cloudflare leitet über den Tunnel an den internen Dienst weiter
5) Antwort geht denselben Weg zurück
Interne Dienste bleiben von außen unsichtbar – keine offenen Ports, keine öffentliche IP, nur eine ausgehende verschlüsselte Verbindung.
Sicherheitsperspektive: Zero-Trust-Ansatz – keine Verbindung standardmäßig vertrauen, alles authentifiziert und verschlüsselt.
Bildlich: eine private Leitung zwischen Ihrem Netz und Cloudflare – nur Sie nutzen sie, Außenstehende sehen den Server nicht.
Wie schnell ist Cloudflare Tunnel aus China – für welche Szenarien geeignet?
Praxiswerte:
• Latenz 300–800 ms
• Download oft 1–5 MB/s, abhängig von Tageszeit und Region
• Gelegentliche kurze Unterbrechungen, meist stabil
Gründe:
• Cloudflare-CDN-Knoten vor allem außerhalb Chinas – Traffic nimmt Umwege
• Free-Tier-Priorität niedriger – Spitzenlast kann drosseln
Geeignet:
• Gelegentlicher NAS-Zugriff
• Projekt-Demos für Freunde
• Remote-SSH (Latenz oft tolerierbar)
Weniger geeignet:
• Streaming, Game-Server, große häufige Transfers, Produktion für China-Nutzer
Bei hohen Anforderungen: frp mit Server in China oder Tailscale. Für gelegentlichen Eigenbedarf oder internationale Nutzer reicht Cloudflare Tunnel.
Wie konfiguriere ich Cloudflare Tunnel – was brauche ich?
1) Cloudflare-Konto (kostenlos, cloudflare.com)
2) Eigene Domain (DNS bei Cloudflare)
3) Cloudflare Zero Trust Free Plan (Zahlungsmittel hinterlegen, keine Abbuchung)
4) Intranet-Gerät mit dauerhafter Netzverbindung (PC, NAS, Raspberry Pi)
5) Interner Dienst mit IP und Port (z. B. 192.168.1.100:5000)
Schritte:
1) Zero Trust → Networks → Connectors → Cloudflare Tunnels → Create a tunnel → Token kopieren
2) cloudflared installieren, z. B. Docker:
docker run -d --restart=always --name cloudflared cloudflare/cloudflared:latest tunnel --no-autoupdate run --token <TOKEN>
3) Public Hostname → Add a public hostname → Subdomain, Domain, Type HTTP, URL http://interne-IP:Port
Gesamtdauer etwa 30 Minuten.
Welche Protokolle unterstützt Cloudflare Tunnel – SSH und RDP?
HTTP:
• Public Hostname: Type HTTP, URL http://interne-IP:Port
• Cloudflare liefert HTTPS zum Client – auch ohne HTTPS im Intranet
SSH (config.yml):
hostname: ssh.yourdomain.com
service: ssh://localhost:22
• Lokal ~/.ssh/config mit ProxyCommand cloudflared access ssh --hostname %h
• Dann: ssh [email protected]
RDP analog mit rdp:// – SSH/RDP-Ports bleiben nicht am öffentlichen Internet offen.
Ein Tunnel, mehrere Subdomains:
• nas.mydomain.com → http://192.168.1.100:5000
• blog.mydomain.com → http://192.168.1.100:8080
• ssh.mydomain.com → ssh://localhost:22
Wie härte ich die Sicherheit mit Cloudflare Access – welche Limits gibt es?
• Zero Trust → Access → Applications → Add an application → Self-hosted
• Domain wählen (z. B. nas.yourdomain.com), Policy (E-Mail-Whitelist, Google/GitHub OAuth, MFA)
• Vor dem Dienst erscheint die Cloudflare-Login-Seite – für Privatnutzer kostenlos
Limits Free Plan:
• Max. 50 Nutzer, unbegrenzter Traffic
• Kein UDP (TCP ok), in China kein HTTP/3 QUIC
• Domain muss bei Cloudflare liegen
Sicherheit:
• Tunnel selbst sicher (HTTPS, keine Inbound-Ports, Zero Trust, DDoS-Schutz)
• Empfehlung: keine DB direkt exposen, Access für NAS/SSH/Admin, Logs prüfen, Systeme patchen
6 Min. Lesezeit · Veröffentlicht am: 30. Nov. 2025 · Aktualisiert am: 4. Juli 2026
Cloudflare Full Stack
Wenn du über die Suche hier gelandet bist, kommst du am schnellsten weiter, indem du zum vorherigen oder nächsten Beitrag dieser Serie springst.
Vorheriger
Cloudflare als „Brems-CDN“? 3 Schritte zur IP-Optimierung – bis zu 5× schneller
Mit CloudflareSpeedTest die IP mit der niedrigsten Latenz finden, in 10 Minuten einen bevorzugten Knoten konfigurieren und die Zugriffsgeschwindigkeit von 280 ms auf 45 ms senken – getestet 3–5× schneller, inkl. Tutorial, Parameter-Tuning und Troubleshooting
Teil 11 von 23
Nächster
Kostenloses Bildhosting selbst betreiben: Stabile Lösung mit Cloudflare R2 + PicGo
Schritt-für-Schritt-Anleitung: Mit Cloudflare R2 ein vollständig kostenloses persönliches Bildhosting aufsetzen – löst Probleme wie gesperrte GitHub-Bilder und instabile öffentliche Hosts. R2-Öffentlichzugriff, Custom Domain, PicGo-S3-Plugin – in 30 Minuten Upload per Klick, inkl. FAQ.
Teil 13 von 23
Ähnliche Beiträge
Cloudflare Free Plan Limits 2026: Free, Pro und Business richtig wählen

Cloudflare Free Plan Limits 2026: Free, Pro und Business richtig wählen
Cloudflare Pages: Statischen Blog deployen – 5 Frameworks ohne typische Fehler


Kommentare
Melde dich mit GitHub an, um einen Kommentar zu hinterlassen