Cloudflare
Visión general
Cloudflare proporciona DNS, CDN, seguridad y túneles para exponer servicios del homelab de forma segura sin abrir puertos en el firewall.
Servicios Cloudflare utilizados
| Servicio | Propósito | Estado |
| Cloudflare DNS | Gestión de dominios y subdominios | Activo |
| Cloudflare Tunnel | Exposición segura de servicios internos | Activo |
| Cloudflare Pages | Hosting de Aegis Docs | Planificado |
| Cloudflare Access | Autenticación para servicios expuestos | Recomendado |
Dominios
| Dominio | Propósito |
| gntech.dev | Dominio principal (personal) |
| *.gntech.dev | Subdominios para servicios |
Cloudflare Tunnel
- Cliente:
cloudflared - Configuración:
/etc/cloudflared/config.yml - Servicio:
cloudflared (systemd) - Puertos expuestos: Solo HTTP/HTTPS a través del túnel
- Autenticación: Cloudflare Access (recomendado)
# Verificar estado del túnel
sudo systemctl status cloudflared
# Logs del túnel
sudo journalctl -u cloudflared -f
# Probar conectividad
curl -s https://servicio.gntech.dev/health
Túneles configurados
| Tunnel ID | Destino | Servicios | Estado |
| tunnel-principal | 192.168.20.x | Jellyfin, Arrs, Uptime Kuma | Activo |
| tunnel-aegis | 192.168.10.x | Aegis servicios internos | Planificado |
Seguridad
- No exponer puertos SSH, Proxmox web UI ni otros servicios de administración.
- Usar Cloudflare Access para autenticación adicional en servicios críticos.
- Habilitar Under Attack Mode en Cloudflare durante incidentes de seguridad.
- Las reglas WAF de Cloudflare filtran tráfico malicioso automáticamente.
Troubleshooting
- Si el túnel no responde, verificar que
cloudflared esté corriendo. - Revisar logs con
journalctl -u cloudflared -n 50. - Verificar que no haya cambios en el token de autenticación del túnel.
- Comprobar conectividad entre el servidor cloudflared y Cloudflare.