Skip to content
Version 20260714.1

Externer Zugriff

Damit Argon On-Premises über HTTPS oder von außerhalb Ihres lokalen Netzwerks erreichbar ist, stehen verschiedene Methoden zur Verfügung. Cloudflare Tunnel ist die empfohlene Lösung; Alternativen finden Sie am Ende dieser Seite.

Cloudflare Tunnel (empfohlen)

Empfohlene Methode

Cloudflare Tunnel ist die empfohlene Lösung für externen HTTPS-Zugriff auf Argon On-Premises. Keine offenen Firewall-Ports, automatisches HTTPS und einfache Einrichtung über das Cloudflare-Dashboard.

Cloudflare Tunnel erstellt eine sichere, ausgehende Verbindung von Ihrem Server zu Cloudflare. Damit ist Ihre Argon-Instanz über eine von Cloudflare bereitgestellte URL erreichbar, ohne Ports auf Ihrer Firewall öffnen zu müssen. HTTPS wird von Cloudflare automatisch bereitgestellt.

Kein Docker Compose

cloudflared wird direkt auf dem Host installiert und betrieben — nicht als Dienst in der docker-compose.yaml. Argon läuft weiterhin in Docker Compose; der Tunnel leitet eingehenden Traffic an http://localhost:8080 weiter.

Voraussetzungen

Schritt 1: cloudflared installieren

Linux

Laden Sie die aktuelle Version herunter und installieren Sie sie systemweit:

sh
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64 -o cloudflared
chmod +x cloudflared
sudo mv cloudflared /usr/local/bin/
cloudflared --version

Windows Server

  1. Laden Sie den Windows-Installer von der cloudflared-Releases-Seite herunter (cloudflared-windows-amd64.msi).
  2. Führen Sie den Installer aus.
  3. Prüfen Sie in PowerShell:
powershell
cloudflared --version

Schritt 2: Tunnel starten

Linux (systemd-Dienst)

Erstellen Sie eine systemd-Unit, damit der Tunnel automatisch startet und bei Fehlern neu startet:

sh
sudo tee /etc/systemd/system/cloudflared.service > /dev/null <<'EOF'
[Unit]
Description=Cloudflare Tunnel
After=network-online.target
Wants=network-online.target

[Service]
Type=simple
ExecStart=/usr/local/bin/cloudflared tunnel run --token YOUR_CLOUDFLARE_TUNNEL_TOKEN_HERE
Restart=on-failure
RestartSec=5

[Install]
WantedBy=multi-user.target
EOF

sudo systemctl daemon-reload
sudo systemctl enable --now cloudflared
sudo systemctl status cloudflared

Ersetzen Sie YOUR_CLOUDFLARE_TUNNEL_TOKEN_HERE durch Ihr tatsächliches Tunnel-Token.

Windows Server (Windows-Dienst)

Registrieren und starten Sie den Tunnel als Windows-Dienst:

powershell
cloudflared service install YOUR_CLOUDFLARE_TUNNEL_TOKEN_HERE

Ersetzen Sie YOUR_CLOUDFLARE_TUNNEL_TOKEN_HERE durch Ihr tatsächliches Tunnel-Token.

Status prüfen:

powershell
Get-Service cloudflared

Schritt 3: Public Hostname in Cloudflare konfigurieren

Im Cloudflare Zero Trust Dashboard unter Networks → Tunnels wählen Sie Ihren Tunnel und fügen unter Public Hostnames einen Eintrag hinzu:

FeldWert
Subdomainz. B. argon (für argon.ihredomain.com)
DomainIhre bei Cloudflare verwaltete Domain
Service typeHTTP
URLlocalhost:8080

Warum localhost?

Da cloudflared auf dem Host läuft und nicht im Docker-Netzwerk, zeigt der Service auf http://localhost:8080 — den Port, den Docker Compose auf dem Host exponiert.

Alternativ können Sie einen CNAME-Eintrag in den Cloudflare-DNS-Einstellungen anlegen:

  • Typ: CNAME
  • Name: Die gewünschte Subdomain (z. B. argon)
  • Ziel: <TUNNEL_ID>.cfargotunnel.com
  • Proxy-Status: Proxied (orange Wolke)

Schritt 4: config.yaml anpassen

Aktualisieren Sie die baseUrl in Ihrer config.yaml auf Ihre öffentliche Tunnel-URL:

yaml
baseUrl: "https://argon.ihredomain.com"

Stellen Sie sicher, dass das Schema https verwendet wird.

Starten Sie danach nur den Argon-Container neu — nicht die gesamte Docker-Compose-Umgebung wegen des Tunnels:

sh
docker compose restart argon

Schritt 5: Zugriff testen

Öffnen Sie Ihre konfigurierte URL im Browser (z. B. https://argon.ihredomain.com). Argon sollte über HTTPS erreichbar sein.

Verwaltung

AktionLinuxWindows Server
Status prüfensudo systemctl status cloudflaredGet-Service cloudflared
Logs anzeigensudo journalctl -u cloudflared -fEreignisanzeige → Windows-Protokolle → Application
Tunnel stoppensudo systemctl stop cloudflaredStop-Service cloudflared
Tunnel startensudo systemctl start cloudflaredStart-Service cloudflared

Alternativen

Falls Cloudflare Tunnel für Ihre Umgebung nicht infrage kommt, stehen weitere Optionen zur Verfügung. Für die meisten Szenarien empfehlen wir dennoch Cloudflare Tunnel (siehe Anleitung oben).

Reverse Proxy (Nginx, Traefik, Caddy)

Ein Reverse Proxy wird vor Argon platziert und übernimmt SSL/TLS-Terminierung (HTTPS) sowie die Weiterleitung an http://localhost:8080.

  • Vorteile: Volle Kontrolle, Caching, Load Balancing bei mehreren Instanzen.
  • Nachteile: Firewall-Ports 80/443 müssen geöffnet werden; Einrichtung und Wartung liegen bei Ihnen.
  • config.yaml: baseUrl auf Ihre öffentliche HTTPS-Domain setzen (z. B. https://argon.ihredomain.com).

Tailscale (Mesh VPN)

Tailscale erstellt ein privates Netzwerk zwischen Ihren Geräten über WireGuard®. Keine offenen Firewall-Ports nötig.

  • Vorteile: Sehr einfache Einrichtung, hohe Sicherheit, MagicDNS-Hostnamen.
  • Nachteile: Tailscale-Client auf Server und allen Client-Geräten erforderlich; kostenloser Plan mit Einschränkungen.
  • Einrichtung: Tailscale installieren, auf dem Server sudo tailscale up, Argon über MagicDNS oder Tailscale-IP erreichbar machen (z. B. http://server-name:8080).
  • config.yaml: baseUrl auf die Tailscale-Adresse setzen. Optional HTTPS über Tailscale oder Tailscale Funnel für öffentlichen Zugriff.

VPN (OpenVPN, IPsec)

Benutzer verbinden sich zuerst per VPN mit Ihrem Netzwerk und greifen dann wie im LAN auf Argon zu.

  • Vorteile: Dienst nicht direkt im Internet exponiert; volle Kontrolle.
  • Nachteile: VPN-Server und Client-Software auf allen Geräten nötig; höherer Wartungsaufwand.
  • config.yaml: baseUrl mit interner IP oder Hostname (z. B. http://<interne-ip>:8080).

Port Forwarding

Nicht empfohlen

Direkte Portfreigabe im Router setzt Argon dem Internet aus und birgt erhebliche Sicherheitsrisiken — insbesondere ohne SSL/TLS.

  • Beschreibung: Externer Port (z. B. 8080) wird auf den Argon-Server weitergeleitet.
  • Nachteile: Statische IP oder DynDNS nötig; HTTPS muss separat eingerichtet werden.
  • config.yaml: baseUrl mit öffentlicher IP oder DynDNS-Hostname.

Vergleich

MethodeHTTPSFirewall-PortsAufwandEmpfehlung
Cloudflare TunnelAutomatischKeineGeringEmpfohlen
Reverse ProxyManuell (Let's Encrypt)80, 443MittelGeeignet bei eigener Infrastruktur
TailscaleOptionalKeineGeringGeeignet für internes Team / Remote-Zugriff
VPNOptionalKeine (VPN-Port)HochGeeignet bei bestehender VPN-Infrastruktur
Port ForwardingManuellJaGeringNicht empfohlen