Appearance
Externer Zugriff
Damit Argon On-Premises über HTTPS oder von außerhalb Ihres lokalen Netzwerks erreichbar ist, stehen verschiedene Methoden zur Verfügung. Cloudflare Tunnel ist die empfohlene Lösung; Alternativen finden Sie am Ende dieser Seite.
Cloudflare Tunnel (empfohlen)
Empfohlene Methode
Cloudflare Tunnel ist die empfohlene Lösung für externen HTTPS-Zugriff auf Argon On-Premises. Keine offenen Firewall-Ports, automatisches HTTPS und einfache Einrichtung über das Cloudflare-Dashboard.
Cloudflare Tunnel erstellt eine sichere, ausgehende Verbindung von Ihrem Server zu Cloudflare. Damit ist Ihre Argon-Instanz über eine von Cloudflare bereitgestellte URL erreichbar, ohne Ports auf Ihrer Firewall öffnen zu müssen. HTTPS wird von Cloudflare automatisch bereitgestellt.
Kein Docker Compose
cloudflared wird direkt auf dem Host installiert und betrieben — nicht als Dienst in der docker-compose.yaml. Argon läuft weiterhin in Docker Compose; der Tunnel leitet eingehenden Traffic an http://localhost:8080 weiter.
Voraussetzungen
- Argon ist installiert und unter http://localhost:8080 erreichbar (siehe Installationsübersicht).
- Ein Cloudflare-Konto.
- Ihre Domain ist bei Cloudflare als aktive Zone konfiguriert.
- Ein Cloudflare Tunnel mit Token. Anleitung zum Erstellen: Cloudflare-Dokumentation.
Schritt 1: cloudflared installieren
Linux
Laden Sie die aktuelle Version herunter und installieren Sie sie systemweit:
sh
curl -L https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64 -o cloudflared
chmod +x cloudflared
sudo mv cloudflared /usr/local/bin/
cloudflared --versionWindows Server
- Laden Sie den Windows-Installer von der cloudflared-Releases-Seite herunter (
cloudflared-windows-amd64.msi). - Führen Sie den Installer aus.
- Prüfen Sie in PowerShell:
powershell
cloudflared --versionSchritt 2: Tunnel starten
Linux (systemd-Dienst)
Erstellen Sie eine systemd-Unit, damit der Tunnel automatisch startet und bei Fehlern neu startet:
sh
sudo tee /etc/systemd/system/cloudflared.service > /dev/null <<'EOF'
[Unit]
Description=Cloudflare Tunnel
After=network-online.target
Wants=network-online.target
[Service]
Type=simple
ExecStart=/usr/local/bin/cloudflared tunnel run --token YOUR_CLOUDFLARE_TUNNEL_TOKEN_HERE
Restart=on-failure
RestartSec=5
[Install]
WantedBy=multi-user.target
EOF
sudo systemctl daemon-reload
sudo systemctl enable --now cloudflared
sudo systemctl status cloudflaredErsetzen Sie YOUR_CLOUDFLARE_TUNNEL_TOKEN_HERE durch Ihr tatsächliches Tunnel-Token.
Windows Server (Windows-Dienst)
Registrieren und starten Sie den Tunnel als Windows-Dienst:
powershell
cloudflared service install YOUR_CLOUDFLARE_TUNNEL_TOKEN_HEREErsetzen Sie YOUR_CLOUDFLARE_TUNNEL_TOKEN_HERE durch Ihr tatsächliches Tunnel-Token.
Status prüfen:
powershell
Get-Service cloudflaredSchritt 3: Public Hostname in Cloudflare konfigurieren
Im Cloudflare Zero Trust Dashboard unter Networks → Tunnels wählen Sie Ihren Tunnel und fügen unter Public Hostnames einen Eintrag hinzu:
| Feld | Wert |
|---|---|
| Subdomain | z. B. argon (für argon.ihredomain.com) |
| Domain | Ihre bei Cloudflare verwaltete Domain |
| Service type | HTTP |
| URL | localhost:8080 |
Warum localhost?
Da cloudflared auf dem Host läuft und nicht im Docker-Netzwerk, zeigt der Service auf http://localhost:8080 — den Port, den Docker Compose auf dem Host exponiert.
Alternativ können Sie einen CNAME-Eintrag in den Cloudflare-DNS-Einstellungen anlegen:
- Typ:
CNAME - Name: Die gewünschte Subdomain (z. B.
argon) - Ziel:
<TUNNEL_ID>.cfargotunnel.com - Proxy-Status: Proxied (orange Wolke)
Schritt 4: config.yaml anpassen
Aktualisieren Sie die baseUrl in Ihrer config.yaml auf Ihre öffentliche Tunnel-URL:
yaml
baseUrl: "https://argon.ihredomain.com"Stellen Sie sicher, dass das Schema https verwendet wird.
Starten Sie danach nur den Argon-Container neu — nicht die gesamte Docker-Compose-Umgebung wegen des Tunnels:
sh
docker compose restart argonSchritt 5: Zugriff testen
Öffnen Sie Ihre konfigurierte URL im Browser (z. B. https://argon.ihredomain.com). Argon sollte über HTTPS erreichbar sein.
Verwaltung
| Aktion | Linux | Windows Server |
|---|---|---|
| Status prüfen | sudo systemctl status cloudflared | Get-Service cloudflared |
| Logs anzeigen | sudo journalctl -u cloudflared -f | Ereignisanzeige → Windows-Protokolle → Application |
| Tunnel stoppen | sudo systemctl stop cloudflared | Stop-Service cloudflared |
| Tunnel starten | sudo systemctl start cloudflared | Start-Service cloudflared |
Alternativen
Falls Cloudflare Tunnel für Ihre Umgebung nicht infrage kommt, stehen weitere Optionen zur Verfügung. Für die meisten Szenarien empfehlen wir dennoch Cloudflare Tunnel (siehe Anleitung oben).
Reverse Proxy (Nginx, Traefik, Caddy)
Ein Reverse Proxy wird vor Argon platziert und übernimmt SSL/TLS-Terminierung (HTTPS) sowie die Weiterleitung an http://localhost:8080.
- Vorteile: Volle Kontrolle, Caching, Load Balancing bei mehreren Instanzen.
- Nachteile: Firewall-Ports 80/443 müssen geöffnet werden; Einrichtung und Wartung liegen bei Ihnen.
config.yaml:baseUrlauf Ihre öffentliche HTTPS-Domain setzen (z. B.https://argon.ihredomain.com).
Tailscale (Mesh VPN)
Tailscale erstellt ein privates Netzwerk zwischen Ihren Geräten über WireGuard®. Keine offenen Firewall-Ports nötig.
- Vorteile: Sehr einfache Einrichtung, hohe Sicherheit, MagicDNS-Hostnamen.
- Nachteile: Tailscale-Client auf Server und allen Client-Geräten erforderlich; kostenloser Plan mit Einschränkungen.
- Einrichtung: Tailscale installieren, auf dem Server
sudo tailscale up, Argon über MagicDNS oder Tailscale-IP erreichbar machen (z. B.http://server-name:8080). config.yaml:baseUrlauf die Tailscale-Adresse setzen. Optional HTTPS über Tailscale oder Tailscale Funnel für öffentlichen Zugriff.
VPN (OpenVPN, IPsec)
Benutzer verbinden sich zuerst per VPN mit Ihrem Netzwerk und greifen dann wie im LAN auf Argon zu.
- Vorteile: Dienst nicht direkt im Internet exponiert; volle Kontrolle.
- Nachteile: VPN-Server und Client-Software auf allen Geräten nötig; höherer Wartungsaufwand.
config.yaml:baseUrlmit interner IP oder Hostname (z. B.http://<interne-ip>:8080).
Port Forwarding
Nicht empfohlen
Direkte Portfreigabe im Router setzt Argon dem Internet aus und birgt erhebliche Sicherheitsrisiken — insbesondere ohne SSL/TLS.
- Beschreibung: Externer Port (z. B. 8080) wird auf den Argon-Server weitergeleitet.
- Nachteile: Statische IP oder DynDNS nötig; HTTPS muss separat eingerichtet werden.
config.yaml:baseUrlmit öffentlicher IP oder DynDNS-Hostname.
Vergleich
| Methode | HTTPS | Firewall-Ports | Aufwand | Empfehlung |
|---|---|---|---|---|
| Cloudflare Tunnel | Automatisch | Keine | Gering | Empfohlen |
| Reverse Proxy | Manuell (Let's Encrypt) | 80, 443 | Mittel | Geeignet bei eigener Infrastruktur |
| Tailscale | Optional | Keine | Gering | Geeignet für internes Team / Remote-Zugriff |
| VPN | Optional | Keine (VPN-Port) | Hoch | Geeignet bei bestehender VPN-Infrastruktur |
| Port Forwarding | Manuell | Ja | Gering | Nicht empfohlen |