¿Quieres exponer tus aplicaciones internas sin abrir puertos, sin depender de Cloudflare y sin pagar licencias por usuario? Pangolin es un proyecto open source que combina túnel WireGuard, reverse proxy con SSL automático y control de acceso Zero Trust en una sola plataforma. En Netbrain lo hemos probado a fondo y este es nuestro análisis técnico para empresas que valoran la soberanía de sus datos.
TL;DR — Pangolin (AGPL-3) permite publicar servicios internos (web, SSH, RDP, bases de datos) en Internet sin IP pública ni apertura de puertos en el firewall, con autenticación por identidad y certificados Let’s Encrypt automáticos. Alternativa real a Cloudflare Tunnel, Tailscale y ngrok.
¿Qué es Pangolin?
Pangolin es una plataforma de acceso remoto basada en identidad desarrollada por Fossorial y publicada bajo licencia AGPL-3. Supera ya los 19.000 stars en GitHub y acumula más de 1.000.000 de despliegues a nivel mundial.
Su propuesta es simple pero potente: unir en un único stack tres piezas que normalmente se configuran por separado:
- Túnel WireGuard para conectar redes remotas sin IP pública.
- Reverse proxy Traefik con SSL Let’s Encrypt automático.
- Gestión de identidad y políticas Zero Trust por aplicación.
El resultado: puedes publicar el ERP interno, un Grafana, un Proxmox o cualquier servicio TCP/UDP sin exponer tu red y controlando quién accede a qué.
Arquitectura: cómo funciona Pangolin por dentro
Pangolin se compone de varios módulos que trabajan coordinados:
| Componente | Función |
|---|---|
| Pangolin (core) | Dashboard web, API, gestión de usuarios y políticas |
| Gerbil | Servidor WireGuard que recibe los túneles de los sites remotos |
| Newt | Cliente ligero que se instala en la red remota y abre el túnel de salida |
| Traefik | Reverse proxy que termina SSL y enruta el tráfico HTTP/HTTPS |
| Badger | Middleware de autenticación Zero Trust por aplicación |
Flujo de una petición: el usuario entra por https://grafana.tudominio.com → Traefik recibe la petición → Badger valida identidad y política → el tráfico se enruta por el túnel WireGuard hasta el Newt del cliente → llega al servicio interno. Todo sin abrir un solo puerto en el firewall de la delegación.
Ventajas frente a Cloudflare Tunnel, Tailscale y VPN tradicionales
Esto es lo que, como consultores IT en Logroño, nos ha hecho recomendarlo en varios proyectos:
1. Soberanía total de los datos
A diferencia de Cloudflare Tunnel, Pangolin es 100% self-hosted. Tu tráfico no pasa por un tercero — cumple de forma limpia con RGPD y ENS para administración pública española.
2. Sin coste por usuario
Mientras Tailscale cobra por usuario a partir del tier gratuito, la edición Community de Pangolin es gratis e ilimitada bajo AGPL-3. La edición Enterprise es también gratuita para uso personal y empresas con facturación inferior a 100.000 USD/año.
3. Acceso web + acceso cliente en una sola herramienta
No necesitas montar nginx + Authentik + WireGuard por separado. Pangolin unifica acceso por navegador a apps web con SSL automático y acceso por cliente nativo (Mac, Windows, Linux, iOS, Android) a SSH, RDP, bases de datos y rangos de red completos.
4. Zero Trust real
No concede acceso a toda la red como una VPN tradicional. Cada usuario ve solo las aplicaciones explícitamente autorizadas. Reduce drásticamente la superficie de ataque.
5. NAT traversal inteligente
Funciona detrás de CGNAT, firewalls corporativos restrictivos y redes móviles — escenarios donde OpenVPN o IPsec fallan.
6. Despliegue en minutos
Un script bash, dos preguntas, y en 2-3 minutos tienes el dashboard funcionando con certificado SSL válido.
Casos de uso reales para empresas
En Netbrain hemos identificado estos escenarios donde Pangolin aporta valor inmediato:
- Delegaciones sin IP fija: conectar oficinas pequeñas sin contratar IPs estáticas ni abrir puertos.
- Acceso de administradores a servidores internos sin VPN corporativa pesada.
- Publicación segura de herramientas internas (Odoo, Dolibarr, Jira, GitLab self-hosted).
- Acceso de proveedores externos a recursos concretos sin darles acceso de red completo.
- Entornos homelab y laboratorios donde Cloudflare Tunnel resulta limitante.
- Cumplimiento RGPD/ENS en sectores que no pueden enviar tráfico por terceros.
Requisitos técnicos para auto-hospedarlo
Para montar Pangolin Community Edition necesitas poco:
- Servidor Linux (Ubuntu 20.04+ o Debian 11+ recomendado) con acceso root.
- IP pública (un VPS de 5 €/mes sobra para empezar).
- Dominio propio apuntando al servidor.
- Puertos abiertos: 80/TCP, 443/TCP, 51820/UDP y 21820/UDP.
- Docker y Docker Compose (el instalador los gestiona).
La instalación resumida:
La instalación se realiza mediante el script oficial disponible en docs.pangolin.net. Se descarga y ejecuta con permisos de administrador, y en 2-3 minutos tendrás el stack completo funcionando en Docker.
Durante el proceso te pedirá: edición (Community), dominio base, dominio del dashboard, email para Let’s Encrypt y si quieres activar CrowdSec (protección contra bots y ataques, muy recomendable).
Características destacadas de la versión Open Source
La edición Community incluye lo que la mayoría de PYMEs necesitan:
- ✅ Usuarios y organizaciones ilimitados
- ✅ Sites (túneles) ilimitados
- ✅ Recursos (apps publicadas) ilimitados
- ✅ SSL Let’s Encrypt automático y wildcard
- ✅ Autenticación local + OIDC (Google, Microsoft, Authentik, Keycloak)
- ✅ API REST completa
- ✅ Clientes nativos multiplataforma
- ✅ Integración con CrowdSec
- ✅ Dashboard web en español
Lo que queda reservado a la edición Enterprise: SSO SAML avanzado, HA multi-nodo, soporte comercial y ciertos conectores.
Limitaciones y consideraciones honestas
No todo son ventajas. Antes de desplegarlo en producción, valora:
- Requiere un servidor público — si no quieres gestionar infraestructura, Cloudflare Tunnel sigue siendo más cómodo.
- Licencia AGPL-3 — si modificas el código y lo ofreces como servicio, debes publicar los cambios.
- Proyecto joven — aunque muy activo, tiene menos años que WireGuard puro o OpenVPN.
- Documentación principalmente en inglés — aunque la interfaz tiene traducción.
- Backup del estado — la configuración vive en una base de datos que debes respaldar tú.
¿Pangolin encaja en tu empresa? Te ayudamos a decidirlo
En Netbrain llevamos desde 2008 desplegando infraestructuras para empresas de La Rioja y resto de España. Si estás valorando:
- Sustituir una VPN tradicional obsoleta.
- Dejar de pagar licencias por usuario de Tailscale o Zerotier.
- Publicar servicios internos cumpliendo RGPD sin intermediarios.
- Montar un entorno Zero Trust real sin invertir en soluciones enterprise de cinco cifras.
…podemos ayudarte a diseñar, desplegar y mantener tu instancia de Pangolin, integrarla con tu directorio de usuarios y formar a tu equipo. 👉 Contacta con Netbrain o llámanos al 941 120 442. Somos consultores IT en Logroño con experiencia real en open source, ciberseguridad y DevOps.
Preguntas frecuentes sobre Pangolin
¿Pangolin es realmente gratis?
Sí. La Community Edition es open source bajo licencia AGPL-3, sin límite de usuarios ni funcionalidades core. La Enterprise Edition es gratis para uso personal y empresas con facturación inferior a 100.000 USD anuales.
¿Es una alternativa a Cloudflare Tunnel?
Sí, y con una diferencia clave: el tráfico no pasa por Cloudflare. Todo queda en tu infraestructura, algo crítico para cumplimiento RGPD y ENS.
¿Puedo usar Pangolin sin IP pública en mis oficinas?
Exacto, ese es uno de sus puntos fuertes. Instalas el cliente Newt en la red remota y este abre el túnel de salida hacia el servidor Pangolin central. No necesitas IP fija ni abrir puertos en la oficina.
¿Qué diferencia hay entre Pangolin y WireGuard a pelo?
WireGuard es solo el protocolo de túnel. Pangolin añade encima: gestión web, políticas Zero Trust por aplicación, reverse proxy con SSL automático, autenticación OIDC y clientes multiplataforma con UI. Es la diferencia entre un motor y un coche completo.
¿Soporta autenticación con Google Workspace o Microsoft 365?
Sí, mediante OIDC. También integra con Authentik, Keycloak y cualquier proveedor OIDC estándar.