Configurazione tunnel Raspberry Pi
Cloudflare Tunnel su Raspberry Pi per un server domestico sempre attivo
Usa questa guida quando un Raspberry Pi o mini PC deve mantenere cloudflared attivo con un hostname reale. Include setup, systemd, controlli di sicurezza e quando preferire GhostlyShare o ghs CLI.
L’obiettivo è un connettore stabile in uscita, non anonimato magico. I visitatori non necessitano accesso al router, ma Cloudflare, i tuoi account e le tue abitudini restano importanti.
Un Raspberry Pi è utile se il tunnel deve resistere a sospensione laptop, logout desktop e lavoro quotidiano. GhostlyShare è adatto per condivisioni prolungate se preferisci app o CLI a file di servizio manuali.
Indice
Sintesi: usa Raspberry Pi se il tunnel deve restare attivo
Un Raspberry Pi è un buon connettore Cloudflare Tunnel quando sito, dashboard, webhook o servizio di laboratorio devono restare accessibili senza dipendere dal laptop. Non è l’unica opzione a lungo termine; GhostlyShare può essere un workflow tunnel più semplice.
| Necessità | Usa | Perché |
|---|---|---|
| Hostname sempre attivo per un servizio domestico | Cloudflare Tunnel su Raspberry Pi | Il Pi resta online, si riavvia prevedibilmente e esegue cloudflared come servizio Linux. |
| Anteprima, callback webhook o condivisione gestita | GhostlyShare | GhostlyShare gestisce il tunnel via app o CLI, più semplice che mantenere manualmente la configurazione cloudflared. |
| App in produzione con isolamento avanzato | VPS o hosting gestito | Un server pubblico è più facile da monitorare, fare backup e separare dalla rete domestica. |
Architettura semplice: visitatore, Cloudflare, Pi, servizio locale
Cloudflare Tunnel mantiene la connessione in uscita. Il Raspberry Pi apre connessioni a Cloudflare, che mappa il tuo hostname pubblico a un servizio locale come localhost:3000 o un indirizzo LAN.
Il visitatore raggiunge il tuo hostname pubblico e il nodo Cloudflare, non una porta del router della tua connessione domestica.
Cloudflare gestisce il nodo pubblico, la zona DNS, la mappatura del tunnel e il percorso della richiesta per l'hostname.
cloudflared gira sul Pi e mantiene aperte le sessioni di connessione in uscita verso Cloudflare.
L'app reale può rimanere su localhost, su un'altra porta o su un host LAN raggiungibile dal Pi.
Non considerare questo come un muro di privacy contro ogni soggetto. Serve principalmente a impedire a visitatori e scansioni casuali di raggiungere il router di casa o di scoprire direttamente l'origine.
Prepara il Raspberry Pi prima di installare cloudflared
La maggior parte dei problemi con i tunnel non è causata da Cloudflare, ma da dispositivi instabili, indirizzi di servizio locali variabili o file di configurazione non leggibili dall'utente del servizio.
Inizia con Raspberry Pi OS o Debian, applica gli aggiornamenti e preferisci la versione a 64 bit se il dispositivo la supporta.
Assicura al Pi un percorso di rete affidabile, preferibilmente Ethernet cablata o una prenotazione DHCP se il servizio raggiunge host LAN.
Controlla che l'app funzioni localmente prima di coinvolgere Cloudflare, DNS o systemd.
Non esporre per errore pannelli di amministrazione. Metti gli strumenti privati dietro Cloudflare Access o mantienili locali.
Scelta hardware: opta per un kit Raspberry Pi 5, non solo la scheda
Per un connettore tunnel, un kit Raspberry Pi 5 è una scelta più sicura rispetto a una scheda singola. Serve la scheda, un alimentatore USB-C stabile, raffreddamento o ventola, e uno storage affidabile prima di attribuire a Cloudflare disconnessioni casuali.

Kit Raspberry Pi 5 per un piccolo server domestico Cloudflare Tunnel
Cerca un kit Raspberry Pi 5 con alimentatore USB-C affidabile, raffreddamento, case e storage. 4 GB bastano per cloudflared; 8 GB offrono più spazio se il Pi esegue anche l'app.
Preferisci l'alimentatore ufficiale Raspberry Pi 27W USB-C o un equivalente 5V/5A, e non trascurare il raffreddamento. Alimentazione debole e calore possono sembrare instabilità del tunnel anche con configurazione cloudflared corretta.
Guida alla configurazione di Cloudflare Tunnel su Raspberry Pi
Usa il pannello Cloudflare o la documentazione ufficiale per il comando pacchetto aggiornato per la tua architettura Pi. Considera i comandi seguenti come una sequenza di lavoro sicura, non una garanzia che gli URL dei pacchetti non cambino.
Passo 1: aggiorna il Pi e verifica l'architettura
Installa prima gli aggiornamenti, poi verifica l'architettura per copiare il comando pacchetto cloudflared corretto da Cloudflare.
sudo apt update
sudo apt upgrade -y
dpkg --print-architecturePasso 2: installa cloudflared con il comando ufficiale aggiornato
Usa il pannello Cloudflare o la documentazione per il comando Linux aggiornato adatto alla tua architettura. Verifica il file binario dopo l'installazione.
# Paste the current official Cloudflare install command for your Pi here.
cloudflared --versionPasso 3: autentica e crea un tunnel nominato
Autorizza la zona Cloudflare, crea un tunnel nominato e copia l'UUID del tunnel dall'output.
cloudflared tunnel login
cloudflared tunnel create home-piPasso 4: scrivi un file config.yml esplicito
Sostituisci UUID del tunnel, hostname, servizio locale e percorso delle credenziali prima di eseguirlo. La regola di fallback deve rimanere ultima.
mkdir -p ~/.cloudflared
nano ~/.cloudflared/config.ymltunnel: <tunnel-uuid>
credentials-file: /home/pi/.cloudflared/<tunnel-uuid>.json
ingress:
- hostname: app.example.com
service: http://localhost:3000
- service: http_status:404Passo 5: valida, configura il DNS e avvia in primo piano
Verifica le regole di ingresso, crea la rotta DNS e mantieni il tunnel in primo piano mentre testi da un'altra rete.
cloudflared tunnel ingress validate
cloudflared tunnel route dns home-pi app.example.com
cloudflared tunnel run home-piEsegui cloudflared come servizio Linux con il percorso di configurazione corretto
Il dettaglio importante su Linux è il percorso della configurazione. Se installi un servizio con sudo, la home directory diventa quella di root, quindi il servizio potrebbe non trovare la configurazione testata come utente pi.
Passo servizio 1: installa il servizio con un percorso di configurazione esplicito
Questo evita il comune problema di disallineamento tra la home directory di sudo e la configurazione testata come utente pi rispetto all'account del servizio.
sudo cloudflared --config /home/pi/.cloudflared/config.yml service installPasso servizio 2: abilita il servizio e verifica lo stato
Avvia cloudflared tramite systemd, quindi verifica che utilizzi la configurazione prevista e rimanga attivo.
sudo systemctl enable --now cloudflared
systemctl status cloudflaredPasso servizio 3: leggi i log e prova a riavviare
Usa i log per individuare errori di percorso configurazione, credenziali, DNS e servizio locale prima di affidarti alla rotta.
journalctl -u cloudflared -f
sudo systemctl restart cloudflared
systemctl status cloudflaredLista di controllo per un tunnel sempre attivo e compatto
Un tunnel domestico diventa affidabile solo quando riavvii, aggiornamenti, log e regole di accesso sono altrettanto stabili. Verifica queste parti prima di condividere l'URL pubblicamente.
Riavvia il Pi e conferma che l'hostname funzioni senza aprire prima una sessione SSH.
Proteggi le app private con Cloudflare Access, un login robusto o un confine di rete locale.
Aggiorna regolarmente il sistema operativo e cloudflared, quindi verifica il servizio dopo gli aggiornamenti.
Non pubblicare log o screenshot contenenti ID tunnel, email account, hostname o nomi di servizi privati.
Esegui backup intenzionali della configurazione, ma proteggi le credenziali del tunnel come segreti.
Questa configurazione nasconde l'origine ai visitatori; non nasconde però il tuo account Cloudflare, la traccia del dominio o le azioni amministrative.
Risoluzione problemi: errori più comuni da verificare
| Sintomo | Causa probabile | Primo controllo |
|---|---|---|
| Pagina di errore Cloudflare invece dell'app | Tunnel inattivo, URL del servizio errato o app locale non in ascolto. | Esegui systemctl status cloudflared, journalctl e curl sul servizio locale del Pi. |
| Il servizio funziona in primo piano ma non dopo l'installazione | systemd usa una directory home o un percorso di configurazione diverso. | Reinstalla il servizio specificando il percorso --config a /home/pi/.cloudflared/config.yml. |
| Il nome host non raggiunge il tunnel | La rotta DNS, il nome host o la zona Cloudflare non sono collegati al tunnel nominato. | Verifica il nome host pubblico in Zero Trust ed esegui cloudflared tunnel info home-pi. |
| La pagina di amministrazione è accessibile pubblicamente | La regola di ingresso punta a uno strumento privato senza livello di accesso. | Spostalo dietro Cloudflare Access o mantieni il servizio solo locale. |
Documentazione ufficiale da consultare prima di affidarsi
Tieni aperta la documentazione ufficiale Cloudflare durante la configurazione del Pi. Nomi prodotti, comandi, schermate e limiti possono variare.
Guida alla configurazione di Cloudflare Tunnel Guida al servizio Linux Parametri di esecuzione del tunnel
Domande frequenti su Raspberry Pi Cloudflare Tunnel
Domande frequenti
Il Raspberry Pi è adatto per Cloudflare Tunnel?
Sì, se serve un connettore sempre attivo per un piccolo server domestico o un servizio di laboratorio. Consuma poco, è affidabile e più semplice da mantenere online rispetto a un laptop usato quotidianamente.
Serve il port forwarding del router?
No. Cloudflare Tunnel usa connessioni in uscita da cloudflared verso Cloudflare, quindi i visitatori non necessitano di un percorso diretto in ingresso al router.
Conviene usare GhostlyShare CLI?
Usa GhostlyShare o la CLI ghs per condivisioni locali gestite dall'app, anteprime, webhook, condivisioni scriptate o condivisioni a lungo termine mantenute online intenzionalmente. Usa Raspberry Pi con cloudflared se vuoi il pieno controllo su file di servizio, configurazione ingress e sistema operativo host.
Questo rende il mio server domestico anonimo?
No. Può nascondere l'origine ai visitatori, ma i dati dell'account Cloudflare, i record di dominio, i pagamenti, i log, i contenuti e il comportamento dell'amministratore possono comunque collegare il progetto a te.