Configuração de túnel no Raspberry Pi
Cloudflare Tunnel no Raspberry Pi para servidor doméstico sempre ativo
Use este guia quando um Raspberry Pi ou mini PC precisar manter o cloudflared online com um hostname real. Inclui configuração, systemd, verificações e quando GhostlyShare ou ghs CLI são opções mais leves.
O objetivo é um conector estável de saída, não anonimato mágico. Visitantes não precisam acessar o roteador, mas Cloudflare, suas contas e hábitos de uso são importantes.
O Raspberry Pi é útil quando o túnel deve resistir a suspensão do laptop, logout e uso diário. GhostlyShare também serve para compartilhamentos longos, preferindo app ou CLI ao serviço manual.
Sumário
Resposta rápida: use Raspberry Pi para túnel sempre online
O Raspberry Pi é um bom conector Cloudflare Tunnel quando site, dashboard, webhook ou serviço de laboratório precisam ficar acessíveis sem depender do laptop. GhostlyShare é outra opção mais simples.
| Necessidade | Use | Por quê |
|---|---|---|
| Hostname sempre ativo para serviço doméstico | Cloudflare Tunnel no Raspberry Pi | O Pi pode ficar online, reiniciar previsivelmente e rodar cloudflared como serviço Linux. |
| Prévia, callback webhook ou compartilhamento gerenciado | GhostlyShare | GhostlyShare mantém o fluxo do túnel no app ou CLI, mais simples que configurar cloudflared manualmente. |
| App de produção com isolamento reforçado | VPS ou hospedagem gerenciada | Servidor público é mais fácil de monitorar, fazer backup e separar da rede doméstica. |
Arquitetura simples: visitante, Cloudflare, Pi, serviço local
Cloudflare Tunnel mantém a origem com saída. O Raspberry Pi abre conexões para Cloudflare, que mapeia seu hostname público para serviço local como localhost:3000 ou endereço LAN.
O visitante acessa seu hostname público e a borda da Cloudflare, não a porta do roteador da sua conexão doméstica.
A Cloudflare controla a borda pública, a zona DNS, o mapeamento do túnel e o caminho da requisição para o hostname.
O cloudflared roda no Pi e mantém sessões de conexão ativas para a Cloudflare.
O app real pode ficar no localhost, em outra porta ou em um host da LAN acessível pelo Pi.
Não encare isso como uma barreira de privacidade contra todos. Serve principalmente para impedir que visitantes e varreduras aleatórias acessem seu roteador ou descubram a origem diretamente.
Prepare o Raspberry Pi antes de instalar o cloudflared
A maioria dos problemas com túneis não é causada pela Cloudflare. Geralmente vem de um dispositivo instável, endereço local que muda ou arquivo de configuração inacessível para o usuário do serviço.
Comece com Raspberry Pi OS ou Debian, aplique as atualizações e prefira 64 bits se o dispositivo suportar.
Garanta um caminho de rede confiável para o Pi, preferencialmente via Ethernet cabeada ou reserva DHCP se o serviço acessar hosts da LAN.
Confirme que o app funciona localmente antes de envolver Cloudflare, DNS ou systemd.
Não exponha painéis administrativos por engano. Coloque ferramentas privadas atrás do Cloudflare Access ou mantenha-as locais.
Escolha de hardware: opte por um kit Raspberry Pi 5, não só a placa
Para um conector de túnel, um kit Raspberry Pi 5 é mais seguro que só a placa solta. Você precisa da placa, fonte USB-C estável, refrigeração ou ventilador, e armazenamento confiável antes de culpar a Cloudflare por desconexões aleatórias.

Kit Raspberry Pi 5 para um pequeno servidor doméstico com Cloudflare Tunnel
Procure um kit Raspberry Pi 5 com fonte USB-C confiável, refrigeração, case e armazenamento. 4 GB bastam para o cloudflared; 8 GB dão mais espaço se o Pi também rodar o app.
Prefira a fonte oficial Raspberry Pi 27W USB-C ou equivalente 5V/5A e não dispense a refrigeração. Energia fraca e calor podem parecer instabilidade no túnel mesmo com a configuração do cloudflared correta.
Guia de configuração do Cloudflare Tunnel no Raspberry Pi
Use o painel da Cloudflare ou a documentação oficial para o comando atual do pacote para sua arquitetura Pi. Considere os comandos abaixo como uma ordem segura de trabalho, não uma garantia de que os URLs dos pacotes nunca mudam.
Passo 1: atualize o Pi e confirme a arquitetura
Instale as atualizações primeiro, depois verifique a arquitetura para copiar o comando correto do pacote cloudflared da Cloudflare.
sudo apt update
sudo apt upgrade -y
dpkg --print-architecturePasso 2: instale o cloudflared usando o comando oficial atual
Use o painel da Cloudflare ou a documentação para obter o comando Linux atual que corresponde à sua arquitetura. Verifique o binário após a instalação.
# Paste the current official Cloudflare install command for your Pi here.
cloudflared --versionPasso 3: autentique e crie um túnel nomeado
Autorize a zona da Cloudflare, crie um túnel nomeado e copie o UUID do túnel exibido na saída.
cloudflared tunnel login
cloudflared tunnel create home-piPasso 4: crie um config.yml explícito
Substitua o UUID do túnel, hostname, serviço local e caminho das credenciais antes de executar. A regra fallback deve ficar por último.
mkdir -p ~/.cloudflared
nano ~/.cloudflared/config.ymltunnel: <tunnel-uuid>
credentials-file: /home/pi/.cloudflared/<tunnel-uuid>.json
ingress:
- hostname: app.example.com
service: http://localhost:3000
- service: http_status:404Passo 5: valide, configure o DNS e execute em primeiro plano
Valide as regras de ingresso, crie a rota DNS e mantenha o túnel em primeiro plano enquanto testa de outra rede.
cloudflared tunnel ingress validate
cloudflared tunnel route dns home-pi app.example.com
cloudflared tunnel run home-piExecute o cloudflared como serviço Linux com o caminho correto de configuração
O detalhe importante no Linux é o caminho da configuração. Se instalar o serviço com sudo, o diretório home pode ser o do root, e o serviço pode não encontrar a configuração testada como usuário pi.
Passo 1 do serviço: instale com caminho explícito para a configuração
Isso evita o erro comum de diretório home diferente entre a configuração testada como pi e a conta do serviço.
sudo cloudflared --config /home/pi/.cloudflared/config.yml service installPasso 2 do serviço: ative e verifique o status
Inicie o cloudflared via systemd e confirme que usa a configuração correta e permanece estável.
sudo systemctl enable --now cloudflared
systemctl status cloudflaredPasso 3 do serviço: leia os logs e teste a reinicialização
Use os logs para identificar erros de caminho de configuração, credenciais, DNS e serviço local antes de depender da rota.
journalctl -u cloudflared -f
sudo systemctl restart cloudflared
systemctl status cloudflaredChecklist para operação de túnel pequeno sempre ativo
Um túnel doméstico só é confiável quando reinício, atualizações, logs e regras de acesso também são estáveis. Teste esses pontos antes de divulgar o URL.
Reinicie o Pi e confirme que o hostname funciona sem abrir uma sessão SSH antes.
Coloque apps privados atrás do Cloudflare Access, login forte ou limite de rede local.
Atualize o sistema e o cloudflared regularmente e verifique o serviço após as atualizações.
Não publique logs ou capturas de tela com IDs de túnel, emails, hostnames ou nomes de serviços privados.
Faça backup da configuração intencionalmente, mas proteja as credenciais do túnel como segredos.
Esta configuração oculta a origem dos visitantes, mas não esconde sua conta Cloudflare, histórico de domínio ou ações administrativas.
Solução de problemas: falhas mais comuns primeiro
| Sintoma | Causa provável | Primeira verificação |
|---|---|---|
| Página de erro Cloudflare em vez do app | Túnel está inativo, URL do serviço incorreta ou app local não está respondendo. | Execute systemctl status cloudflared, journalctl e curl no serviço local do Pi. |
| Serviço funciona em primeiro plano, mas não após a instalação | systemd está usando um diretório home ou caminho de configuração diferente. | Reinstale o serviço com o caminho --config explícito para /home/pi/.cloudflared/config.yml. |
| Hostname não alcança o túnel | Rota DNS, hostname ou zona Cloudflare não está conectada ao túnel nomeado. | Confirme o hostname público no Zero Trust e execute cloudflared tunnel info home-pi. |
| Página de administração está acessível publicamente | A regra de ingresso aponta para uma ferramenta privada sem camada de acesso. | Coloque atrás do Cloudflare Access ou mantenha o serviço apenas local. |
Documentação oficial para consultar antes de confiar
Mantenha a documentação oficial da Cloudflare aberta durante a configuração do Pi. Nomes de produtos, comandos, telas e limites podem mudar.
Guia de configuração do Cloudflare Tunnel Guia de serviço Linux Parâmetros de execução do túnel
Perguntas frequentes sobre Raspberry Pi e Cloudflare Tunnel
Perguntas frequentes
Raspberry Pi é adequado para Cloudflare Tunnel?
Sim, quando você quer um conector sempre ativo para um servidor doméstico pequeno ou serviço de laboratório. É de baixo consumo, previsível e mais fácil de manter online que um laptop diário.
Preciso redirecionar portas no roteador?
Não. Cloudflare Tunnel usa conexões de saída do cloudflared para a Cloudflare, então visitantes não precisam de rota direta para seu roteador.
Devo usar o GhostlyShare CLI em vez disso?
Use GhostlyShare ou o CLI ghs para compartilhamento local gerenciado por app, prévias, webhooks, compartilhamento automatizado ou compartilhamento contínuo que você mantém online. Use Raspberry Pi com cloudflared para controle total sobre arquivos de serviço, configuração de ingresso e sistema operacional.
Isso torna meu servidor doméstico anônimo?
Não. Ele pode ocultar a origem dos visitantes, mas dados da conta Cloudflare, registros de domínio, pagamentos, logs, conteúdo e ações do administrador ainda podem vincular o projeto a você.