Pangolin – Acceso remoto seguro y autoalojable sin exponer puertos ni depender de terceros
Descripción del programa Pangolin
Pangolin es una plataforma de acceso remoto de código abierto basada en WireGuard que combina proxy inverso y VPN con control de acceso granular y autenticación de identidad.
Pangolin es una plataforma de acceso remoto de código abierto, basada en identidad, desarrollada y mantenida por la comunidad a través del proyecto Fossorial y respaldada por la empresa Fosrl LLC. Su función principal es proporcionar conectividad segura a recursos privados y públicos sin necesidad de abrir puertos en el firewall, utilizando túneles cifrados WireGuard que atraviesan NAT de forma inteligente. Pangolin unifica en una sola plataforma las capacidades de un proxy inverso para aplicaciones web y las de una VPN para acceso a servidores, bases de datos o escritorios remotos, todo ello gestionado mediante un panel de control centralizado con interfaz web.
La característica más destacada de Pangolin es su modelo de seguridad de confianza cero. A diferencia de las VPN tradicionales, que otorgan acceso a toda la red una vez establecida la conexión, Pangolin aplica un control de acceso granular basado en roles: los administradores definen exactamente a qué aplicaciones, servicios y rangos de red puede acceder cada usuario. Esto significa que un usuario puede ver una aplicación web concreta o conectarse por SSH a un servidor específico, pero no tiene visibilidad sobre el resto de la infraestructura. Este enfoque, combinado con la posibilidad de autoalojar la plataforma, convierte a Pangolin en una alternativa soberana a servicios comerciales como Cloudflare Tunnels o Twingate.
El proyecto Pangolin nació a principios de 2025, cuando la empresa Fosrl (perteneciente a la incubadora Y Combinator en su lote S25) lanzó la primera versión beta pública. Su objetivo declarado era crear una alternativa de código abierto a los túneles de Cloudflare que cualquiera pudiera instalar en su propio servidor. En apenas un año, la plataforma ha evolucionado desde un sencillo proxy inverso con gestión de identidad hasta una solución integral de acceso remoto que incorpora clientes nativos para Windows, Mac, Linux, iOS y Android, funcionalidades de VPN con NAT traversal y un sistema de verificación de postura de dispositivos.
¿Necesitas acceder de forma segura a tus servicios privados sin abrir puertos en el router ni depender de infraestructuras de terceros?
Características clave de Pangolin
1. Proxy inverso con túnel para aplicaciones web
Pangolin actúa como un proxy inverso con gestión de identidad que expone aplicaciones web a través de túneles cifrados. Los usuarios pueden acceder a servicios como paneles de administración, aplicaciones autoalojadas o herramientas internas desde cualquier navegador, sin necesidad de instalar un cliente. La plataforma se encarga del enrutamiento, el balanceo de carga, las comprobaciones de salud de los servicios y la generación automática de certificados SSL a través de Let’s Encrypt, todo ello sin exponer directamente la red privada a Internet.
2. Acceso privado a recursos mediante clientes nativos
Más allá del acceso web, Pangolin permite a los usuarios conectarse a recursos privados como servidores SSH, bases de datos, escritorios remotos RDP o rangos completos de red a través de clientes nativos disponibles para Windows, Mac, Linux, iOS y Android. Estos clientes utilizan túneles WireGuard con NAT traversal inteligente, lo que permite establecer conexiones incluso a través de firewalls restrictivos sin necesidad de configurar reenvíos de puertos ni exponer direcciones IP públicas.
3. Control de acceso granular basado en roles
El sistema de autorización de Pangolin se fundamenta en el principio de privilegio mínimo. Los administradores pueden utilizar el sistema de usuarios integrado o conectar un proveedor de identidad externo mediante SSO, y luego asignar roles con permisos específicos sobre recursos concretos. Un mismo usuario puede tener acceso a una determinada aplicación web, a un servidor por SSH y a una base de datos, pero no verá ni podrá interactuar con ningún otro recurso de la red.
4. Conectores de sitio con NAT traversal
Pangolin introduce el concepto de conectores de sitio, agentes ligeros que se despliegan como binario o contenedor en cualquier equipo de la red privada. Estos conectores establecen túneles salientes hacia el servidor central de Pangolin, eliminando la necesidad de direcciones IP públicas o puertos abiertos en el firewall. La inteligencia de NAT traversal incorporada permite que incluso redes detrás de NAT restrictivas o CGNAT sean accesibles de forma autorizada.
5. Verificación de postura e identidad de dispositivos
A partir de su versión 1.15, Pangolin incorpora un sistema de huella digital de dispositivos y comprobaciones de postura. La plataforma recopila información como números de serie, versiones de sistema operativo y nombres de host para identificar de forma única cada dispositivo. Además, verifica el estado de seguridad del equipo comprobando el cifrado de disco, el estado del firewall o la actividad del antivirus. Estas capacidades permiten a los administradores bloquear automáticamente dispositivos que no cumplan los requisitos de seguridad, incluso si el usuario dispone de credenciales válidas.
Explicación detallada de las funcionalidades
El núcleo de Pangolin reside en su arquitectura de componentes especializados, cada uno con nombre de animal fosorial. El componente central, llamado Pangolin, es el servidor que aloja el panel de control y gestiona la lógica de identidad y acceso. Gerbil es el portal de acceso web que permite a los usuarios autenticarse y acceder a aplicaciones desde el navegador. Traefik actúa como proxy inverso bajo el capó, enrutando el tráfico HTTP hacia los servicios correspondientes. Finalmente, Olm —nombrado en honor a una pequeña salamandra cavernícola— es el cliente ligero escrito en Go que gestiona los túneles WireGuard, el NAT traversal y la aplicación de políticas en todos los dispositivos cliente, desde ordenadores de escritorio hasta teléfonos móviles.
El funcionamiento de Pangolin resuelve un problema fundamental en la administración de infraestructuras autoalojadas: cómo exponer servicios privados a Internet de forma segura sin abrir puertos ni depender de servicios de terceros que inspeccionan el tráfico. Cuando un usuario quiere publicar una aplicación web, basta con desplegar un conector de sitio en la red donde reside el servicio y definir el recurso en el panel de Pangolin. La plataforma establece un túnel WireGuard entre el conector y el servidor, configura automáticamente el proxy inverso, emite el certificado SSL y aplica las políticas de acceso definidas. El usuario final solo necesita un navegador y sus credenciales para acceder al servicio, sin instalar nada adicional.
El beneficio práctico para los administradores de sistemas y entusiastas del autoalojamiento es una simplificación radical de la gestión de acceso remoto. En lugar de mantener configuraciones separadas de VPN, certificados SSL, reglas de firewall y listas de control de acceso, Pangolin centraliza todas estas funciones en un único panel con interfaz gráfica. Para las empresas, la ventaja añadida es el cumplimiento del principio de confianza cero: cada acceso se autentica, se autoriza y se registra de forma individual, sin que exista una conexión de red implícita al resto de sistemas de la organización.
Descarga e instalación de Pangolin
- Página oficial: Pangolin
- Versión actual: Última versión estable disponible (las versiones se publican periódicamente en GitHub)
- Tamaño: Ligero; el servidor se despliega como contenedor Docker
- Sistemas operativos compatibles: Servidor en Linux (Ubuntu 20.04+, Debian 11+, AMD64 o ARM64); clientes nativos para Windows, Mac, Linux, iOS y Android
- Requisitos mínimos: Servidor Linux con acceso root y dirección IP pública, nombre de dominio apuntando al servidor, y los puertos 80 y 443 abiertos en el firewall
- Licencia: AGPL-3 para la Edición Comunidad; Licencia Comercial Fossorial para la Edición Enterprise
- Idiomas: Inglés
- Soporte técnico: Documentación oficial en docs.pangolin.net, repositorio en GitHub y foros comunitarios
Cómo usar Pangolin
El primer paso para utilizar Pangolin es decidir el modelo de despliegue. La opción más rápida consiste en registrarse en Pangolin Cloud, el servicio gestionado oficial que elimina la necesidad de mantener infraestructura propia. Para quienes prefieren el control total, el autoalojamiento se realiza desplegando la pila de contenedores Docker en un VPS con IP pública. El script de instalación rápida automatiza todo el proceso: descarga los contenedores necesarios, configura Traefik como proxy inverso, solicita los certificados SSL y levanta el panel de administración en pocos minutos. Una vez completada la instalación, se accede al panel mediante la URL configurada y se crea la cuenta de administrador.
Con el panel en funcionamiento, el flujo de trabajo principal comienza añadiendo los recursos que se desean exponer. Desde la sección de recursos se pueden crear accesos a aplicaciones web, servidores SSH, bases de datos o rangos de red. Para cada recurso se define un nombre, el tipo de acceso y las políticas de autorización. A continuación, se despliega un conector de sitio en la red donde residen los servicios; este conector se instala como un binario o un contenedor y establece automáticamente el túnel con el servidor central. Los usuarios finales pueden entonces acceder a las aplicaciones web desde el portal Gerbil con su navegador, o bien instalar el cliente nativo correspondiente para acceder a recursos privados como SSH o RDP.
Entre las funciones avanzadas que conviene conocer se encuentra la posibilidad de integrar proveedores de identidad externos mediante SAML u OIDC, lo que permite a las empresas utilizar su directorio corporativo existente. También es posible habilitar las comprobaciones de postura de dispositivos desde la configuración de roles, exigiendo por ejemplo que todos los equipos conectados tengan el cifrado de disco activado y el firewall operativo. Los administradores pueden aprobar o denegar dispositivos individualmente desde el panel, y la función de huella digital impide que un usuario bloqueado recupere el acceso simplemente borrando sus credenciales locales.
Observaciones sobre el programa Pangolin
Pangolin se distingue de otras soluciones de acceso remoto por su naturaleza autoalojable y su independencia de infraestructuras de terceros. Mientras que servicios como Cloudflare Tunnels o Ngrok ofrecen funcionalidades similares de exposición de servicios, lo hacen operando como intermediarios que pueden inspeccionar el tráfico y que imponen límites de ancho de banda o requieren suscripciones de pago para usos avanzados. Pangolin elimina al intermediario: todo el tráfico pasa exclusivamente por el servidor que el propio usuario controla, lo que garantiza la soberanía de los datos y evita dependencias comerciales a largo plazo.
Uno de los beneficios prácticos más valorados por la comunidad de autoalojamiento es la eliminación de la necesidad de abrir puertos en el router doméstico o en el firewall corporativo. Gracias a los conectores de sitio con NAT traversal, Pangolin puede publicar servicios alojados detrás de conexiones de fibra con CGNAT, redes móviles o firewalls corporativos restrictivos sin requerir cambios en la configuración de red. Esta capacidad, combinada con la generación automática de certificados SSL y el balanceo de carga, convierte a la plataforma en una solución completa para exponer servicios de forma profesional incluso desde un entorno doméstico.
Pangolin es desarrollado por Fosrl LLC, una empresa respaldada por Y Combinator (lote S25) que se dedica a crear herramientas de infraestructura de código abierto. La compañía mantiene un modelo de licencia dual: la Edición Comunidad se distribuye bajo la licencia AGPL-3, lo que garantiza que el código fuente permanezca abierto y cualquier modificación deba ser compartida, mientras que la Edición Enterprise, bajo la Licencia Comercial Fossorial, ofrece funcionalidades adicionales de escalado y soporte profesional para organizaciones que las necesiten. La Edición Enterprise es gratuita para uso personal, aficionados y empresas con ingresos brutos anuales inferiores a 100.000 dólares estadounidenses.
La plataforma se actualiza con frecuencia, como demuestra el ritmo de publicaciones en su repositorio de GitHub. En apenas un año, el proyecto ha pasado de una versión beta inicial a una versión 1.15 estable que incluye clientes móviles, verificación de postura de dispositivos y un sistema de aprobación de hardware. El equipo de desarrollo mantiene una comunicación activa con la comunidad y publica notas de versión detalladas que documentan cada mejora y corrección de errores.
Pangolin está disponible en dos modalidades de despliegue: Pangolin Cloud, un servicio completamente gestionado que permite empezar en minutos sin preocuparse por la infraestructura, y la versión autoalojada, que se despliega mediante Docker Compose en un servidor propio. Esta flexibilidad permite que tanto usuarios noveles como administradores experimentados encuentren la modalidad que mejor se adapta a sus necesidades y recursos técnicos.
Limitaciones importantes
- ❌ El servidor de Pangolin solo puede ejecutarse nativamente en Linux, por lo que es necesario disponer de un VPS o servidor con este sistema operativo, aunque los clientes son multiplataforma.
- ❌ La documentación y la interfaz están disponibles únicamente en inglés, lo que puede suponer una barrera para usuarios que no dominen este idioma.
- ❌ Al ser un proyecto relativamente joven, ciertas funcionalidades avanzadas como las reglas de firewall dinámicas o el balanceo de carga entre múltiples servidores aún están en desarrollo activo.
Alternativa recomendada
Cloudflare Tunnel se presenta como la alternativa más consolidada dentro del mercado de túneles inversos para exponer servicios privados. Ofrece una capa gratuita generosa, integración con el ecosistema de seguridad de Cloudflare —incluyendo protección DDoS, WAF y CDN— y una configuración extremadamente sencilla a través de su cliente cloudflared.
La principal ventaja de Cloudflare Tunnels frente a Pangolin es la simplicidad absoluta y la ausencia de necesidad de mantener un servidor propio. Sin embargo, esta comodidad implica ceder el control del tráfico a un tercero y aceptar los límites de la capa gratuita. Para quienes priorizan la soberanía de sus datos, el control total de la infraestructura y la inexistencia de intermediarios en la ruta de datos, Pangolin representa la alternativa de código abierto más prometedora del ecosistema actual.
Sección FAQ
¿Pangolin es gratis o de pago?
Pangolin ofrece una Edición Comunidad completamente gratuita y de código abierto bajo licencia AGPL-3, que incluye todas las funcionalidades esenciales de proxy inverso, VPN y control de acceso. La Edición Enterprise, bajo licencia comercial, añade características avanzadas de escalado y soporte, pero es gratuita para uso personal, aficionados y empresas con ingresos brutos anuales inferiores a 100.000 dólares estadounidenses.
¿Funciona en Linux, macOS, Windows 10 y Windows 11?
El servidor de Pangolin se ejecuta exclusivamente en Linux, ya sea de forma nativa o a través de Docker. Los clientes de acceso, sin embargo, están disponibles para Windows (incluyendo Windows 10 y Windows 11), macOS, Linux, iOS y Android. Los usuarios de cualquier sistema operativo de escritorio o móvil pueden instalar el cliente correspondiente y conectarse a los recursos gestionados por la plataforma.
¿Qué diferencia a Pangolin de otras alternativas similares?
La principal diferencia de Pangolin frente a alternativas como Cloudflare Tunnels o Twingate es su naturaleza autoalojable y de código abierto. Mientras que los servicios comerciales operan como intermediarios en la ruta de datos y pueden imponer límites de uso o costes de suscripción, Pangolin se instala en un servidor propio y todo el tráfico permanece bajo el control exclusivo del usuario. Además, su modelo de confianza cero con control de acceso granular por recurso —no por red— supone un enfoque de seguridad más restrictivo y moderno que las VPN tradicionales.
¿Es complicado instalar Pangolin en un servidor propio?
No, la instalación de Pangolin está diseñada para ser rápida y sencilla. El script de instalación oficial automatiza el despliegue de todos los contenedores necesarios en un VPS con Ubuntu o Debian y configura el proxy inverso, los certificados SSL y el panel de administración en cuestión de minutos. Solo se requiere un servidor Linux con acceso root, una dirección IP pública, un nombre de dominio y los puertos 80 y 443 abiertos.
¿Puedo usar Pangolin para acceder a mi red doméstica desde fuera sin abrir puertos?
Sí, esa es precisamente una de las capacidades fundamentales de Pangolin. Los conectores de sitio establecen túneles salientes desde la red privada hacia el servidor de Pangolin, lo que permite acceder a servicios domésticos como un NAS, una impresora de red o un servidor multimedia sin necesidad de abrir puertos en el router ni de disponer de una dirección IP pública. El sistema de NAT traversal inteligente permite incluso atravesar conexiones con CGNAT, habituales en muchos proveedores de fibra residencial.