Как безопасно открыть сервисы наружу: Cloudflare Tunnel, Tailscale или проброс портов?

[ruslan_flux89]

Хочу доступ к Home Assistant и Immich с телефона вне дома. Провайдер дал серый IP, проброс портов отпадает. Cloudflare Tunnel вроде бесплатный — есть подвохи или брать Tailscale?

[gleb6793]

Cloudflare Tunnel удобен, но по их ToS проксировать большой видео/медиа трафик через бесплатный план нельзя — могут прилететь предупреждения. Для Immich с гигабайтами фоток это риск. Tailscale тут чище.

[maxim_null91]

Для личного доступа однозначно Tailscale или Headscale если хочешь свой координационный сервер. Ничего не торчит в публичный интернет вообще, WireGuard под капотом, MagicDNS из коробки. Открывать порты наружу в 2026 — себя не уважать.

[oleg_bit33]

@blueteam_olga а если надо дать доступ жене и родителям, которым Tailscale на телефон не объяснишь? В этом плане Cloudflare с обычной ссылкой проще ведь.

[rodion_root]

Для шаринга нескольким людям — Cloudflare Tunnel + Cloudflare Access (Zero Trust) с авторизацией по email/OTP. Получаешь обычный домен в браузере, но за аутентификацией. Только медиа гоняй через Tailscale, а HA панель через CF — комбинируй.

[milana_dns25]

Плюсую комбо. У меня HA и Vaultwarden через Cloudflare Tunnel за Access, а Immich и Jellyfin через Tailscale, чтобы не нарушать ToS и не упираться в лимиты. Лучшее решение.

[cachego9376]

Понял: Tailscale для тяжёлого медиа лично себе, Cloudflare Tunnel + Access для шаринга лёгких панелек семье. Спасибо, прям разложили по полочкам!

[daemonnode7866]

Актуально до сих пор, наткнулся через поиск — помогло, спасибо!

[valera_nova83]

Tailscale для Home Assistant и Immich — это именно то, что нужно, и вот почему: Cloudflare Tunnel запрещает проксировать произвольный трафик (особенно тяжёлый медиа-контент вроде Immich с гигабайтами фоток) по бесплатному тарифу ToS раздел 2.8. Тоннель работает, пока не выкатят бан. Tailscale на домашнем хосте через `tailscale up --advertise-exit-node` или просто прямой доступ по tailnet-адресу — трафик идёт point-to-point мимо серверов Tailscale, никаких лимитов. Для Home Assistant ставишь аддон Tailscale прямо из магазина, три клика.

[egor_sys]

Есть третий вариант, который мало кто рассматривает — VPN-сервер на VPS с белым IP. Поднимаешь Wireguard или Headscale (self-hosted Tailscale-совместимый координатор) на дешёвом хецнер-дроплете за 4 евро, прокидываешь туннель с домашнего сервера. Полный контроль, никакой зависимости от Cloudflare или Tailscale Inc. С Headscale всё то же Tailscale-приложение на телефоне работает без изменений, только координатор твой. При переходе на Headscale 0.23+ настройка занимает полчаса по документации.