Pangolin 是一款开源零信任访问平台,浏览器直连免装客户端即可访问内网 Web 应用,SSH/数据库/RDP 通过 WireGuard 隧道一网打尽。Hub-Spoke 模式数据不经过中转服务器,支持完全自托管,AGPLv3 协议,19k Stars,全平台客户端通吃。
🎤 引言
你有没有遇到过这种情况:内网跑着几个服务,想安全地开放给外包或者合作方,结果折腾了半天 frp 配置,最后还是觉得不够体面?
Pangolin 这个项目最近在 GitHub 拿到了 19k Stars,它解决的就是这个问题——零信任访问平台,把内网服务安全地暴露给特定的人,不需要暴露公网端口,不需要复杂配置。
⭐ 核心功能
1. 浏览器直连:免装客户端访问 Web 应用
这是最实用的功能。Pangolin 内置了一个身份感知的反向代理,只要在内网部署一个 Site,把 Web 应用注册为资源,用户打开浏览器登录 Pangolin 就能直接访问——不需要装任何客户端。
可以配自定义域名,自动签 SSL 证书。不同资源还能设置不同的认证策略:SSO、邮箱白名单、PIN 码都行。给外包开权限这种场景,简直不要太方便。
2. 私有资源访问:SSH、数据库、RDP 一网打尽
SSH 服务器、MySQL、PostgreSQL、Windows 远程桌面……这些不是 HTTP 的东西,通过 Pangolin Client 的 WireGuard 隧道直接打通。每个资源可以设 DNS 别名,比如把 192.168.1.210 起个别名 db-prod.my-org.internal,连上就能用。多个站点的资源可以同时在线,不同子网之间也不会冲突。
3. 零信任访问控制
Pangolin 的权限模型是资源导向的,不是网络导向的。你说"运维组的张三可以访问 prod-db,开发组的李四只能访问 staging-api",就这么简单。支持角色、组、设备安全策略(操作系统版本、磁盘加密之类的 posture check)。还支持 OIDC SSO,接 Google Workspace、Okta、Authentik 都没问题。默认 deny all,不主动开权限什么都能访不了。
4. 完全可自托管
这是跟 Tailscale 最大的区别。Pangolin Server + 所有客户端,AGPLv3 全开源。可以跑在自己的 VPS、家庭服务器、企业机房里,数据完全不出你的掌控。当然如果不想自己运维,也可以用他们的 Cloud 版,免费额度相当慷慨。
📥 安装与使用
Docker 部署(推荐)
# 拉取镜像
docker pull fosrl/pangolin
# 启动服务
docker run -d \
--name pangolin \
--restart always \
-p 443:443 \
-p 3478:3478/udp \
-v pangolin-data:/var/lib/pangolin \
fosrl/pangolin启动后访问 https://你的域名/auth/initial-setup 完成初始化就行。
客户端下载
支持 macOS、Windows、Linux、iOS、Android 全平台,在 pangolin.net/downloads 下载对应客户端。
快速上手流程
- 服务器端部署 Pangolin(Docker 或二进制)
- 配置 DNS,指向服务器 IP
- 访问管理后台,完成初始设置
- 下载客户端,登录后即可访问内网资源
⚠️ 注意事项
- 部署需要 443 和 3478 端口,确保防火墙开放
- 首次启动会从官网拉取 GeoIP 数据库,国内网络可能较慢
- 自托管需要自己维护更新,Cloud 版省心但数据在别人那里
- 权限配置要仔细,默认 deny all 别忘了开
✅ 总结
Pangolin 把零信任远程访问这个方向做对了——身份驱动的资源访问、反向代理 + VPN 一体、全栈开源可自托管。
如果你是独立开发者或者小团队,内网有几个服务需要安全地暴露给特定的人,Pangolin 值得一试。比折腾 frp 配置文件体面多了。