Quante volte hai digitato cloudflared tunnel sapendo, in fondo, che stavi consegnando le chiavi del tuo homelab a un'azienda che potrebbe cambiare i termini di servizio domani mattina? Cloudflare ti regala il tunnel — ma possiede la chiave. E se ti dicessi che con 4 euro al mese di VPS potresti riprenderti il controllo completo, con WireGuard, autenticazione granulare e zero porte aperte sul router?
Cos'è Pangolin e perché importa
Pangolin è una piattaforma open-source che combina reverse proxy, VPN WireGuard e autenticazione identity-aware in un unico stack self-hosted. Fondato dai fratelli Owen e Milo Schwartz sotto Fossorial Inc. — accelerati da Y Combinator nell'estate 2025 — il progetto ha raccolto 19.500 stelle su GitHub, 84 contributor e oltre 5.100 commit in poco più di un anno. La release attuale è la 1.16.2, datata 28 febbraio 2026. Il nome del progetto e dei suoi componenti segue un tema zoologico: animali scavatori, creature che costruiscono tunnel sottoterra. Una metafora azzeccata per software che fa esattamente questo con il traffico di rete.
Il codice è al 98% TypeScript, con Go per la gestione dei tunnel — una scelta che rende il progetto accessibile a una community enorme di sviluppatori web.
Cinque animali, un tunnel
L'architettura di Pangolin si divide in cinque componenti con nomi che sembrano usciti da un documentario BBC Earth:
- Pangolin — il control plane, costruito con Next.js. Dashboard web, gestione siti, utenti, policy di accesso
- Gerbil — il tunnel manager WireGuard lato server. Gestisce le interfacce, le chiavi e il routing
- Newt — il client edge che gira nel tuo homelab. WireGuard in userspace, nessuna porta da aprire, tutto traffico outbound
- Badger — il middleware di autenticazione per-request. SSO/OIDC, password + 2FA, PIN a 6 cifre, link temporanei, email OTP
- Traefik — il reverse proxy e router HTTP/HTTPS, integrato come componente dell'ecosistema
