4 lựa chọn thay thế Cloudflare Tunnel miễn phí và mã nguồn mở đáng cân nhắc

Cloudflare Tunnel khá tiện khi bạn muốn đưa dịch vụ nội bộ ra ngoài mà không cần mở port trực tiếp trên router hoặc VPS. Cách làm gọn, tích hợp tốt với hệ sinh thái Cloudflare và hợp với nhiều nhu cầu từ homelab tới môi trường nhỏ. Nhưng nếu bạn muốn tự chủ hơn, ít phụ thuộc hơn hoặc chỉ đơn giản là muốn một lựa chọn phù hợp hơn với hạ tầng riêng, vẫn có vài công cụ đáng cân nhắc.

Trong bài này, mình chỉ giữ đúng một mặt bằng so sánh: các công cụ miễn phí hoặc mã nguồn mở, có thể tự host và phục vụ bài toán reverse tunnel hoặc publish dịch vụ nội bộ. Mỗi công cụ có triết lý khác nhau, nên thay vì cố tìm một bản sao hoàn chỉnh của Cloudflare Tunnel, tốt hơn là xem công cụ nào hợp với cách triển khai của bạn.

Khi nào nên tìm lựa chọn thay thế Cloudflare Tunnel

Cloudflare Tunnel hợp khi bạn đã dùng Cloudflare và muốn dựng nhanh một đường hầm cho website, dashboard hoặc ứng dụng nội bộ. Nhưng có vài tình huống khiến người dùng muốn nhìn sang công cụ khác. Ví dụ, bạn muốn tự kiểm soát toàn bộ tunnel server. Hoặc bạn cần một giải pháp ít ràng buộc hơn với một nhà cung cấp cụ thể. Hoặc bạn đang chạy homelab và chỉ cần một công cụ nhẹ, dễ nắm cấu hình hơn.

Nếu định tự host reverse tunnel hoặc gateway public cho dịch vụ nội bộ, bạn nên chuẩn bị một Pro VPS hoặc X-Platinum VPS làm điểm trung gian. Đây thường là cách đơn giản nhất để giữ kết nối ổn định và dễ quản lý.

frp: lựa chọn mạnh nếu bạn muốn toàn quyền với reverse tunnel

frp là một trong những cái tên dễ nhắc tới nhất khi nói về reverse tunnel tự host. Công cụ này đã có mặt khá lâu, được nhiều người dùng và linh hoạt ở nhiều kiểu kết nối khác nhau. Nếu điều bạn muốn là một giải pháp mạnh, có nhiều kiểu forwarding và không phụ thuộc vào nền tảng bên ngoài, frp là ứng viên rất đáng xem.

Điểm mạnh của frp là khả năng kiểm soát. Bạn tự dựng server, tự quản tunnel và tự quyết mô hình triển khai. Với sysadmin hoặc dev đã quen làm việc với file cấu hình, đây là lợi thế lớn. frp hợp với môi trường lab, homelab, reverse proxy cho ứng dụng nội bộ, hoặc cả các mô hình publish service ra Internet có kiểm soát.

Điểm đổi lại là mức độ kỹ thuật cao hơn Cloudflare Tunnel. frp không cho bạn một hệ sinh thái edge, DNS, WAF hoặc access control đi kèm sẵn. Nếu bạn thích kiểu “bật lên rồi dùng”, frp sẽ đòi hỏi nhiều công tự vận hành hơn.

Rathole: gọn, nhanh và hợp cho tunnel đơn giản

Rathole phù hợp với người thích một công cụ gọn và tập trung vào đúng việc tạo tunnel. So với frp, Rathole thường được nhắc nhiều ở góc nhẹ, ít thành phần và hiệu năng tốt. Nếu nhu cầu của bạn không quá rộng, đây là một lựa chọn rất dễ đưa vào danh sách cần thử.

Điểm hay của Rathole là không cố trở thành quá nhiều thứ cùng lúc. Nó phù hợp khi bạn chỉ cần một đường hầm rõ ràng giữa máy ở trong và máy ở ngoài, không cần thêm nhiều lớp tính năng đi kèm. Với người đã có reverse proxy hoặc lớp bảo mật riêng, cách tiếp cận này khá hợp lý.

Điểm hạn chế là hệ sinh thái và phạm vi tính năng không rộng bằng frp, càng không thể so với một dịch vụ tích hợp như Cloudflare Tunnel. Vì vậy, Rathole hợp với nhu cầu tunnel gọn, chứ không phải lựa chọn thay thế toàn bộ hệ sinh thái Cloudflare.

Boringproxy: hợp với homelab và nhu cầu publish web app cá nhân

Boringproxy là một lựa chọn dễ hợp với người chơi homelab hoặc đang tự host ứng dụng cá nhân. Nó không cố trở thành một nền tảng bảo mật edge quy mô lớn, mà đi theo hướng đơn giản hơn: giúp bạn public dịch vụ nội bộ ra ngoài theo cách dễ hiểu và gọn gàng hơn.

Điểm mạnh của Boringproxy nằm ở chỗ dễ hình dung use case. Nếu bạn đang chạy một dashboard, một app cá nhân hoặc một vài dịch vụ cần mở ra Internet cho nhóm nhỏ, đây là kiểu công cụ khá thực dụng. Nó hợp với những người muốn bớt ma trận cấu hình mà vẫn tự host được.

Điểm hạn chế là quy mô cộng đồng và chiều sâu tính năng không thể so với Cloudflare Tunnel hoặc frp. Vì vậy, nếu bạn đang cần nhiều lớp kiểm soát hơn, Boringproxy sẽ hợp với môi trường nhỏ hơn là hệ thống production nghiêm ngặt.

zrok: đáng cân nhắc nếu bạn muốn cách chia sẻ dịch vụ hiện đại hơn

zrok là một cái tên khá thú vị vì nó không chỉ nói về tunnel theo kiểu cũ, mà còn đi theo hướng chia sẻ dịch vụ nội bộ, private app và endpoint theo một mô hình hiện đại hơn. Đây là lựa chọn đáng chú ý nếu bạn không chỉ cần “mở một cổng ra ngoài”, mà còn muốn một trải nghiệm quản lý và chia sẻ có tính sản phẩm hơn.

Điểm mạnh của zrok là cách tiếp cận khá mới và dễ mở rộng use case. Nó hợp với dev, team nhỏ hoặc môi trường lab cần chia sẻ service nhanh mà vẫn muốn giữ khả năng tự host. Trong một số tình huống, zrok cho cảm giác gần với workflow hiện đại hơn là chỉ tunnel thuần.

Điểm cần cân nhắc là zrok không phải bản thay thế trực tiếp theo kiểu “Cloudflare Tunnel nhưng mã nguồn mở hoàn toàn ở mọi lớp”. Muốn dùng hiệu quả, bạn vẫn nên hiểu rõ nhu cầu của mình nằm ở chỗ nào: reverse tunnel đơn giản, chia sẻ ứng dụng nội bộ hay một mô hình hybrid giữa self-host và managed.

Nên chọn công cụ nào

• Chọn frp nếu bạn muốn kiểm soát mạnh, nhiều kiểu tunnel và không ngại cấu hình kỹ thuật.
• Chọn Rathole nếu bạn cần một giải pháp tunnel gọn, nhanh, ít thành phần.
• Chọn Boringproxy nếu bạn đang chạy homelab hoặc vài web app cá nhân và muốn cách publish dịch vụ đơn giản hơn.
• Chọn zrok nếu bạn cần một cách chia sẻ dịch vụ nội bộ hiện đại hơn, linh hoạt hơn tunnel truyền thống.

Cloudflare Tunnel vẫn là lựa chọn rất tiện nếu bạn đã ở trong hệ sinh thái Cloudflare và muốn đi nhanh. Nhưng nếu ưu tiên tự chủ hạ tầng hoặc muốn một mô hình khác hợp hơn với lab, homelab hay môi trường tự host, bốn công cụ trên đều đáng xem. Chốt lại, hãy nhìn vào cách bạn muốn vận hành lâu dài, không chỉ nhìn vào việc tool nào dựng lên nhanh nhất.

Nếu bạn định tự host reverse tunnel gateway trên VPS, hãy dành thời gian làm kỹ phần bảo mật: firewall, xác thực, giám sát và backup cấu hình. Đây là chỗ nhiều người dựng xong tunnel rồi mới bắt đầu lo đến chuyện kiểm soát truy cập, trong khi đáng ra phải nghĩ từ đầu.