在 IPv4 资源日益枯竭的今天，每一个 HomeLab 玩家和 VPS 爱好者都面临着共同的困境：家庭宽带没有公网 IP，廉价的 NAT VPS 只开放了几个随机的高位端口。传统的穿透方案如 FRP、Ngrok 不仅配置繁琐，还需要依赖一台额外的中转服务器，既费钱又受限于中转机的带宽瓶颈。
难道没有一种既免费、速度尚可，又能直接使用标准 443 端口提供 HTTPS 服务的方案吗？

有的兄弟，有的！答案就是 Cloudflare Tunnel。

Cloudflare Tunnel是Cloudflare免费提供的内网穿透+反向代理工具，核心优势是无需公网IP、免端口映射，通过加密隧道让内网服务（如WordPress、SSH）对接Cloudflare边缘网络。适合无公网IP、不想折腾端口映射的场景。

它彻底颠覆了传统的“入站连接”模式，通过一条加密的出站隧道，将你深藏在内网的服务直接暴露给全世界，同时还能享受到 Cloudflare 强大的 CDN 加速和 Zero Trust 安全防护。今天，我们就来通过“保姆级”的步骤，手把手教你榨干 Cloudflare Tunnel 的每一滴价值。

准备工作

1.cloudflare的账号

2.托管到cloudflare的域名

创建隧道

首先登录到Cloudflare One的控制台 ，点击网络-连接器进入，创建一个隧道，选择Cloudflared，同时为你的隧道命名。

一般情况推荐docker安装，方便管理的同时还容易监控，但偶尔会出现访问域名提示回源证书验证失败等问题。如果出现这个问题就按照不同系统的安装命令安装吧

这玩意也看脸，我的本地服务器没问题，nat机经常出现这个问题…..

在页面下方的Connectors出现设备时说明你已经成功安装了Cloudflare Tunnel

绑定域名与服务

在创建并安装完成隧道后我们就可以绑定域名了，在此界面下填写你想要访问的域名以及内网的服务域名

在添加完后回到Cloudflare Tunnel主页可以看到我们刚创建的隧道，点击右边的三点后选择配置即可随时添加删除绑定的服务。

常见故障排查

问题 1：访问域名显示 “502 Bad Gateway”

1. 原因：Tunnel 连上了 Cloudflare 边缘，但 Tunnel 连不上你本地的服务。
2. 排查：
   1. 检查 Service URL 里的 IP 和端口对不对。
   2. 在服务器上curl -v http://127.0.0.1:端口 看看本地服务是不是挂了。
   3. 如果是 HTTPS 服务，检查是否开启了 No TLS Verify。
   4. 如果是 Docker，检查网络是否隔离。

问题 2：Docker 容器无限重启

1. 原因：通常是 Token 复制错了，或者架构不对（ARM 架构拉了 AMD64 的镜像）。
2. 解决：查看日志 docker logs cloudflared-tunnel，通常会有明确报错。

问题 3：访问速度慢

1. 原因：Cloudflare 对中国大陆方向的路由是减速 CDN（通常绕美西）。
2. 优化：这属于网络层面的物理限制。可以尝试在 Cloudflare 后台 -> Network -> 开启 QUIC 和 0-RTT，能稍微优化握手速度。但想要跑满带宽看 4K，建议还是配合优选 IP，详情请查看本博客的Cloudflare优选IP教程。