Cloudflared

Es gibt keinen einzigen offenen Port auf mana-server. Keine 443, keine 80, keine 22 von außen. Stattdessen läuft ein Cloudflared-Daemon auf der Maschine, der eine ausgehende Verbindung zu Cloudflare aufbaut und Anfragen rückwärts durch diesen Tunnel zustellt.

Warum nicht offene Ports? Weil jede offene Port-Definition eine laufende Wartungsaufgabe ist (Firewall-Regeln, Fail2Ban, DDoS-Mitigation, TLS-Cert-Renewal). Der Tunnel macht diese Probleme verschwinden, ohne dass wir bei einem Anbieter „Server mieten”.

Was Cloudflare sieht: die TLS-Terminierung. Wer auf memoro.mana.how zugreift, terminiert TLS an einem Cloudflare-Edge-Node. Der Inhalt der Anfrage wird dann durch den Tunnel an die Mac-Mini- Container weitergereicht.

Was Cloudflare nicht sieht: Service-Logik, Datenbankinhalte, Stripe-Webhook-Signaturen. Was die Apps an die Datenbanken schreiben, ist Verein-Sache.

Verfügbarer Pfad zur Ablösung: Caddy mit Let’s Encrypt auf einer öffentlichen IP würde dieselbe Aufgabe leisten. Mit höherem Pflege-Aufwand, aber ohne Cloudflare-Abhängigkeit. Wir behalten das als Plan B in der Schublade. Siehe auch cloudflare-dns als zweite Cloudflare-Schicht.