π‘οΈ Zero Trust Networking untuk Homelab: ZeroTier, Cloudflared, dan Twingate
π Pendahuluan
Dalam dunia homelab atau server rumahan, kebutuhan untuk mengakses layanan secara remote menjadi semakin penting. Namun, membuka port langsung ke internet adalah undangan terbuka bagi risiko keamanan. Oleh karena itu, saya beralih ke model Zero Trust Network Access (ZTNA).
Saya sudah mencoba dan menggunakan tiga tools utama untuk Zero Trust:
- ZeroTier β virtual LAN berbasis overlay
- Cloudflared Tunnel β reverse proxy aman dari Cloudflare
- Twingate β VPN modern berbasis identitas dan policy
Artikel ini membahas secara menyeluruh pengalaman saya dengan ketiga tools tersebut, bagaimana saya menggunakannya di homelab, kelebihan, kekurangan, dan panduan setup secara umum.
βοΈ Apa Itu Zero Trust?
Zero Trust adalah pendekatan keamanan jaringan yang tidak secara otomatis mempercayai perangkat atau user, baik di dalam maupun di luar jaringan. Prinsipnya:
- "Never trust, always verify"
- Autentikasi dan otorisasi dilakukan sebelum akses diberikan
- Akses dibatasi hanya ke aplikasi/layanan tertentu
- Tidak ada akses menyeluruh ke jaringan
Zero Trust sangat cocok untuk homelab karena kita sering:
- Mengakses dari luar rumah
- Menyimpan data sensitif (project pribadi, backup, dll)
- Menggunakan perangkat yang berbeda (laptop, HP, tablet)
𧱠Perbandingan 3 Tools Zero Trust yang Saya Gunakan
| Fitur | ZeroTier | Cloudflared Tunnel | Twingate |
|---|---|---|---|
| Tipe | VPN Overlay | Reverse Tunnel + Proxy | Private Access Gateway |
| Model Akses | Jaringan | Aplikasi / Layanan | Aplikasi / Per User |
| Autentikasi | Manual via Web UI | Cloudflare Auth / Token | Identity-based (SSO) |
| OS Client Support | All major OS | Browser-based / CLI | Desktop & Mobile apps |
| Self-hosted or Managed? | Semi-self-hosted | Managed by Cloudflare | Managed by Twingate |
| Setup Kemudahan | Mudah | Mudah | Mudah (via Web + Agent) |
| Keamanan | Baik | Sangat baik (Cloudflare WAF) | Sangat baik + policy |
| Cocok untuk Homelab? | β Ya | β Ya | β Ya |
π 1. ZeroTier: Jaringan Virtual Overlay
ZeroTier membuat jaringan overlay virtual yang memperlakukan semua perangkat seperti dalam satu LAN.
π§° Cara Setup Umum:
- Daftar di https://my.zerotier.com
- Buat jaringan virtual baru (misalnya
8056c2e21c000001) - Install ZeroTier di server:
curl -s https://install.zerotier.com | sudo bash - Join jaringan:
sudo zerotier-cli join NETWORK_ID - Approve node dari dashboard
β Kelebihan:
- Bisa akses antar perangkat tanpa port forwarding
- Seperti VPN, tapi lebih ringan
- Mendukung IPv6 & routing antar subnet
- Bisa bridging ke jaringan fisik (advanced)
- Open-source core
β Kekurangan:
- Kadang latency lebih tinggi dari WireGuard
- Kadang delay approve node
- Tidak granular per layanan (semua perangkat dalam satu LAN)
π¦ Use Case Saya:
- Akses Proxmox, Samba NAS, dan Gitea dari luar rumah
- Akses CCTV via RTSP langsung
- Menghubungkan server ARM64 dan x86_64 secara private
βοΈ 2. Cloudflared Tunnel: Reverse Proxy Aman
Cloudflared adalah tunnel terenkripsi antara server lokal dan jaringan Cloudflare. Tanpa membuka port!
π§° Cara Setup Umum:
- Buat akun Cloudflare + tambahkan domain
- Install
cloudflareddi server lokal - Login:
cloudflared login - Buat tunnel:
cloudflared tunnel create my-tunnel - Tambahkan service di config.yml:
tunnel: my-tunnel
credentials-file: /home/user/.cloudflared/my-tunnel.json
ingress:
- hostname: gitea.domain.com
service: http://localhost:3000
- service: http_status:404- Jalankan:
cloudflared tunnel run my-tunnel
β Kelebihan:
- Akses HTTP/HTTPS tanpa port forwarding
- HTTPS otomatis dengan sertifikat Cloudflare
- Bisa pakai autentikasi Cloudflare Access (SSO, OTP)
- Integrasi WAF dan caching Cloudflare
- Mendukung multiple layanan sekaligus
β Kekurangan:
- Tidak support TCP atau UDP selain HTTP/HTTPS
- Perlu domain di Cloudflare
- Konfigurasi bisa rumit jika banyak layanan
π¦ Use Case Saya:
- Akses
gitea.domain.com,media.domain.com, dannas.domain.com - Menyembunyikan panel admin Proxmox dari publik
- Pakai autentikasi Cloudflare Access untuk login
π 3. Twingate: Zero Trust VPN Modern
Twingate bekerja seperti VPN, tapi berbasis identitas dan lebih granular dalam mengatur akses.
π§° Cara Setup Umum:
- Daftar akun Twingate di https://www.twingate.com
- Install Connector di salah satu server dalam jaringan lokal
- Tambahkan Resource: misalnya
192.168.1.10:3000 - Install client di laptop/HP dan login via Google/Microsoft
- Akses langsung dari browser/aplikasi lokal
β Kelebihan:
- Tidak butuh port forwarding
- Autentikasi pakai SSO (Google, GitHub, dll)
- Granular: per user bisa akses layanan tertentu saja
- Tidak seperti VPN tradisional, koneksi hanya aktif saat diperlukan
- Dashboard sangat intuitif
β Kekurangan:
- Closed-source, freemium
- Versi gratis hanya mendukung 5 pengguna & 2 koneksi gateway
- Tidak cocok untuk protokol broadcast/multicast seperti SMB
π¦ Use Case Saya:
- Akses ke Gitea hanya untuk user tertentu
- Akses dari HP Android ke NAS tanpa perlu VPN
- Mengatur role-based access ke berbagai layanan
π§ Analisis Kapan Menggunakan yang Mana?
| Kebutuhan | Tool Paling Cocok |
| Akses semua layanan lokal seperti LAN | ZeroTier |
| Akses web app dengan autentikasi (tanpa port) | Cloudflared Tunnel |
| Akses berbasis identitas dan policy | Twingate |
| Integrasi dengan domain publik dan HTTPS otomatis | Cloudflared |
| Setup cepat & ringan | ZeroTier |
| Kontrol user per aplikasi (role-based access) | Twingate |
| Kombinasi RTSP + Web App + Admin Panel | ZeroTier + Cloudflared |
Saya sendiri menggabungkan ketiganya:
- ZeroTier β untuk semua akses jaringan internal
- Cloudflared β untuk reverse proxy publik + proteksi
- Twingate β untuk akses granular ke user tertentu
β¨ Penutup: Zero Trust di Homelab itu Mungkin
Dengan tool yang tepat, kita bisa:
- Akses homelab dari mana saja
- Tanpa membuka port router
- Dengan enkripsi end-to-end
- Dan kontrol akses berbasis identitas
ZeroTier, Cloudflared, dan Twingate bukan hanya tools; mereka adalah bagian dari strategi keamanan homelab modern saya.
Kalau kamu ingin bantuan setup, integrasi dengan Docker, ataupun ingin monitoring untuk semua akses, saya siap bantu. Dan yang terpenting:
Jangan tunggu sampai insiden terjadi β bangun sistem Zero Trust sejak awal! π‘οΈπ§ π