NAP Latino

Publicado el 15 de julio de 2026 · Revisado el 15 de julio de 2026

Cómo Exponer de Forma Segura tu Open WebUI con Cloudflare Tunnel y ZTNA

Aprende paso a paso cómo usar Cloudflare Tunnel y la arquitectura de cero confianza (ZTNA) para exponer de forma segura tu instancia de Open WebUI al mundo, sin tener que abrir puertos en tu router ni arriesgar tu red al exponer tus servicios directamente a internet.

Tener un servidor de IA en tu red local es genial. Pero ¿y si quieres mostrarle a un colega tu último proyecto, compartir un modelo con un cliente, o acceder desde tu celular desde la calle? Exponer tu Open WebUI con docker-compose up -d y abrir puertos en tu router es la forma más rápida, y también la más peligrosa. Esta guía te muestra cómo hacerlo de la forma más segura posible en 2026: con Cloudflare Tunnel y una arquitectura de cero confianza.

Por qué no exponer tu puerto 3000 directamente

El problema con exponer puertos directos es que estás abriendo una puerta al mundo entero. Un firewall (como UFW en Linux) ayuda, pero no es infalible. La ingeniería social, ataques a credenciales débiles y explotaciones de software pueden pasar por alto estas defensas. El modelo de red "perimetral" es insuficiente.

Además, muchos de los que usan Windows Subsystem for Linux (WSL) para montar sus servidores de IA no tienen CGI bin disponible, una dependencia frecuente en web hosts que se intentan explotar para obtener ingreso residencial gratuito.

Qué necesitas

  • Un dominio (puede ser gratis, con Cloudflare)
  • Una cuenta en Cloudflare
  • Tu sistema Linux (Ubuntu/Debian recomendado)
  • Docker y Docker Compose instalado y funcionando
  • Una IP pública estable (recomendado, pero no estrictamente obligatorio)

Paso 1: Configura tu dominio en Cloudflare

Primero, registra un dominio o configura uno que ya poseas en Cloudflare. Accede a tu panel de Cloudflare, agrega el sitio y sigue los pasos de migración. Esto apuntará tu tráfico a través de la red de Cloudflare.

Paso 2: Configura una aplicación segura (Access) en Cloudflare

Dentro de tu cuenta en Cloudflare, crea una nueva aplicación en Zero Trust > Access > Applications. Elige "Self-hosted" y crea una regla de acceso. Puedes permitir acceso solo para tu cuenta de correo, o crear un "grupo de equipos/aprobación". Esto es la base de tu ZTNA.

Paso 3: Instalar e iniciar Cloudflared en tu servidor

Descarga el binario cloudflared directamente de Cloudflare. La versión recomendada para Linux amd64 es:

curl -sL https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64 -o cloudflared
curl -sL https://github.com/cloudflare/cloudflared/releases/download/2026.10.0/cloudflared-linux-amd64 -o cloudflared

Hazlo ejecutable:

chmod +x cloudflared

Paso 4: Iniciar el tunnel

Asegúrate de que tu Open WebUI esté en exec desde un docker-compose up -d, corriendo en el puerto 3000. Luego, ejecuta tu Cloudflared:

 ./cloudflared tunnel --url http://localhost:3000 --hostname openia.tudominio.com

Este comando crea un túnel cifrado desde tu servidor hasta la red perimetral de Cloudflare. Cuando se complete, verás un mensaje "Connected".

Paso 5: Configurar la política de acceso

Regresa al dashboard de Cloudflare. Configura una política de acceso sólida, como autenticar mediante correo y verificar el estado del dispositivo (requiere Zero Trust Pro o Enterprise). Sólo permite acceso a servicios administrativos críticos — como tu entorno Open WebUI — para usuarios verificados y dispositivos sanos. Tienes control total sobre quién puede acceder.

Conclusión

Ahora tienes tu servidor de IA personal accesible desde cualquier parte del mundo a través de https://openia.tudominio.com o el subdominio que hayas elegido, y todo el tráfico pasa por Cloudflare con autenticación ZTNA. No expones puertos, no tienes que preocuparte por aprovechar resistencia CGI, y tienes políticas de acceso robustas para gobernar quién se conecta.

Esta arquitectura representa el estándar moderno para exponer servicios personales: seguro, fácil de gestionar, y por diseño ético. Es la diferencia entre "Yo acabo de entrar a tu red" y "acabo de pasar una verificación de acceso confiable".

Serás más productivo con un servidor dedicado que te responda en 1ms: adquiere ahora tu servidor dedicado.