Использование Pano за Cloudflare

Если вы направляете трафик к вашей установке Pano через Cloudflare, потребуется несколько настроек — иначе сразу после завершения мастера установки вы можете столкнуться с бесконечными редиректами, ошибками 521/525/526 или сообщениями вида «эта страница не может правильно перенаправить».

В этом руководстве предполагается, что вы уже добавили свой домен в Cloudflare и направили A (или AAAA)-запись на сервер с Pano, при этом проксирование (оранжевое облако) включено.

Режим SSL/TLS должен быть Flexible

По умолчанию Pano обслуживает обычный HTTP на порту 80 и не терминирует TLS на источнике. Если режим шифрования Cloudflare установлен в Full или Full (strict), Cloudflare попытается обратиться к источнику по HTTPS — но Pano этот порт не слушает, и запрос завершится ошибкой.

Установите режим шифрования Flexible:

1. Откройте панель Cloudflare и выберите ваш сайт.
2. Перейдите в SSL/TLS → Overview (в новых панелях: SSL/TLS → Configuration).
3. Установите режим шифрования Flexible.

В режиме Flexible:

• Браузер ⇄ Cloudflare — зашифрованное соединение (HTTPS).
• Cloudflare ⇄ Pano — обычный HTTP на порту 80.

WARNING

Режим Flexible означает, что трафик между Cloudflare и вашим сервером не шифруется. Если сервер находится в публичной сети и обрабатывает чувствительные данные, предпочтительнее терминировать TLS на источнике (например, через reverse proxy Nginx или Caddy с сертификатом Let's Encrypt) и использовать Full (strict). См. Production-настройку.

Настройте website-url с https://

Хотя сам Pano работает по HTTP, конечные пользователи обращаются к сайту по HTTPS через Cloudflare. Убедитесь, что website-url отражает это — иначе письма для сброса пароля / подтверждения будут содержать ссылки http://, могут появляться циклы редиректов, а браузеры могут помечать смешанный контент как небезопасный.

Отредактируйте config.conf:

website-url = "https://vashdomen.com"

Сохраните изменения и перезапустите Pano.

Рекомендуемые настройки Cloudflare

В разделе SSL/TLS → Edge Certificates:

• Always Use HTTPS: Вкл. — перенаправляет любые запросы http:// на https:// на стороне Cloudflare.
• Automatic HTTPS Rewrites: Вкл. — переписывает ссылки http:// со смешанным содержимым на страницах, обслуживаемых через Cloudflare.

В разделе Rules → Page Rules (или Cache Rules в новых панелях): если вы включаете агрессивное кеширование, исключите панель администратора и пути API, чтобы динамические ответы никогда не отдавались из кеша.

Проверка

После применения настроек:

1. Подождите пару минут, пока изменения распространятся по Cloudflare.
2. Откройте ваш домен в приватном/инкогнито-окне браузера.
3. Вы должны увидеть действительный HTTPS-сертификат Cloudflare.
4. Pano должен загружаться без цикла редиректов, а письма о сбросе пароля — содержать ссылки https://.

Когда не следует использовать Flexible

Если требуется настоящее сквозное шифрование (рекомендуется для боевых окружений, обрабатывающих пользовательские данные), не используйте Flexible. Вместо этого:

1. Поставьте перед Pano reverse proxy (Nginx, Caddy, Traefik) с действительным TLS-сертификатом (Let's Encrypt подойдёт).
2. Установите режим шифрования Cloudflare в Full (strict).
3. Оставьте website-url = "https://..." в config.conf.

Так Cloudflare ⇄ Origin тоже будет шифроваться и проверяться по сертификату.

Нужна помощь?

• Посетите страницу FAQ
• Спросите в нашем Discord-сообществе
• Создайте issue на GitHub