Comparison
12 min read
26 views

ngrok vs. bore: Vergleich eines Enterprise-Gateways mit einem minimalistischen TCP-Tunnel

IT
InstaTunnel Team
Published by our engineering team
ngrok vs. bore: Vergleich eines Enterprise-Gateways mit einem minimalistischen TCP-Tunnel

Current comparison

Looking for the main ngrok alternative guide?

We keep the latest ngrok alternative comparison, CLI commands, pricing notes, and webhook examples on one canonical page.

Open the InstaTunnel ngrok alternative guide

Quick answer

ngrok vs bore: Das ultimative minimalistisches Rust-Tunneling-Tool: quick comparison answer

Choose the tunnel tool based on the network model: public HTTPS URLs for webhooks and demos, private mesh access for internal apps, and managed infrastructure when policy controls matter most.

Which tunnel tool is best for public webhook testing?

Use a public HTTPS localhost tunnel with stable URLs. InstaTunnel focuses on webhook testing, demos, OAuth callbacks, and MCP endpoint workflows.

When should I choose a private network tool instead?

Choose a private mesh or Zero Trust tool when every user and service should stay inside a controlled private network.

Das öffentliche Zugänglichmachen eines lokalen Entwicklungsservers bedeutete früher Router-Konfiguration, NAT-Traversal-Workarounds und dynamisches DNS. Dann kam ngrok, das Entwicklern ermöglichte, eine localhost-Umgebung in Sekundenschnelle zu einem öffentlichen URL zu tunneln. Über Jahre war es die Standardlösung für lokale Portweiterleitung.

Doch ngrok hat sich vom einfachen Entwickler-Tool zu einem vollständigen Cloud-Edge-Netzwerk entwickelt — API-Gateways, KI-Verkehrsrouting, OAuth-Schichten, WAFs und ein entsprechend umfangreicheres Dashboard sowie Preismodelle. Dieses Wachstum hat einige Entwickler zu kleineren, zweckorientierten Alternativen geführt. Eine der beliebtesten ist bore, ein in Rust geschriebener TCP-Tunnel, der genau eine Sache tut: einen lokalen Port an einen öffentlichen Endpunkt weiterleiten, ohne Dashboard und ohne Konto.

Dieses Handbuch vergleicht die beiden direkt: Architektur, Funktionen, Sicherheitsmodell, Preise und Einrichtung, basierend auf ngrok-eigener Dokumentation sowie bore-Quellcode und Release-Historie.

1. Das Kernproblem: Warum Tunneling-Tools existieren

Wenn du eine Anwendung auf localhost:3000 laufen lässt, ist sie nur von deinem eigenen Rechner aus erreichbar. NAT und Firewall deines Routers blockieren standardmäßig eingehenden Traffic vom öffentlichen Internet. Wenn du eine Demo für einen Kunden zeigen, eine mobile App gegen eine lokale API testen oder Webhooks von Stripe oder GitHub empfangen möchtest, brauchst du eine öffentliche URL, die den Traffic zurück zu deinem Rechner leitet.

Tunneling-Tools lösen das mit einer outbound-initiierten Verbindung: Ein Client auf deinem Rechner verbindet sich nach außen zu einem öffentlichen Server (den deine Firewall erlaubt, da es eine ausgehende Verbindung ist), und dieser Server leitet eingehenden öffentlichen Traffic durch den Tunnel zurück. Sowohl ngrok als auch bore verwenden diese Grundarchitektur — was sich unterscheidet, ist alles, was darauf aufbaut.

2. ngrok: Das API- und KI-Gateway

Erstellt von Alan Shreve und seit 2013 aktiv, begann ngrok als einfaches Tunneling-Utility und hat sich inzwischen zu einer All-in-One-Netzwerkschicht entwickelt — Endpunkte, Traffic-Policy und sichere Tunnel, zusammengefasst als ein Gateway für KI-, API- und Web-Traffic.

Was ngrok heute bietet

  • Traffic Policy: Eine auf CEL-Ausdrücken basierende Regeln-Engine, die am ngrok-Rand läuft — Routing, Authentifizierung, Ratenbegrenzung und Transformation werden als YAML an einen Endpunkt angehängt, statt in nginx oder Lua konfiguriert.
  • API-Gateway-Funktionen: JWT-Validierung, OAuth/OIDC/SAML, mTLS, IP-Whitelist und eine WAF mit verwalteten Regeln, die die OWASP Top 10 abdecken — alles vor dem Traffic, der dein Origin erreicht.
  • AI Gateway: Eingeführt im Early Access seit Dezember 2025 unter der Domain ngrok.ai. Es sitzt zwischen deiner Anwendung und einem oder mehreren LLM-Anbietern, leitet Anfragen an OpenAI, Anthropic, Google oder selbst gehostete Modelle (z.B. Ollama, vLLM), mit automatischem Failover, PII-Reduktion bei Anfragen und Response-Sanitization — alles über die gleiche Traffic-Policy-Engine wie für regulären HTTP-Traffic.
  • Web-Inspection und Replay: Ein lokaler und dashboard-basierter Inspector, der HTTP-Anfragen aufzeichnet und wiedergibt, nützlich beim Debuggen von Webhooks.
  • Kubernetes Operator: Nutzt standardisierte Ingress- und Gateway-API-Ressourcen und wandelt sie automatisch in ngrok-Endpunkte und Policies um.

Ngrok’s kostenloses Kontingent, präzise

Ngrok’s eigene Preisdokumentation (Stand Mitte 2026) listet folgende Limits im kostenlosen Tarif:

Ressource Limit im kostenlosen Tarif
Online-Endpunkte Bis zu 3
Gleichzeitige Agents 3
Datenübertragung nach außen 1 GB/Monat
HTTP-Anfragen 20.000/Monat
TCP/TLS-Verbindungen 5.000/Monat
HTTP-Anfrage-Rate 4.000/min
Webhook-Verifizierungen 500/Monat

Hier eine Korrektur, die häufig in Vergleichsartikeln wiederholt wird: Der kostenlose Tarif setzt keine 2-Stunden- oder 8-Stunden-Session-Timeouts durch. Die ngrok-Dokumentation macht das explizit klar — ein kostenloser Endpunkt kann dauerhaft im Hintergrund laufen. Die tatsächlichen Beschränkungen sind die Bandbreiten- und Request-Limits sowie die Unmöglichkeit, eine eigene Domain zu reservieren und die Warnseite (siehe unten). Kein erzwungener Disconnect.

Die Warnseite („Visit Site“)

Um Phishing-Angriffe auf geteilte Domains zu reduzieren, injiziert ngrok eine Warnseite vor HTML-Browser-Traffic bei kostenlosen Endpunkten, die den Besucher darüber informiert, dass er eine durch ngrok bereitgestellte Seite sieht. Diese kann umgangen werden, indem ein ngrok-skip-browser-warning Header (beliebiger Wert) oder ein anderer User-Agent mitgesendet wird — es ist kein Upgrade auf einen kostenpflichtigen Plan nötig. Die kostenpflichtigen Pläne entfernen diese Warnung standardmäßig. Für API-Clients, automatisierte Tests und Webhook-Consumer, die keine Header setzen können, ist das eine bekannte Hürde (ERR_NGROK_6024), besonders bei EventSource-Tools, bei denen Header-Injects clientseitig nicht möglich sind.

Preise, korrigiert

Ngrok’s aktuelles Tarifmodell (2026):

  • Kostenlos — $0, Limits wie oben.
  • Hobbyist — $10/Monat ($8/Monat bei Jahresabrechnung), 5 GB Daten, 100.000 HTTP-Anfragen, 1 TCP-Adresse, weiterhin max. 3 Online-Endpunkte.
  • Pay-as-you-go — $20/Monat Grundgebühr inklusive $20 Usage-Credit, danach Abrechnung nach Verbrauch: $0.10/GB, $1 pro 100.000 HTTP-Anfragen, $2 pro 100.000 TCP-Verbindungen über das Kontingent hinaus. Keine Endpoint-Limits. Weitere Nutzer kosten $5/Monat extra.
  • Add-ons: SSO/RBAC ($10/Nutzer/Monat), eigene TLS-Zertifikate ($200/Monat), dedizierte IPs ($900/Monat pro Region). Diese sind Enterprise-Features, nicht im Grundpreis enthalten.

Das ist eine deutlich andere Preisstruktur als eine pauschale „$15–30 pro Nutzer“. Der Einstieg liegt bei etwa $8–10/Monat, die Produktionsstufe bei $20 plus Verbrauch, nicht bei einem festen „pro Seat“-Preis.

Sicherheitslage, für Infrastruktur-Teams relevant

Ngrok ist im MITRE ATT&CK Framework als Software S0508 gelistet — nicht, weil das Tool selbst bösartig ist, sondern weil es wiederholt von Bedrohungsakteuren (z.B. Scattered Spider, Cadet Blizzard) für Command-and-Control, laterale Bewegungen und Datenexfiltration missbraucht wurde. Es ist ein legitimes, weitverbreitetes Tool, das NAT- und Firewall-Tunneling ermöglicht. Einige Enterprise-Security-Teams blockieren ngrok-Domains daher komplett — wichtig zu wissen bei Einsatz in Unternehmensumgebungen.

3. bore: Das minimalistische Rust-Tool

Erstellt von Eric Zhang (@ekzhang1) und MIT-lizenziert, ist bore ein CLI-Tool mit einer Aufgabe: einen lokalen TCP-Port an einen entfernten Server weiterleiten, NAT umgehen. Mit der neuesten Version (v0.6.0) hat das Projekt etwa 11.100 GitHub-Sterne und 493 Forks — ein starkes Zeichen für Community-Akzeptanz bei einem so fokussierten Tool.

Warum minimalistisch

  • ~400 Zeilen asynchrones Rust: Die gesamte Client- und Server-Implementierung ist klein genug, um sie in einer Sitzung durchzulesen und selbst zu prüfen.
  • Kein Konto, kein Dashboard, kein Token: Du kannst bore local <port> --to bore.pub sofort gegen den öffentlichen Server des Maintainers laufen lassen.
  • Einfache Selbst-Hosting-Option: bore server auf deinem eigenen VPS startet einen voll funktionsfähigen Tunnel-Server ohne zusätzliche Abhängigkeiten.
  • Kleiner Binärdatei, nahezu null Speicherverbrauch: geeignet für eingeschränkte Umgebungen wie Raspberry Pi.

Funktionsweise des Protokolls

bore nutzt einen impliziten Steuerport bei 7835. Der Client sendet eine “Hello”-Nachricht an den Server über diesen Steuerport, um einen Remote-Port zu proxyen. Wenn eine externe Verbindung den Server erreicht, generiert dieser eine UUID, die an den Client gesendet wird; der Client öffnet einen neuen TCP-Stream, sendet die UUID in einer “Accept”-Nachricht, und der Server verbindet die beiden. Nicht beanspruchte eingehende Verbindungen verwirft der Server nach 10 Sekunden, um Speicherlecks zu vermeiden — Details aus der eigenen Protokolldokumentation.

Installation

  • macOS: brew install bore-cli
  • Arch Linux: im AUR als bore
  • Gentoo: im Overlay gentoo-zh
  • Für alle Plattformen mit Rust: cargo install bore-cli
  • Vorgefertigte Binaries für macOS, Windows und Linux auf der GitHub-Releases-Seite
  • Docker: Versionierte Images für jede Version (docker run -it --init --rm --network host ekzhang/bore <ARGS>)

Standardmäßig gibt bore local <port> --to <host> localhost frei, aber das Flag --local-host erlaubt es, einen anderen Host im lokalen Netzwerk freizugeben — nützlich, wenn du zu einem anderen Gerät im LAN tunneln willst.

Sicherheitsmodell, genau

bore unterstützt ein optionales HMAC-basiertes Secret (--secret oder die Umgebungsvariable BORE_SECRET), das den Tunnel-Handshake bei der Erstellung authentifiziert — ein Client muss den Besitz des Secrets nachweisen, um einen Tunnel zu öffnen. Das verhindert unbefugte Nutzung deines eigenen Servers. Es verschlüsselt nicht den Datenverkehr selbst: Sobald der Tunnel offen ist, ist der Payload unverschlüsselt TCP. Für sensible Daten solltest du bore mit TLS kombinieren oder nur verschlüsselte Protokolle wie HTTPS oder SSH tunneln.

4. Gegenüberstellung

Architektur und Performance

ngrok ist in Go geschrieben und führt umfangreiche HTTP/HTTPS-verwandte Verarbeitung bei jeder Anfrage durch — Payload-Inspektion, Header-Manipulation und Policy-Checks kosten Latenz und Speicher. bore ist in Rust geschrieben und ist protocol-agnostisch: Es bewegt Bytes, egal ob HTTP, WebSocket, SSH oder ein eigenes Spielprotokoll, was den Overhead auf beiden Seiten nahezu auf null reduziert.

Funktionen vs. Minimalismus

ngrok bietet eine breite Palette an Funktionen — HTTPS-termination, automatische Zertifikate, Request-Replay, OAuth/SAML, IP-Whitelist/Blacklist, Webhook-Signaturprüfung, Kubernetes-Operator, Load Balancing und KI-Verkehrsrouting — in bore gibt es das nicht. bore beschränkt sich bewusst auf Port-Weiterleitung. Wenn du HTTP-Payloads inspizieren willst, bietet ngrok das Dashboard; wenn du nur einen Port offen hast und eigene Logs nutzt, bringt bore kaum Overhead.

Preise und Lizenzierung

ngrok ist ein SaaS mit Freemium-Modell: kostenloser Tarif mit Limits, $8–10/Monat für Hobbyist, $20/Monat Basis plus Verbrauch für Pay-as-you-go, sowie Enterprise-Verträge. bore ist Open Source unter MIT-Lizenz — kostenlos nutzbar gegen den öffentlichen bore.pub-Server oder selbst gehostet auf eigener Infrastruktur (z.B. kleiner VPS) ohne Bandbreitenbegrenzung.

5. Einrichtung

ngrok

# 1. Registrieren bei ngrok.com und den Authtoken aus dem Dashboard kopieren
ngrok config add-authtoken <YOUR_AUTH_TOKEN>

# 2. Einen lokalen Port freigeben
ngrok http 3000

Ngrok gibt eine HTTPS-URL aus (z.B. https://abc-123.ngrok-free.app), die an deinen lokalen Port weiterleitet.

bore (nur Client, mit öffentlichem Server)

# Installation
brew install bore-cli        # macOS
cargo install bore-cli       # alle Plattformen mit Rust

# Port 8000 über den öffentlichen bore.pub-Server freigeben
bore local 8000 --to bore.pub

bore zeigt einen zugewiesenen Port auf bore.pub (z.B. bore.pub:43219), über den dein lokaler Server erreichbar wird.

Selbst-Hosting von bore

# Auf deinem VPS
bore server --min-port 10000 --max-port 20000 --secret super_secure_password

# Auf deinem lokalen Rechner
bore local 8000 --to deine-vps-ip.com --secret super_secure_password

6. Welches Tool passt zu deinem Workflow

Verwende ngrok, wenn: - Du HTTP-Transparenz brauchst — Request-Replay, Payload-Inspektion, Header-Manipulation beim Debuggen. - Du Zugang mit OAuth, OIDC oder SAML vor einem Preview-Environment absichern willst. - Du eine stabile, eigene Domain an einen Tunnel binden möchtest, ohne eigenen Reverse-Proxy zu verwalten. - Du KI/LLM-Verkehr über mehrere Anbieter routest und das in der gleichen Policy-Schicht wie deinen API-Traffic haben willst.

Verwende bore, wenn: - Du ein minimalistisches, auditierbares, vollständig Open Source-Tool ohne Konto und Vendor Lock-in suchst. - Du einen Port für wenige Minuten teilen willst, ohne Tokens oder Warnseiten. - Du auf eingeschränkter Hardware (Raspberry Pi, Embedded Devices, IoT) arbeitest, wo Ressourcen begrenzt sind. - Du TCP-Verkehr außerhalb von HTTP tunneln willst — SSH, Spielserver, eigenes Protokoll — bei denen ngrok’s HTTP-Fokus keinen Mehrwert bietet. - Du auf eigener Infrastruktur ohne Bandbreitenbegrenzung selbst hosten willst.

7. Häufig gestellte Fragen

Ist bore ein vollständiger Ersatz für ngrok? Für einfache Portweiterleitung ja. Wenn du ngrok’s HTTPS-termination, Payload-Inspektion oder integrierte Authentifizierung nutzt, bietet bore diese nicht — du müsstest einen eigenen Reverse-Proxy (z.B. nginx, Caddy) davor setzen.

Wie entferne ich ngrok’s “Visit Site”-Warnseite? Sende den Header ngrok-skip-browser-warning (beliebiger Wert) oder einen eigenen User-Agent mit deiner Anfrage — funktioniert auch im kostenlosen Tarif und erfordert kein Upgrade. Die kostenpflichtigen Pläne entfernen die Warnseite standardmäßig.

Kann ich eine eigene Domain bei bore verwenden? Ja, wenn du selbst hostest: DNS-A-Record deiner Domain auf deine VPS mit bore server zeigen lassen, dann den Client auf diese Adresse konfigurieren.

Ist der Traffic bei bore verschlüsselt? Nein, standardmäßig nicht. Das --secret authentifiziert nur, wer den Tunnel öffnen darf; der Datenverkehr selbst ist unverschlüsselt. Für sensible Daten solltest du TLS auf Anwendungsebene verwenden oder nur verschlüsselte Protokolle tunneln.

Trennt ngrok im kostenlosen Tarif nach einer festen Session-Länge? Nein — das ist ein häufiger Mythos. Ngrok-Dokumentation sagt klar: Der kostenlose Tarif hat keine Endpoint-Timeouts. Die Limits sind monatliche Daten-, Request- und Verbindungsgrenzen.


Changelog

Korrekturen 1. ngrok-Preise 2026 — Ursprünglich wurde gesagt, die bezahlten Tarife lägen bei „$15–30+ pro Nutzer/Monat“. Korrekt ist die aktuelle Struktur: Hobbyist $10/Monat ($8 bei Jahres), Pay-as-you-go $20/Monat Grundgebühr + Verbrauch. Quelle: ngrok Pricing and Limits. 2. Warnseite umgehen — Es wurde klargestellt, dass das ngrok-skip-browser-warning-Header die Seite im kostenlosen Tarif umgeht, ohne Upgrade. Quelle: ngrok Free Plan Limits und ERR_NGROK_6024. 3. bore-Sternzahl — Die Zahl der Sterne wurde auf die aktuellen 11.1k (statt über 11.000) aktualisiert, mit 493 Forks, laut Repository.

Ergänzungen 1. Es wurde explizit klargestellt, dass ngrok’s kostenloser Tarif kein 2- oder 8-Stunden-Timeout hat — die Dokumentation sagt das explizit. Quelle: ngrok Free Plan Limits. 2. Das AI Gateway von ngrok (seit Dezember 2025, unter ngrok.ai) wurde ergänzt — Multi-Provider-LLM-Routing, Self-Hosting (Ollama, vLLM), automatisches Failover, PII-Reduktion, alles über Traffic Policy. Quellen: ngrok Blog, ngrok Docs. 3. Die Klassifikation in MITRE ATT&CK als Software S0508 wurde ergänzt, relevant für Sicherheits-Teams. Quelle: MITRE ATT&CK S0508. 4. Der --local-host-Flag bei bore (LAN-Host statt localhost) sowie zusätzliche Installationswege (AUR, Gentoo-Overlay, Docker) wurden hinzugefügt, basierend auf bore GitHub. 5. Die aktuellen Limits im ngrok Free-Tarif (TCP/TLS, Request-Rate, Webhook-Cap) wurden direkt aus ngrok-Dokumentation übernommen. 6. Das aktuelle Release v0.6.0 von bore wurde bestätigt, sowie die ~400 Zeilen Codebasis und die Handshake-Protokoll-Details.

Entfernt 1. Die FAQ-Überschrift sowie SEO-optimierende Einleitungen und werbende Formulierungen wurden entfernt. 2. Fehlerhafte Inline-Code-Formate wurden durch korrekte Code-Fences ersetzt. 3. Aussagen, dass bore keine Sicherheitslage außer der Dokumentation hätte, wurden entfernt und auf die tatsächliche Funktion des --secret hingewiesen.

Continue from this article into the most relevant product guides and workflows.

Related Topics

#ngrok vs bore, bore tunneling tool, bore rust tunnel, ngrok alternative, lightweight ngrok alternative, fast tcp tunnel, self hosted tunnel tool, bore cli, minimal reverse proxy, rust port forwarding, local tcp port to internet, expose localhost fast, minimalist tunneling tool, open source tunnel rust, bypass ngrok limits, lightweight binary tunnel, zero ram tunnel, public endpoint forwarding, embedded systems port forwarding, share tcp port instantly, self host bore, bore client server, async rust tunnel, secure tcp tunnel, fast local tunnel, reverse proxy alternative, developer tunneling tools, rust enthusiast tools, port forwarding without dashboard, ngrok vs bore cli, simple tcp tunnel, bore pub server, bore port forwarding, alternative to localtunnel, minimal local proxy, web dashboard alternative, payload inspector alternative, single binary tunnel, instantly share localhost, quick test tunneling, rust cli tool, network tunnel rust, forward local port, internet endpoint tunnel, ngrok alternatives 2026, self hosted ngrok alternative, local development tunnel, fast ngrok alternative, bore ekzhang, expose local api, tunnel tcp traffic

Keep building with InstaTunnel

Read the docs for implementation details or compare plans before you ship.

Share this article

More InstaTunnel Insights

Discover more tutorials, tips, and updates to help you build better with localhost tunneling.

Browse All Articles