CrocRelay: Infraestructura mínima para transferencias seguras

Croc se ha convertido en la herramienta más cómoda para mover archivos entre mis equipos sin montar SMB, sin depender de SSH y sin tener que pensar demasiado. Este artículo deja por escrito cómo está montado el relay propio, por qué se hizo así y cómo usarlo de forma consistente.

Introducción

La idea principal es tener un método rápido y seguro para enviar archivos entre máquinas de mi infraestructura, tanto en LAN como fuera de ella. Croc permite crear un canal cifrado usando un código o una clave, sin necesidad de configurar nada en los clientes. Con un relay propio se gana control total y velocidad estable.

Características

Transferencias directas o mediante relay según disponibilidad.
Cifrado extremo a extremo mediante PAKE sin claves externas.
Relay autohospedado con clave larga para evitar conexiones ajenas.
Permite enviar carpetas completas y excluir archivos específicos.
Funciona sobre cualquier sistema: Linux, macOS, Windows e incluso Android.
No requiere abrir puertos en los clientes.
Muy útil para mover configuraciones, backups pequeños o binarios entre máquinas. Yo he llegado a probar grandes cantidades de datos y sin problema.

Requisitos previos

Un servidor donde levantar el relay (cualquier máquina vale).
Docker instalado para montar el contenedor.
Una clave larga para CROC_PASS.
Puerto 9009 accesible desde los clientes.
Que los equipos tengan croc instalado.

Implementación

Docker Compose del relay

El docker-compose.yml del relay se mantiene en Gitea, siempre actualizado:

Docker Compose del Relay en Gitea

Comando de envío básico

El uso es consistente: siempre con la misma clave larga, siempre forzando el relay propio y excluyendo archivos temporales como ejemplo.

croc --pass <clave-larga> --relay "<IP-o-dominio-del-relay>:9009" --exclude "*.tmp" send carpeta

Puntos clave:

--relay fija mi relay y evita que croc intente rutas alternativas.
--pass debe coincidir con el CROC_PASS del contenedor.
--exclude evita subir cosas que croc podría colgarse al comprimir, como sockets.
Se puede usar con archivos individuales o carpetas enteras.

Funcionamiento práctico

Croc intenta siempre una conexión directa entre clientes. Si no es posible, utiliza el relay para negociar el intercambio y coordinar los flujos. En ambos casos la transferencia va cifrada.

En mi entorno la velocidad suele ser alta incluso fuera de LAN, y dentro de LAN prácticamente se comporta como si fuese una copia local pero con más compresión.

Errores comunes o decisiones importantes

Elegir host networking: imprescindible para que el relay no tenga problemas recibiendo conexiones externas.
Clave larga obligatoria: evita uso no autorizado. Croc no autentica por IP, así que la clave es la barrera.
Exclusión de archivos problemáticos: especialmente sockets o directorios con permisos raros.
Limitar acceso al puerto: aunque nadie puede transferir sin la clave, filtrar tráfico reduce ruido.
Evitar guardar la clave en repositorios: solo local o en variables seguras.
No usar códigos automáticos cuando se quiere trazabilidad: mejor definir uno propio.

Resumen breve

Relay propio en Docker usando network_mode: host.
CROC_PASS largo y fuera del control de versiones.
Envíos siempre con --relay + --pass.
Excluir temporales para evitar problemas.
Puerto 9009 filtrado por firewall.

FileBrowser Quantum: Evolución de FileBrowser con más funciones

FileBrowser: Explorador de archivos accesible desde el navegador

Nextcloud (LinuxServer): Plataforma de almacenamiento y colaboración en la nube autohospedada

Nextcloud: Nube privada autohospedada con imagen oficial, MariaDB y Redis

Syncthing: Sincronización avanzada de archivos

TelDrive: Almacenamiento sobre Telegram

Gitea: Plataforma de gestión de repositorios Git autohospedada

Jenkins: Automatización de procesos de desarrollo y despliegue continuo

JupyterLab: Análisis y experimentación con Python

n8n: Automatización de flujos de trabajo

SonarQube: Análisis de la calidad del código

xyOps: Plataforma de automatización distribuida

Chibisafe: Compartir imágenes de forma rápida y privada

Palmr: Compartición de archivos simple y segura

ProjectSend: Compartir archivos de forma simple y controlada

Headscale + Headplane (GUI): Tu propio servidor Tailscale autohospedado

NetBird: Implementación de una VPN de malla basada en WireGuard y confianza cero (Parte I)

NetBird: Implementación de una VPN de malla basada en WireGuard y confianza cero (Parte II)

WGPortal: Panel moderno para gestionar WireGuard

Amule: Cliente P2P para intercambio de archivos en la red eDonkey y Kad

aMuTorrent: Gestor unificado de clientes P2P

JDownloader2: Gestor de descargas avanzado con soporte para múltiples plataformas

MeTube: Descarga de vídeos desde múltiples plataformas en línea

Nicotine: Acceso gráfico a la red Soulseek desde Linux

qBittorrent: Cliente de torrents eficiente y personalizable

Soulseek: Intercambio de música y archivos P2P

Doku: Monitorización de espacio en Docker

Dozzle: Visualización de logs en Docker

WUD (What's Up Docker): Monitorizar y recibir notificaciones sobre actualizaciones de contenedores

BentoPDF: Toolkit PDF autohospedado y orientado a privacidad

Bookstack: Wiki sencilla y flexible para gestionar documentación

PaperlessNGX: Gestión y digitalización de documentos o recibos

StirlingPDF: Manipulación avanzada de archivos PDF

Code Server: Editor de código basado en Visual Studio Code accesible desde cualquier navegador

CyberChef: Herramienta versátil para procesamiento de datos y criptografía

Draw.io: Editor de diagramas

Homepage: Dashboard personalizable para centralizar accesos rápidos a servicios

IT Tools: Colección de herramientas prácticas para redes e informática

LibreTranslate: API de traducción de texto autohospedada y sin dependencia de terceros

Linkwarden: Gestor de marcadores autohospedado para almacenar y organizar enlaces

Pingvin Share: comparte archivos de forma sencilla y autohospedada

SearxNG: privacidad, control y velocidad

WebCheck: Análisis OSINT de sitios web

OpenWebUI: Interfaz web para IA, similar a ChatGPT

BookLore: Gestión self-hosted de bibliotecas digitales similar a Calibre

Calibre: Gestión, conversión y lectura de libros electrónicos

Dispatcharr: Gestión y proxy de IPTV self-hosted

Immich: Almacenamiento y organización de fotos y vídeos con sincronización automática

Jellyfin: Servidor multimedia para películas, series y música

Komga: Servidor para lectura de cómics y mangas

Navidrome: Servidor de música autohospedado

Shoko Server: Organización avanzada de bibliotecas de anime

FreshRSS: Lector de feeds RSS para consolidar y leer noticias fácilmente

Jellystat: Estadísticas avanzadas para Jellyfin

Joplin: Sincronización autohospedada de notas

Radicale: Servidor de calendario, notas y contactos autohospedado

Adguard Home: Bloqueo de anuncios y rastreadores a nivel de red

Authentik: Plataforma de autenticación y autorización centralizada

Bitwarden (Vaultwarden): Despliegue y configuración del panel de administración

CrowdSec Web UI: Gestión gráfica de CrowdSec

NetAlertX: Monitorización y detección de dispositivos en red

nTopNG: Monitorización avanzada de tráfico de red

PassBolt: Gestor de contraseñas seguro y autoalojado

SocketProxy: Acceso controlado al daemon de Docker

Wazuh: Sistema de detección de intrusos (HIDS)

Beszel: Monitorización ligera centralizada

Grafana: Visualización y monitoreo de datos para métricas en tiempo real

Netdata: Monitorización de rendimiento en tiempo real

Checkmate: Plataforma local para vigilar infraestructura y servicios

CrocRelay: Infraestructura mínima para transferencias seguras

Gatus: Monitorización avanzada y flexible de servicios

PeaNUT: Interfaz web para Network UPS Tools (NUT)

phpMyAdmin: Administración web de MySQL y MariaDB

RustDesk: Escritorio remoto autohospedado

Scrutiny: Monitorización S.M.A.R.T. de discos

Speedtest Tracker: Monitoriza el rendimiento de tu conexión

Uptime Kuma: Monitorización en tiempo real del estado de tus servicios

Watchtower: Actualización automática de contenedores

CrocRelay: Infraestructura mínima para transferencias seguras

Introducción