NachrichtenMCP-Tunnel

MCP-Tunnel

Verbinde Claude sicher mit MCP-Servern, die in deinem privaten Netzwerk laufen, ohne eingehende Ports zu öffnen oder Dienste dem öffentlichen Internet auszusetzen.

MCP-Tunnel ermöglichen es dir, Claude mit "Model Context Protocol"-Servern (MCP-Servern) zu verbinden, die innerhalb deines privaten Netzwerks laufen. Der Datenverkehr fließt über eine rein ausgehende Verbindung, sodass du keine eingehenden Firewall-Ports öffnen, keine Dienste dem öffentlichen Internet aussetzen und keine IP-Bereiche von Anthropic auf deinem Origin-Server freigeben musst.

MCP-Tunnel befinden sich in der Beta-Phase (Research Preview). Fordere Zugang an, um sie auszuprobieren. Sie werden „wie besehen" ohne jegliche Zusage hinsichtlich Verfügbarkeit, Support oder Fortbestand bereitgestellt und hängen von einem Drittanbieter-Netzwerkanbieter (Cloudflare) ab, der keine Verfügbarkeitszusage für den zugrunde liegenden Transport macht. Anthropic kann MCP-Tunnel jederzeit ändern oder einstellen.

Informationen zur Eignung für Zero Data Retention und HIPAA BAA findest du unter API und Datenaufbewahrung.

Funktionsweise

Der Tunnel-Stack besteht aus zwei Komponenten, die innerhalb deines Netzwerks laufen:

cloudflared: Cloudflares Open-Source-Tunnel-Connector. Er initiiert rein ausgehende Verbindungen zum Tunnel-Edge und transportiert verschlüsselten Datenverkehr von Anthropic zu deinem Proxy.
Proxy: Anthropics Routing-Komponente. Sie terminiert inneres TLS, validiert, dass Upstream-IPs in einen erlaubten Bereich fallen, und leitet jede Anfrage basierend auf dem Hostnamen an den richtigen Upstream-MCP-Server weiter.

Jeder MCP-Server, den du verfügbar machst, erhält einen Hostnamen unter deiner Tunnel-Domain (zum Beispiel docs.<your-tunnel-domain>). Du verknüpfst diese Hostnamen mit einer Managed-Agent-Sitzung in der Console oder übergibst sie über den MCP-Connector an die Messages API.

Voraussetzungen

Stelle vor dem Deployment sicher, dass du Folgendes hast:

Ein Deployment-Ziel: einen Kubernetes-Cluster oder eine VM mit Docker und Docker Compose.
Einen in der Claude Console erstellten Tunnel. Siehe Tunnel erstellen.
Eine Möglichkeit für deinen Stack, sich bei der Tunnels API zu authentifizieren. Wähle eine der folgenden Optionen:
- Programmatischer Zugriff (empfohlen). Richte Workload Identity Federation ein, wenn du den Tunnel erstellst. Dein Stack erzeugt kurzlebige API-Tokens von deinem Identity Provider, ruft das Tunnel-Token ab und generiert und registriert automatisch ein CA-Zertifikat. Erfordert die Berechtigung zum Verwalten von Federation-Regeln, einen registrierten OIDC-Issuer und eine Federation-Regel mit dem Scope org:manage_tunnels.
- Manuell. Stelle statische Anmeldedaten selbst bereit: das Tunnel-Token aus der Console und ein Server-Zertifikat, das von einer CA signiert ist, die du dort registrierst. Siehe Verbindungsdetails abrufen und CA-Zertifikat hinzufügen.
Einen oder mehrere MCP-Server, die in deinem privaten Netzwerk laufen. Siehe für Beispiele.

Netzwerkanforderungen

Komponente	Ziel	Port / Protokoll	Verwendet während
Setup-Komponente	`api.anthropic.com`	443 TCP	Provisionierung und Token-Rotation
cloudflared	Tunnel-Edge (`198.41.192.0/19`, `2606:4700:a0::/44`)	7844 TCP und UDP	Laufzeit
Proxy	Deine Upstream-MCP-Server	Wie konfiguriert	Laufzeit

Sicherheitsmodell

Sicherheitsschichten

Drei unabhängige Schichten schützen jede Anfrage:

Schicht	Schützt vor
Äußeres mTLS zwischen Anthropic und dem Transportanbieter, mit IP-Validierung	Unbefugten Clients, die den Tunnel erreichen
Inneres TLS vom Anthropic-Backend zu deinem Proxy	Payload-Inspektion durch den Transportanbieter oder einen Netzwerk-Intermediär
OAuth auf jedem MCP-Server	Unbefugter Nutzung von MCP-Tools durch authentifizierten Tunnel-Verkehr

Der Tunnel-Transport läuft über das Netzwerk von Cloudflare. Da der Proxy das innere TLS mit einem Zertifikat terminiert, das nur du besitzt, kann Cloudflare keine Anfrage- oder Antwort-Payloads lesen. Anthropic verbindet sich erst mit einem Tunnel, wenn ein CA-Zertifikat registriert ist, sodass Payloads immer verschlüsselt sind, wenn sie das Cloudflare-Netzwerk durchqueren. Cloudflare erhält jedoch Verbindungsmetadaten; siehe Was der Transportanbieter beobachten kann.

Modell der geteilten Verantwortung

Anthropic übernimmt	Deine Organisation übernimmt
Tunnel-Zugriffskontrolle	Alle Inhalte und den gesamten Datenverkehr, der deinen Tunnel durchläuft, sowie die Einhaltung der geltenden Nutzungsrichtlinien von Drittanbietern (einschließlich der von Cloudflare)
Validierung deines CA-Zertifikats vor der Verbindung mit deinem Proxy	Einhaltung der Deployment-Anleitung auf diesen Seiten
Sicherstellung, dass Claude nur Anfragen an Tunnel sendet, die deiner Organisation gehören	Sicherung von Tunnel-Tokens und privaten TLS-Schlüsseln
	Verwaltung des Server-Zertifikats und dessen Erneuerung vor Ablauf
	Konfiguration von OAuth auf jedem MCP-Server
	Einschränkung des Netzwerkzugriffs für den Proxy und die MCP-Server
	Benachrichtigung von Anthropic, wenn du einen Sicherheitsvorfall vermutest

Wenn ein Angreifer dein Tunnel-Token und einen deiner privaten TLS-Schlüssel erlangt, könnte er sich als dein Proxy ausgeben und MCP-Anfrage-Payloads lesen. Behandle beide als hochsensible Geheimnisse. Siehe MCP-Tunnel-Sicherheit für Härtungsempfehlungen.

Was der Transportanbieter beobachten kann

Cloudflare stellt den ausgehenden Transport bereit. Cloudflare kann keine MCP-Anfrage- oder Antwort-Payloads lesen, erhält aber die folgenden Verbindungsmetadaten:

die Egress-IP-Adresse des Hosts, auf dem cloudflared läuft
einen cloudflared-Host-Fingerprint
Verbindungszeitpunkte und Byte-Volumen
die deinem Tunnel zugewiesene *.tunnel.anthropic.com-Subdomain

Anthropics Vereinbarung mit Cloudflare schränkt die Nutzung dieser Telemetriedaten durch Cloudflare ein. Cloudflare fungiert als Unterauftragsverarbeiter für diese Research Preview.

Einen Tunnel deployen

Wenn du neu bei MCP-Tunneln bist, beginne mit dem Quickstart, um lokal einen funktionierenden Tunnel einzurichten, bevor du ein Produktions-Deployment konfigurierst.

Quickstart

Der kürzeste Weg zu einem funktionierenden Tunnel: Docker Compose mit einem Beispiel-MCP-Server.

Mit Helm deployen

Installation auf einem Kubernetes-Cluster mit dem Anthropic-Helm-Chart.

So wählst du zwischen den Optionen:

Deployment-Ziel
- Helm beim Deployment auf Kubernetes.
- Docker Compose für einen einzelnen Host oder lokales Testen.
Authentifizierung für das Setup
- Programmatischer Zugriff (über Workload Identity Federation), wenn du einen OIDC-Identity-Provider wie einen Kubernetes-Cluster, Cloud-IAM oder SPIFFE hast.
- Manuelle Anmeldedaten, wenn du keinen hast oder wenn du testest.

Die getunnelten MCP-Server verwenden

Sobald dein Tunnel aktiv ist (er hat ein aktives CA-Zertifikat und dein Tunnel-Stack ist verbunden), sind die Upstream-MCP-Server von Claude Managed Agents und der Messages API aus erreichbar.

Über die Console erstellte MCP-Tunnel sind nicht als Connectors in claude.ai verfügbar.

In beiden Fällen transportiert der Tunnel verschlüsselten Datenverkehr zu deinem MCP-Server, authentifiziert sich aber nicht bei ihm. Wenn der Upstream-MCP-Server eine eigene Authentifizierung erfordert (OAuth, Bearer-Token), stelle sie auf die gleiche Weise bereit wie bei jedem anderen MCP-Server; sie ist unabhängig vom Tunnel.

Managed Agents (Console)

Erstelle unter Managed Agents > Sessions eine Sitzung und wähle Create new agent, damit du die MCP-Server-Liste bearbeiten kannst.
Klicke auf + MCP Server und öffne das Dropdown-Menü. Tunnel im Workspace der Sitzung, die mindestens ein aktives Zertifikat haben, erscheinen oben in der Liste, über dem öffentlichen Connector-Katalog.
Wähle den Tunnel aus und gib die Subdomain an, die dein Proxy an einen bestimmten MCP-Server weiterleitet, sowie den Path, den der Upstream-MCP-Server erwartet. Die Zeile Resolves to zeigt die genaue URL.

Messages API

Übergib die URL des Upstream-MCP-Servers im mcp_servers-Array, genauso wie bei jedem anderen Remote-MCP-Server. Der Request-Body und der anthropic-beta-Header folgen dem Standardformat des MCP-Connectors; nur die url ist tunnelspezifisch. Das folgende Beispiel verwendet den mcp-client-Beta-Header des MCP-Connectors, der sich von der mcp-tunnels-Beta unterscheidet, die von der Tunnels API verwendet wird. Verwende einen API-Key für den Workspace, in dem der Tunnel erstellt wurde (Console Settings > API keys).

Der Host der URL ist <subdomain>.<your-tunnel-domain>. Der Pfad hängt von deinem Upstream-MCP-Server ab, nicht vom Tunnel: Der streamable-http-Transport von FastMCP wird unter /mcp bereitgestellt, und andere Server verwenden möglicherweise / oder einen benutzerdefinierten Pfad (sieh in der Dokumentation des Servers nach). Der Proxy leitet den Pfad unverändert weiter.

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

SDK-Beispiele in allen Sprachen findest du unter MCP-Connector; der einzige tunnelspezifische Wert ist die url.

Nächste Schritte

Sicherheit

Härtungsempfehlungen, Rotation von Anmeldedaten und Reaktion auf Sicherheitsvorfälle.

Fehlerbehebung

Diagnose von Konnektivitäts-, TLS- und Routing-Problemen.

Was this page helpful?

NachrichtenMCP-Tunnel

MCP-Tunnel

Verbinde Claude sicher mit MCP-Servern, die in deinem privaten Netzwerk laufen, ohne eingehende Ports zu öffnen oder Dienste dem öffentlichen Internet auszusetzen.

Informationen zur Eignung für Zero Data Retention und HIPAA BAA findest du unter API und Datenaufbewahrung.

Funktionsweise

Der Tunnel-Stack besteht aus zwei Komponenten, die innerhalb deines Netzwerks laufen:

cloudflared: Cloudflares Open-Source-Tunnel-Connector. Er initiiert rein ausgehende Verbindungen zum Tunnel-Edge und transportiert verschlüsselten Datenverkehr von Anthropic zu deinem Proxy.
Proxy: Anthropics Routing-Komponente. Sie terminiert inneres TLS, validiert, dass Upstream-IPs in einen erlaubten Bereich fallen, und leitet jede Anfrage basierend auf dem Hostnamen an den richtigen Upstream-MCP-Server weiter.

Voraussetzungen

Stelle vor dem Deployment sicher, dass du Folgendes hast:

Ein Deployment-Ziel: einen Kubernetes-Cluster oder eine VM mit Docker und Docker Compose.
Einen in der Claude Console erstellten Tunnel. Siehe Tunnel erstellen.
Eine Möglichkeit für deinen Stack, sich bei der Tunnels API zu authentifizieren. Wähle eine der folgenden Optionen:
- Programmatischer Zugriff (empfohlen). Richte Workload Identity Federation ein, wenn du den Tunnel erstellst. Dein Stack erzeugt kurzlebige API-Tokens von deinem Identity Provider, ruft das Tunnel-Token ab und generiert und registriert automatisch ein CA-Zertifikat. Erfordert die Berechtigung zum Verwalten von Federation-Regeln, einen registrierten OIDC-Issuer und eine Federation-Regel mit dem Scope org:manage_tunnels.
- Manuell. Stelle statische Anmeldedaten selbst bereit: das Tunnel-Token aus der Console und ein Server-Zertifikat, das von einer CA signiert ist, die du dort registrierst. Siehe Verbindungsdetails abrufen und CA-Zertifikat hinzufügen.
Einen oder mehrere MCP-Server, die in deinem privaten Netzwerk laufen. Siehe für Beispiele.

Netzwerkanforderungen

Komponente	Ziel	Port / Protokoll	Verwendet während
Setup-Komponente	`api.anthropic.com`	443 TCP	Provisionierung und Token-Rotation
cloudflared	Tunnel-Edge (`198.41.192.0/19`, `2606:4700:a0::/44`)	7844 TCP und UDP	Laufzeit
Proxy	Deine Upstream-MCP-Server	Wie konfiguriert	Laufzeit

Sicherheitsmodell

Sicherheitsschichten

Drei unabhängige Schichten schützen jede Anfrage:

Schicht	Schützt vor
Äußeres mTLS zwischen Anthropic und dem Transportanbieter, mit IP-Validierung	Unbefugten Clients, die den Tunnel erreichen
Inneres TLS vom Anthropic-Backend zu deinem Proxy	Payload-Inspektion durch den Transportanbieter oder einen Netzwerk-Intermediär
OAuth auf jedem MCP-Server	Unbefugter Nutzung von MCP-Tools durch authentifizierten Tunnel-Verkehr

Modell der geteilten Verantwortung

Anthropic übernimmt	Deine Organisation übernimmt
Tunnel-Zugriffskontrolle	Alle Inhalte und den gesamten Datenverkehr, der deinen Tunnel durchläuft, sowie die Einhaltung der geltenden Nutzungsrichtlinien von Drittanbietern (einschließlich der von Cloudflare)
Validierung deines CA-Zertifikats vor der Verbindung mit deinem Proxy	Einhaltung der Deployment-Anleitung auf diesen Seiten
Sicherstellung, dass Claude nur Anfragen an Tunnel sendet, die deiner Organisation gehören	Sicherung von Tunnel-Tokens und privaten TLS-Schlüsseln
	Verwaltung des Server-Zertifikats und dessen Erneuerung vor Ablauf
	Konfiguration von OAuth auf jedem MCP-Server
	Einschränkung des Netzwerkzugriffs für den Proxy und die MCP-Server
	Benachrichtigung von Anthropic, wenn du einen Sicherheitsvorfall vermutest

Was der Transportanbieter beobachten kann

Cloudflare stellt den ausgehenden Transport bereit. Cloudflare kann keine MCP-Anfrage- oder Antwort-Payloads lesen, erhält aber die folgenden Verbindungsmetadaten:

die Egress-IP-Adresse des Hosts, auf dem cloudflared läuft
einen cloudflared-Host-Fingerprint
Verbindungszeitpunkte und Byte-Volumen
die deinem Tunnel zugewiesene *.tunnel.anthropic.com-Subdomain

Anthropics Vereinbarung mit Cloudflare schränkt die Nutzung dieser Telemetriedaten durch Cloudflare ein. Cloudflare fungiert als Unterauftragsverarbeiter für diese Research Preview.

Einen Tunnel deployen

Wenn du neu bei MCP-Tunneln bist, beginne mit dem Quickstart, um lokal einen funktionierenden Tunnel einzurichten, bevor du ein Produktions-Deployment konfigurierst.

Quickstart

Der kürzeste Weg zu einem funktionierenden Tunnel: Docker Compose mit einem Beispiel-MCP-Server.

Mit Helm deployen

Installation auf einem Kubernetes-Cluster mit dem Anthropic-Helm-Chart.

So wählst du zwischen den Optionen:

Deployment-Ziel
- Helm beim Deployment auf Kubernetes.
- Docker Compose für einen einzelnen Host oder lokales Testen.
Authentifizierung für das Setup
- Programmatischer Zugriff (über Workload Identity Federation), wenn du einen OIDC-Identity-Provider wie einen Kubernetes-Cluster, Cloud-IAM oder SPIFFE hast.
- Manuelle Anmeldedaten, wenn du keinen hast oder wenn du testest.

Die getunnelten MCP-Server verwenden

Sobald dein Tunnel aktiv ist (er hat ein aktives CA-Zertifikat und dein Tunnel-Stack ist verbunden), sind die Upstream-MCP-Server von Claude Managed Agents und der Messages API aus erreichbar.

Über die Console erstellte MCP-Tunnel sind nicht als Connectors in claude.ai verfügbar.

Managed Agents (Console)

Erstelle unter Managed Agents > Sessions eine Sitzung und wähle Create new agent, damit du die MCP-Server-Liste bearbeiten kannst.
Klicke auf + MCP Server und öffne das Dropdown-Menü. Tunnel im Workspace der Sitzung, die mindestens ein aktives Zertifikat haben, erscheinen oben in der Liste, über dem öffentlichen Connector-Katalog.
Wähle den Tunnel aus und gib die Subdomain an, die dein Proxy an einen bestimmten MCP-Server weiterleitet, sowie den Path, den der Upstream-MCP-Server erwartet. Die Zeile Resolves to zeigt die genaue URL.

Messages API

curl https://api.anthropic.com/v1/messages \
  -H "Content-Type: application/json" \
  -H "X-API-Key: $ANTHROPIC_API_KEY" \
  -H "anthropic-version: 2023-06-01" \
  -H "anthropic-beta: mcp-client-2025-11-20" \
  -d '{
    "model": "claude-opus-4-8",
    "max_tokens": 1000,
    "messages": [{"role": "user", "content": "Use the hello tool to greet tunnel."}],
    "mcp_servers": [
      {
        "type": "url",
        "url": "https://echo.YOUR_TUNNEL_DOMAIN_HERE/mcp",
        "name": "echo"
      }
    ],
    "tools": [{"type": "mcp_toolset", "mcp_server_name": "echo"}]
  }'

SDK-Beispiele in allen Sprachen findest du unter MCP-Connector; der einzige tunnelspezifische Wert ist die url.

Nächste Schritte

Sicherheit

Härtungsempfehlungen, Rotation von Anmeldedaten und Reaktion auf Sicherheitsvorfälle.

Fehlerbehebung

Diagnose von Konnektivitäts-, TLS- und Routing-Problemen.

Was this page helpful?