Rechtmäßiges, datenschutzorientiertes Veröffentlichen

Website anonym von zu Hause mit Cloudflare Tunnel und VPN hosten

Diese Anleitung zeigt, wie Sie Ihre Heim-IP vor Besuchern verbergen, indem Sie eine lokale Website über Cloudflare Tunnel veröffentlichen und cloudflared auf Wunsch zuerst über ein VPN leiten.

Die Datenschutzgrenze ist entscheidend: Besucher müssen Ihre private Anschluss-IP nicht kennen, Cloudflare kennt Ihr Konto aber weiterhin und ein VPN-Anbieter kann weiterhin sehen, dass Sie sich mit Cloudflare verbinden.

Windows-Einrichtung ansehen Sehen, wer noch was sieht
Dieser Artikel unterstützt ausschließlich rechtmäßige Privatsphäre.

Er ist für legitimes Self-Hosting, Tests, Veröffentlichungen und Forschung geschrieben. Betrug, Malware, Phishing, Belästigung oder andere illegale Aktivitäten werden damit nicht unterstützt.

Inhaltsverzeichnis

Was dieses Setup tatsächlich schützt

Das praktische Ziel ist nicht, vor jedem Anbieter zu verschwinden. Ziel ist, normale Besucher, Scanner und übliche DNS-Abfragen daran zu hindern, Ihre private Anschluss-IP zu erfahren oder Ihren Router direkt zu erreichen.

Die private Anschluss-IP vor Besuchern verbergen

DNS kann auf Cloudflare statt auf eine Heimadresse zeigen, sodass beiläufige Nachschläge nicht verraten, wo die Website gehostet wird.

Den Router geschlossen halten

Ein benannter Tunnel arbeitet nur ausgehend, daher benötigen Sie für die Website selbst kein eingehendes Port-Forwarding.

Direkte Origin-Exposition begrenzen

Ihre Website kann auf localhost oder einer anderen privaten Schnittstelle bleiben, während Cloudflare die öffentliche Erreichbarkeit übernimmt.

Ein realistisches Bedrohungsmodell beibehalten

Das ist Privatsphäre gegenüber Besuchern, aber keine Unsichtbarkeit vor Cloudflare, einem VPN-Anbieter oder Ihrer eigenen Kontospur.

Wer Sie weiterhin identifizieren kann

Am klarsten lässt sich anonymes Hosting von zu Hause verstehen, wenn Sie die Zuschauergruppen trennen. Jede Gruppe erfährt einen anderen Teil der Geschichte.

Besucher

  • Sie können Ihren öffentlichen Hostnamen, die TLS-Oberfläche sowie alle Inhalte, Header, Analytics und Cookies sehen, die Sie bewusst ausliefern.
  • Sie sehen in der Regel Cloudflare-Edge-IPs statt Ihrer Heim-IP, wenn DNS ausschließlich auf den Tunnel zeigt.
  • Sie können den Admin-Browser weiterhin per Fingerprinting einordnen, wenn Sie sich mit demselben Gerät oder Browserprofil am gleichen Backend anmelden.

Cloudflare

  • Cloudflare kennt das Konto, die Zone, die Tunnel-UUID, die konfigurierten Hostnamen und den Gesundheitszustand des Tunnels.
  • Cloudflare sieht außerdem die Quell-IP, mit der cloudflared verbindet. Das ist entweder Ihre Heim-IP oder die vorgeschaltete VPN-Exit-IP.
  • Ein VPN kann die private Quell-IP vor Cloudflare verbergen, entfernt aber nicht die Kontobeziehung zu Cloudflare.

VPN-Anbieter

  • Der VPN-Anbieter kann weiterhin sehen, dass Ihr Gerät verschlüsselten Verkehr zu Cloudflare aufrechterhält.
  • Wenn das VPN mit Ihrer normalen E-Mail oder Zahlungsidentität verknüpft ist, besteht diese Beziehung auch außerhalb des Tunnels weiter.
  • Ein VPN ändert, welche Quell-IP Cloudflare sieht. Es löscht nicht das Vertrauen, das Sie dem VPN-Anbieter selbst entgegenbringen.

Ihre weitergehende Identitätsspur

  • Domain-Registrar-Daten, Wiederherstellungspostfächer, Zahlungen und wiederverwendete Nutzernamen können das Projekt weiterhin auf Sie zurückführen.
  • Wenn Sie sich aus einem persönlichen Browserprofil in Admin-Oberflächen einloggen, kann die Website mit Ihrer Alltagsidentität korreliert werden.
  • In der Praxis hängt Anonymität ebenso von Ihrer operativen Disziplin ab wie vom Tunnel selbst.

Wie der Verkehrsweg funktioniert

Der saubere Pfad ist einfach: Die öffentliche Seite endet bei Cloudflare, während die private Seite ein lokaler Dienst bleibt, den nur cloudflared erreicht.

01 Besucher

Ruft Ihren Hostnamen auf und erreicht das Edge-Netzwerk von Cloudflare.

02 Cloudflare

Beendet HTTPS, wendet Regeln an und leitet die Anfrage in den benannten Tunnel weiter.

03 cloudflared.exe

Hält ausschließlich ausgehende Tunnelverbindungen von Ihrem Windows-Rechner zurück zu Cloudflare aufrecht.

04 Lokale Website

Antwortet auf localhost oder einer anderen privaten Origin-Adresse, ohne direkt dem Internet ausgesetzt zu sein.

Wo das VPN sitzt

Wenn cloudflared zuerst ein VPN nutzt, sieht Cloudflare die VPN-Exit-IP als Connector-Quelle statt Ihrer privaten Anschluss-IP. Fällt das VPN ohne Kill Switch aus, kann cloudflared über die normale ISP-Route neu verbinden.

Was cloudflared.exe unter Windows macht

cloudflared.exe ist weder ein VPN noch ein Anonymitätsnetzwerk. Es ist der Cloudflare-Connector, der einen Tunnel authentifiziert, langlebige ausgehende Verbindungen offen hält und einen öffentlichen Hostnamen auf einen lokalen Dienst abbildet.

Erstellt und authentifiziert benannte Tunnel

Sie können sich einmal anmelden, einen benannten Tunnel erstellen und ihn für einen stabilen Hostnamen wiederverwenden, statt auf Wegwerf-Links zu setzen.

Hält redundante ausgehende Verbindungen

Cloudflare dokumentiert, dass jeder Tunnel mehrere langlebige Verbindungen hält, damit die Route widerstandsfähig bleibt, wenn ein Pfad ausfällt.

Ordnet Hostnamen privaten Diensten zu

Eine Konfigurationsdatei kann app.example.com an http://localhost:3000 leiten, ohne localhost in einen öffentlichen Origin zu verwandeln.

Läuft interaktiv oder als Windows-Dienst

Sie können den Tunnel zunächst im Terminal testen und später in einen dauerhaft laufenden Windows-Dienst umwandeln.

Unterstützt mehr als nur Websites

Cloudflare Tunnel kann HTTP, HTTPS, TCP, SSH, RDP und ähnliche private Dienste veröffentlichen, aber diese Anleitung bleibt auf Websites fokussiert.

Für den genauen Hersteller-Workflow vergleichen Sie Ihr Setup mit der Cloudflare-Anleitung für lokal verwaltete Tunnel und der Windows-Dienst-Anleitung.

Windows-Einrichtung: cloudflared.exe Schritt für Schritt

Dieser Ablauf setzt voraus, dass eine Website lokal bereits funktioniert und Ihre Domain schon Cloudflare DNS nutzt. Das folgende Beispiel verwendet app.example.com und einen lokalen Dienst auf Port 3000.

Verwenden Sie für jeden Befehl unten PowerShell 7. Ersetzen Sie den Beispiel-Hostnamen, den Tunnelnamen und den lokalen Dienst, bevor Sie etwas kopieren.

01

Schritt 1: die Werte festlegen, die Sie mehrfach verwenden

Starten Sie in PowerShell 7 und ersetzen Sie den Beispiel-Hostnamen, den Tunnelnamen und den lokalen Dienst durch Ihre eigenen Werte, bevor Sie fortfahren.

CLIPowerShell 7
$TunnelName = "ghostly-home-site"
$PublicHostname = "app.example.com"
$LocalService = "http://localhost:3000"
$CloudflaredHome = "C:\Cloudflared\bin"
$ConfigPath = "$env:USERPROFILE\.cloudflared\config.yml"
02

Schritt 2: cloudflared.exe vorbereiten

Benennen Sie die heruntergeladene Binärdatei um, erstellen Sie einen eigenen Ordner dafür und kopieren Sie die ausführbare Datei in diesen Ordner.

CLIPowerShell 7
Rename-Item "$env:USERPROFILE\Downloads\cloudflared-windows-amd64.exe" "cloudflared.exe"
New-Item -ItemType Directory -Force $CloudflaredHome
Copy-Item "$env:USERPROFILE\Downloads\cloudflared.exe" "$CloudflaredHome\cloudflared.exe"
03

Schritt 3: in den Arbeitsordner wechseln und die Binärdatei prüfen

Wechseln Sie in den Ordner und bestätigen Sie, dass cloudflared.exe sauber startet, bevor Sie irgendetwas authentifizieren.

CLIPowerShell 7
Set-Location $CloudflaredHome
.\cloudflared.exe --version
04

Schritt 4: anmelden und die Cloudflare-Zone autorisieren

Dadurch öffnet sich der Browser, damit Sie die Zone freigeben können. Das Kontozertifikat wird in Ihr Standardverzeichnis .cloudflared geschrieben.

CLIPowerShell 7
.\cloudflared.exe tunnel login
05

Schritt 5: den benannten Tunnel erstellen und seine UUID speichern

Erstellen Sie den Tunnel und fügen Sie dann die UUID aus der Befehlsausgabe in die Variable unten ein, damit die nächsten Befehle sie wiederverwenden können.

CLIPowerShell 7
.\cloudflared.exe tunnel create $TunnelName
$TunnelId = "<paste-the-tunnel-uuid-from-the-create-output>"
06

Schritt 6: config.yml Zeile für Zeile schreiben

Diese Befehle bauen die lokale config.yml in Ihrem Windows-Profil auf, damit der Tunnel weiß, welcher öffentliche Hostname zu welchem lokalen Dienst weiterleiten soll.

CLIPowerShell 7
Set-Content $ConfigPath "tunnel: $TunnelId"
Add-Content $ConfigPath "credentials-file: $env:USERPROFILE\.cloudflared\$TunnelId.json"
Add-Content $ConfigPath ""
Add-Content $ConfigPath "ingress:"
Add-Content $ConfigPath "  - hostname: $PublicHostname"
Add-Content $ConfigPath "    service: $LocalService"
Add-Content $ConfigPath "  - service: http_status:404"
07

Schritt 7: die Konfiguration prüfen und validieren

Geben Sie die Datei einmal aus, damit Sie sie prüfen können, und lassen Sie danach die Ingress-Regeln von cloudflared validieren, bevor Sie DNS veröffentlichen.

CLIPowerShell 7
Get-Content $ConfigPath
.\cloudflared.exe tunnel ingress validate
08

Schritt 8: die DNS-Route erstellen und den Tunnel prüfen

Damit teilen Sie Cloudflare mit, welcher Hostname auf den benannten Tunnel zeigen soll, bevor Sie echten Traffic bedienen.

CLIPowerShell 7
.\cloudflared.exe tunnel route dns $TunnelName $PublicHostname
.\cloudflared.exe tunnel info $TunnelName
09

Schritt 9: den Tunnel im Vordergrund starten

Lassen Sie dieses PowerShell-7-Fenster geöffnet, während Sie die Website aus einem anderen Netzwerk testen. Beenden Sie es mit Strg+C, wenn Sie fertig sind.

CLIPowerShell 7
.\cloudflared.exe tunnel run $TunnelName
Optional: den Tunnel in einen Windows-Dienst umwandeln

Tun Sie das erst, nachdem der interaktive Tunnel funktioniert. Führen Sie die folgenden Befehle in einem erhöhten PowerShell-7-Fenster aus, weil der Dienst den Systemprofil-Pfad und den Dienst-Registry-Eintrag verwendet.

01

Dienst-Schritt 1: die Windows-Diensthülle installieren

Öffnen Sie für diesen optionalen Schritt ein erhöhtes PowerShell-7-Fenster und installieren Sie zuerst den Cloudflared-Dienst.

CLIPowerShell 7 (Admin)
Set-Location $CloudflaredHome
.\cloudflared.exe service install
02

Dienst-Schritt 2: cert.pem, Zugangsdaten und config in das Systemprofil kopieren

Der Windows-Dienst läuft unter dem Systemprofil und benötigt daher seinen eigenen .cloudflared-Ordner mit Zertifikat, Tunnel-Zugangsdaten und config.yml.

CLIPowerShell 7 (Admin)
$SystemCloudflaredHome = "C:\Windows\System32\config\systemprofile\.cloudflared"
New-Item -ItemType Directory -Force $SystemCloudflaredHome
Copy-Item "$env:USERPROFILE\.cloudflared\cert.pem" "$SystemCloudflaredHome\cert.pem"
Copy-Item "$env:USERPROFILE\.cloudflared\$TunnelId.json" "$SystemCloudflaredHome\$TunnelId.json"
Set-Content "$SystemCloudflaredHome\config.yml" "tunnel: $TunnelId"
Add-Content "$SystemCloudflaredHome\config.yml" "credentials-file: $SystemCloudflaredHome\$TunnelId.json"
Add-Content "$SystemCloudflaredHome\config.yml" ""
Add-Content "$SystemCloudflaredHome\config.yml" "ingress:"
Add-Content "$SystemCloudflaredHome\config.yml" "  - hostname: $PublicHostname"
Add-Content "$SystemCloudflaredHome\config.yml" "    service: $LocalService"
Add-Content "$SystemCloudflaredHome\config.yml" "  - service: http_status:404"
03

Dienst-Schritt 3: den ImagePath auf die System-Konfiguration setzen und den Dienst starten

Die Windows-Dienst-Dokumentation von Cloudflare verlangt außerdem, dass der ImagePath von Cloudflared auf die config-Datei im Systemprofil verweist.

CLIPowerShell 7 (Admin)
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Cloudflared" -Name ImagePath -Value "C:\Cloudflared\bin\cloudflared.exe --config=C:\Windows\System32\config\systemprofile\.cloudflared\config.yml tunnel run"
sc.exe start cloudflared

Das spiegelt den Windows-Dienstablauf von Cloudflare wider: Kopieren Sie cert.pem und die Tunnel-Zugangsdaten in das Systemprofil, schreiben Sie dort eine config.yml und zeigen Sie dann den ImagePath des Cloudflared-Dienstes auf genau diese Konfiguration.

Regeln für VPN-Platzierung und Härtung

Der Tunnel ist nur so privat wie die Route darunter. Wenn Cloudflare statt einer privaten Anschluss-IP eine VPN-Exit-IP sehen soll, muss das VPN Teil des Connector-Pfads sein, bevor cloudflared startet.

Das VPN vor cloudflared starten

Prüfen Sie zuerst die öffentliche IP auf dem Host. Wenn der Rechner noch die ISP-IP zeigt, sieht Cloudflare genau diese IP, sobald der Tunnel verbindet.

Einen echten Kill Switch verwenden

Wenn das VPN ausfällt und keine Firewall-Regel greift, kann cloudflared über die normale Heimroute neu verbinden.

Den Origin lokal halten

Binden Sie den Webdienst nach Möglichkeit an localhost oder eine private Schnittstelle, damit der Tunnel der einzige beabsichtigte öffentliche Pfad bleibt.

Logs als sensibel behandeln

Die Dokumentation von Cloudflare warnt davor, dass Debug-Logging Request-URLs, Methoden, Protokolle, Inhaltslängen und Header erfassen kann. Nutzen Sie im normalen Betrieb reguläres Logging.

Optionale VPN-Auswahl und Vergleich

Möchten Sie einen schnellen VPN-Shortcut oder lieber einen breiteren Vergleich?

Wenn Sie einfach nur einen schnellen Startpunkt möchten, öffnet der rotierende VPN-Button unten eine aktuelle Option. Wenn Sie erst viele Alternativen vergleichen möchten, nutzen Sie stattdessen das vollständige VPN-Verzeichnis.

Aktuelle rotierende Auswahl: NordVPN

Aktuelle VPN-Auswahl öffnen Alle VPN-Anbieter ansehen

Wenn der Tunnel stoppt, während der DNS-Eintrag aktiv bleibt, sehen Besucher typischerweise einen Cloudflare-Fehler, bis der Connector zurückkommt. Das ist auffällig, aber immer noch besser, als stillschweigend eine Heim-IP preiszugeben.

Prüfliste, bevor Sie dem Setup vertrauen

Gehen Sie nicht davon aus, dass das Setup privat ist, nur weil die Website einmal lädt. Prüfen Sie die Route wie ein Operator, nicht wie ein Marketer.

DNS löst zu Cloudflare auf, nicht zu Ihrer Heim-IP

Eine kurze externe Abfrage sollte auf Cloudflare zeigende Records zeigen, nicht auf eine private Anschlussadresse.

Der Host zeigt die VPN-Exit-IP, bevor der Tunnel startet

Prüfen Sie zuerst die öffentliche IP des Rechners, damit Sie wissen, was Cloudflare auf der Connector-Seite sehen wird.

Die Website funktioniert aus einem anderen Netzwerk ohne Port-Forwarding

Testen Sie über mobile Daten oder ein anderes externes Netzwerk, damit Sie nicht von einer lokalen Routing-Abkürzung getäuscht werden.

Ein VPN-Ausfall erlaubt keinen Rückfall auf die Heimroute

Simulieren Sie den Fehlerfall einmal. Wenn cloudflared über die ISP-Route neu verbindet, ist das Datenschutzmodell gebrochen.

Wann GhostlyShare der einfachere Weg ist

GhostlyShare

Wenn Sie nur eine temporäre öffentliche Vorschau, eine schnelle Kundendemo oder eine Webhook-Callback-URL brauchen, ist GhostlyShare der einfachere Weg. Es vermeidet den Großteil der manuellen Arbeit in Cloudflare-Dashboard, DNS und config.yml.

Nutzen Sie manuelles cloudflared, wenn Sie die volle Kontrolle über Tunnel, DNS, Dienstkonto-Pfad und länger laufendes Hosting von zu Hause wollen. Nutzen Sie GhostlyShare, wenn Geschwindigkeit wichtiger ist als Infrastruktur-Zeremonie.

GhostlyShare ansehen

Häufige Fragen zum anonymen Hosting von zu Hause

Weiß Cloudflare trotzdem, wer ich bin

Ja. Cloudflare kennt weiterhin das Konto, die Zone, den Tunnel und die Quell-IP, die den Edge erreicht. Ein VPN kann die private Quell-IP ersetzen, die Cloudflare sieht, entfernt aber nicht die Kontobeziehung zu Cloudflare.

Sehen Besucher meine Heim-IP-Adresse

Normalerweise nicht, wenn Ihr DNS nur auf Cloudflare zeigt und Sie den Origin nicht auf anderem Weg freigelegt haben. Besucher erreichen den Cloudflare-Edge und den öffentlichen Hostnamen, nicht die private Anschluss-IP hinter dem Tunnel.

Brauche ich Port-Forwarding im Router

Nein. Cloudflare Tunnel arbeitet nur ausgehend, daher verbindet sich der Connector zu Cloudflare, statt auf eingehenden Verkehr aus dem Internet zu warten.

Kann ich cloudflared.exe nur bei Bedarf starten

Ja. Starten Sie den Tunnel interaktiv aus PowerShell, wenn Sie die Website nur vorübergehend brauchen. Wandeln Sie ihn erst dann in einen Windows-Dienst um, wenn die Route auch nach Abmeldung oder Neustart verfügbar bleiben soll.

Was passiert, wenn das VPN ausfällt

Ohne Kill Switch kann cloudflared über die normale Heimroute neu verbinden und Cloudflare sieht dann die IP Ihres Heimanschlusses. Deshalb ist der Fehlerfall genauso wichtig wie der Erfolgsfall.

Reicht das aus, um das ganze Projekt anonym zu machen

Nein. Domain-Registrierung, Zahlungen, Wiederherstellungs-E-Mails, Browser-Fingerprints und Admin-Verhalten können Sie weiterhin identifizieren. Der Tunnel löst nur einen Teil des Expositionsproblems.

Verwandte Anleitungen

Leitfaden Was ist ein VPN? Datenschutz, Sicherheit und Anonymität erklärt

Lesen Sie zuerst die Grundlagen der Netzwerkschicht, bevor Sie sich darauf verlassen, dass ein VPN die Quell-IP verbirgt, die Cloudflare sieht.

 Leitfaden Überprüfen Sie Ihren Online-Fingerabdruck und Tracking-Risiken

Nutzen Sie die Fingerprint-Seite, um browserseitige Hinweise zu verringern, die Ihre Admin-Sitzungen weiterhin korrelieren können.

 Tool GhostlyShare: localhost unter Windows und Linux teilen

Nutzen Sie den einfacheren Desktop-Weg, wenn Sie einen öffentlichen Vorschau-Link möchten, ohne den kompletten Cloudflare-Workflow manuell aufzubauen.

 Verzeichnis VPN-Anbieter weltweit: Audits, Datenschutz und Passform vergleichen

Nutzen Sie das vollständige VPN-Verzeichnis, wenn Sie viele Anbieter vergleichen möchten, bevor Sie einen für die Tunnel-Route auswählen.