Website anonym von zu Hause mit Raspberry Pi hosten

Ein öffentlicher Raspberry Pi im Heimnetz kann mehr als nur eine IP-Adresse preisgeben. Dieses Setup minimiert diese Risiken effektiv:

• Verbergen Sie Ihre private IP hinter einem VPN-Ausgangspunkt, damit Beobachter den Raspberry Pi-Verkehr nicht mit Ihrem Standort verbinden können.
• Verzichten Sie auf eingehendes Port-Forwarding, da Ihr Raspberry Pi nur ausgehende Cloudflare Tunnel-Verbindungen nutzt.
• Überlassen Sie Cloudflare TLS, Caching und DDoS-Schutz, während der Raspberry Pi Ursprung privat bleibt.
• Behalten Sie die niedrigen Kosten und Flexibilität des Raspberry Pi Self-Hostings ohne einen separaten Server zu mieten.

Dieses Raspberry Pi Design nutzt einen einzigen ausgehenden Pfad und klare Vertrauenszonen, sodass Ihr Ursprung nie öffentlich routbar wird:

1. Besucher lösen Ihre Domain über Cloudflare DNS auf und beenden HTTPS am Cloudflare-Edge.
2. Ihr Raspberry Pi betreibt cloudflared, das einen ausschließlich ausgehenden Tunnel zu Cloudflare aufrechterhält.
3. Der Raspberry Pi leitet Tunnelverkehr über eine VPN-Schnittstelle, sodass Cloudflare nur die VPN-Ausgangs-IP sieht.
4. Der auf dem Raspberry Pi laufende Webserver antwortet, die Rückantworten laufen über VPN und Cloudflare Edge zurück.

Da der Raspberry Pi nur ausgehende Verbindungen herstellt, öffnet Ihr Router keine Ports nach außen, was die Angriffsfläche im Heimnetz deutlich reduziert.

Sammeln Sie folgende Hardware und Konten, bevor Sie Ihren Raspberry Pi als privaten Heim-Webserver hinter Cloudflare Tunnel einrichten:

• Ein Raspberry Pi 4 oder neuer mit mindestens 4 GB RAM, zuverlässiger Stromversorgung und einer langlebigen microSD-Karte oder SSD.
• Raspberry Pi OS Lite mit aktiviertem SSH und grundlegender Absicherung.
• Ein Cloudflare-Konto mit Ihrer Domain, die in Cloudflare DNS verwaltet wird.
• Zugang zum Cloudflare Zero Trust Dashboard zur Erstellung von Tunneln und Richtlinien.
• Ein VPN-Anbieter ohne Protokollierung, der WireGuard- oder OpenVPN-Konfigurationsdateien unterstützt.
• Optional: Ein Reverse Proxy wie Nginx, Caddy oder Traefik für Routing und Header.

Empfohlenes Raspberry-Pi-Starter-Kit

Hardware-Tipp

Raspberry Pi 4 Starter-Kit

Ein kompaktes Kit mit Board, Netzteil und Speicher bringt dein anonymes Hosting-Setup schnell online.

Bei Amazon shoppen

Wenn Sie ein datenschutzorientiertes VPN benötigen, bieten geprüfte Anbieter wie Proton VPN oder NordVPN unterstützen WireGuard auf dem Raspberry Pi und bieten Kill-Switch-Funktionen.

Sichern Sie das Raspberry Pi Basissystem ab, damit es stabil bleibt, auch wenn die Website über Cloudflare öffentlich erreichbar ist:

1. Aktualisieren Sie das Betriebssystem mit sudo apt update und sudo apt full-upgrade, und starten Sie neu.
2. Erstellen Sie einen Nicht-Root-Benutzer mit sudo-Rechten und deaktivieren Sie passwortbasierte SSH-Anmeldungen.
3. Aktivieren Sie automatische Updates, damit Sicherheitspatches automatisch installiert werden.
4. Wenden Sie Firewall-Regeln an, die nur den notwendigen ausgehenden Verkehr für VPN und Cloudflare erlauben.
5. Sichern Sie SSH mit reinen Schlüsselanmeldungen und aktivieren Sie fail2ban oder CrowdSec gegen Brute-Force-Angriffe.
6. Führen Sie Ihren Raspberry Pi Web-Stack unter systemd aus, damit Dienste nach Abstürzen automatisch neu starten.

Stellen Sie als Nächstes sicher, dass der Raspberry Pi Tunnel nur über einen verschlüsselten VPN-Pfad ins Internet gelangt:

1. Erstellen Sie WireGuard- oder OpenVPN-Profile von Ihrem VPN-Anbieter. WireGuard ist auf dem Raspberry Pi meist schneller.
2. Importieren Sie die Konfiguration. Bei WireGuard legen Sie sie in /etc/wireguard/wg0.conf.
3. Starten Sie das VPN und setzen Sie die VPN-Schnittstelle als Standardroute für ausgehenden Raspberry Pi Verkehr.
4. Aktivieren Sie den automatischen Start beim Booten mit systemd networkd oder NetworkManager.
5. Implementieren Sie einen Kill-Switch mit iptables oder nftables, damit cloudflared ohne VPN keine Verbindung herstellen kann.
6. Bestätigen Sie die Ausgangs-IP mit curl https://ifconfig.me damit Sie sicher sind, dass Cloudflare nur die VPN-Adresse sieht.

Mit aktiviertem VPN erstellen Sie auf dem Raspberry Pi einen Cloudflare Tunnel, der HTTPS-Anfragen an den lokalen Webserver weiterleitet:

1. Installieren Sie cloudflared aus dem offiziellen Repository oder verwenden Sie die eigenständige Binärdatei.
2. Authentifizieren Sie sich bei cloudflared tunnel login um Ihr Konto zu verbinden.
3. Erstellen Sie einen benannten Tunnel wie cloudflared tunnel create anonymous-site und notieren Sie die UUID.
4. Schreiben Sie /etc/cloudflared/config.yml mit Ingress-Regeln, die Ihren Hostnamen auf den Webservice des Raspberry Pi abbilden.
5. Erzwingen Sie, dass der Tunnel den VPN-Pfad nutzt, indem Sie die Standardroute auf der VPN-Schnittstelle belassen und die Kill-Switch-Regeln durchsetzen.
6. Erstellen Sie einen systemd-Dienst, damit der Tunnel beim Start automatisch startet und bei Fehlern neu startet.
7. Erstellen Sie den Cloudflare-DNS-Eintrag (CNAME), der Ihren Hostnamen auf die Tunnel-UUID unter cfargotunnel.com verweist.

Danach greifen Besucher über Cloudflare auf die Seite zu, während der Raspberry Pi als Ursprung privat und vor direkten Scans geschützt bleibt.

Lesen Sie die offizielle Cloudflare Tunnel Dokumentation für detailliertere Richtlinien.

Mehrschichtige Schutzmechanismen machen das Raspberry Pi Hosting zu Hause widerstandsfähig, selbst wenn eine Schutzmaßnahme ausfällt:

• Schützen Sie sensible Pfade mit Cloudflare Zero Trust Richtlinien oder Service-Tokens.
• Aktivieren Sie WAF-Regeln, Bot-Schutz und Ratenbegrenzung, um Missbrauch zu reduzieren.
• Verwenden Sie auf den Tunnel beschränkte Origin-Zertifikate und erzwingen Sie HTTPS durchgängig.
• Führen Sie fail2ban oder CrowdSec auf dem Pi aus, um wiederholte Authentifizierungsversuche zu blockieren.
• Trennen Sie öffentliche Inhalte von Admin-Dashboards und schützen Sie private Tools mit Cloudflare Access.
• Senden Sie bereinigte Logs über das VPN an einen entfernten Collector, um Metadaten-Lecks zu minimieren.

Überwachen Sie jede Raspberry Pi Ebene, damit Ausfälle nie zu unbeabsichtigten IP-Leaks führen:

• Führen Sie aus cloudflared tunnel info um zu bestätigen, dass der Connector gesund ist.
• Fragen Sie DNS mit dig +short und prüfen Sie, ob es auf Cloudflare-Edge-IP-Adressen auflöst.
• Überprüfen Sie die VPN-Schnittstelle mit wg show oder openvpn --status um zu bestätigen, dass die Verschlüsselung aktiv ist.
• Überwachen Sie CPU, Arbeitsspeicher, Festplattenzustand und Bandbreite des Raspberry Pi mit Netdata, Prometheus Node Exporter oder Grafana Agent.
• Planen Sie Uptime-Checks, um bei Ausfall von Tunnel oder VPN schnell benachrichtigt zu werden.
• Analysieren Sie Cloudflare-Daten auf Spitzen, Blockierungen und Muster, die auf Scans hindeuten.

Eine Website vom Raspberry Pi kann gut ranken, wenn die Auslieferung schnell und zuverlässig erfolgt:

• Aktivieren Sie Cloudflare-Caching und Performance-Funktionen, damit Inhalte weltweit schnell laden.
• Nutzen Sie Brotli und HTTP/3, um die Latenz zwischen Besuchern und Cloudflare-Edge zu verringern.
• Lagern Sie statische Inhalte an Cloudflare Workers oder Pages aus und behalten Sie die dynamische Logik auf dem Raspberry Pi.
• Fügen Sie JSON-LD strukturierte Daten hinzu, um die Chancen auf Rich Results zu erhöhen.
• Automatisieren Sie Deployments über den Tunnel, um Management-Ports nicht zu öffnen.
• Überwachen Sie Core Web Vitals mit datenschutzfreundlichen Analytics und beheben Sie Probleme frühzeitig.

Durch die Trennung von Auslieferung und Raspberry Pi Ursprungsverwaltung erhalten Sie globale Performance ohne Kompromisse bei der Privatsphäre.

Vertiefen Sie Ihr Wissen mit diesen Datenschutz- und Sicherheitsressourcen: