Hébergez un site anonymement chez vous avec un Raspberry Pi

Héberger un site public sur un Raspberry Pi dans votre réseau domestique peut révéler bien plus qu’une simple IP. Cette configuration réduit cette exposition concrètement :

• Cachez l’IP domestique derrière un nœud de sortie VPN pour empêcher toute corrélation entre le trafic Raspberry Pi et votre localisation.
• Supprimez le transfert de ports entrants car votre Raspberry Pi ne maintient que des connexions sortantes via Cloudflare Tunnel.
• Laissez Cloudflare gérer TLS, le cache et l’absorption des DDoS pendant que l’origine Raspberry Pi reste privée.
• Conservez le faible coût et la flexibilité de l’auto-hébergement Raspberry Pi sans louer de serveur externe.

Cette conception Raspberry Pi utilise un seul chemin sortant et des zones de confiance claires pour que votre origine ne soit jamais routable publiquement :

1. Les visiteurs résolvent votre domaine via le DNS Cloudflare et terminent le HTTPS au niveau du réseau Cloudflare.
2. Votre Raspberry Pi exécute cloudflared, qui maintient un tunnel uniquement sortant vers Cloudflare.
3. Le Raspberry Pi force le trafic du tunnel à passer par une interface VPN, ainsi Cloudflare ne voit que l’IP de sortie VPN.
4. Le serveur web sur le Raspberry Pi répond, et les réponses transitent par le VPN et le réseau Cloudflare.

Comme le Raspberry Pi ne fait que des connexions sortantes, votre routeur n’expose aucun port ouvert sur Internet, réduisant ainsi considérablement la surface d’attaque domestique.

Rassemblez le matériel et les comptes suivants avant de transformer votre Raspberry Pi en serveur web privé derrière Cloudflare Tunnel :

• Un Raspberry Pi 4 ou plus récent avec au moins 4 Go de RAM, une alimentation fiable, et une carte microSD ou un SSD haute endurance.
• Raspberry Pi OS Lite avec SSH activé et durcissement de base appliqué.
• Un compte Cloudflare avec votre domaine géré dans le DNS Cloudflare.
• Accès au tableau de bord Cloudflare Zero Trust pour créer des tunnels et des politiques.
• Un fournisseur VPN sans logs qui supporte les fichiers de configuration WireGuard ou OpenVPN.
• Optionnel : un reverse proxy comme Nginx, Caddy ou Traefik pour le routage et les en-têtes.

Kit de démarrage Raspberry Pi recommandé

Sélection matériel

Kit de démarrage Raspberry Pi 4

Un kit compact avec carte, alimentation et stockage vous aide à mettre rapidement en ligne l'hébergement anonyme.

Acheter sur Amazon

Si vous cherchez un VPN axé sur la confidentialité, des fournisseurs audités comme Proton VPN ou NordVPN supportent WireGuard sur Raspberry Pi et proposent des contrôles de kill switch.

Renforcez le système de base du Raspberry Pi pour qu’il reste stable même lorsque le site devient accessible publiquement via Cloudflare :

1. Mettez à jour le système avec sudo apt update et sudo apt full-upgrade, puis redémarrez.
2. Créez un utilisateur non root avec privilèges sudo et désactivez les connexions SSH par mot de passe.
3. Activez les mises à jour automatiques pour que les correctifs de sécurité s’installent automatiquement.
4. Appliquez des règles de pare-feu autorisant uniquement le trafic sortant nécessaire pour le VPN et Cloudflare.
5. Renforcez SSH avec des connexions par clé uniquement et activez fail2ban ou CrowdSec pour ralentir les tentatives de force brute.
6. Exécutez votre stack web Raspberry Pi sous systemd pour que les services redémarrent automatiquement après un plantage.

Ensuite, assurez-vous que le tunnel Raspberry Pi ne puisse accéder à Internet que via un chemin VPN chiffré :

1. Générez des profils WireGuard ou OpenVPN auprès de votre fournisseur VPN. WireGuard est généralement plus rapide sur Raspberry Pi.
2. Importez la configuration. Pour WireGuard, placez-la dans /etc/wireguard/wg0.conf.
3. Démarrez le VPN et définissez l’interface VPN comme route par défaut pour le trafic sortant du Raspberry Pi.
4. Activez le démarrage automatique au boot via systemd networkd ou NetworkManager.
5. Mettez en place un kill switch avec iptables ou nftables pour empêcher cloudflared de se connecter sans VPN.
6. Confirmez l’IP de sortie avec curl https://ifconfig.me pour vous assurer que Cloudflare ne verra jamais que l’adresse VPN.

Avec le VPN actif, créez un tunnel Cloudflare sur le Raspberry Pi qui proxyfie les requêtes HTTPS vers le serveur web local :

1. Installez cloudflared depuis le dépôt officiel ou utilisez le binaire autonome.
2. Authentifiez-vous avec cloudflared tunnel login pour connecter votre compte.
3. Créez un tunnel nommé comme cloudflared tunnel create anonymous-site et notez l’UUID.
4. Écrivez /etc/cloudflared/config.yml avec des règles d’ingress mappant votre nom d’hôte au service web tournant sur le Raspberry Pi.
5. Forcez le tunnel à utiliser le chemin VPN en conservant la route par défaut sur l’interface VPN et en appliquant les règles du kill switch.
6. Créez un service systemd pour que le tunnel démarre au boot et redémarre en cas d’échec.
7. Créez l’enregistrement DNS Cloudflare (CNAME) qui pointe votre nom d’hôte vers l’UUID du tunnel sous cfargotunnel.com.

Ensuite, les visiteurs accèdent au site via Cloudflare tandis que l’origine Raspberry Pi reste privée et inaccessible aux scans directs.

Consultez la documentation officielle de Cloudflare Tunnel pour des conseils plus approfondis sur les politiques.

Des défenses en couches assurent la résilience de l’hébergement Raspberry Pi même en cas de défaillance d’un contrôle :

• Protégez les chemins sensibles avec les politiques Cloudflare Zero Trust ou des jetons de service.
• Activez les règles WAF, la protection contre les bots et la limitation de débit pour réduire les abus.
• Utilisez des certificats d’origine limités au tunnel et appliquez le HTTPS de bout en bout.
• Exécutez fail2ban ou CrowdSec sur le Pi pour bloquer les tentatives d’authentification répétées.
• Séparez le contenu public des tableaux de bord administratifs et protégez les outils privés avec Cloudflare Access.
• Envoyez des logs épurés à un collecteur distant via le VPN pour minimiser l’exposition des métadonnées.

Surveillez chaque couche du Raspberry Pi pour éviter toute fuite accidentelle d’IP d’origine en cas de panne :

• Exécutez cloudflared tunnel info pour confirmer que le connecteur est sain.
• Interrogez le DNS avec dig +short et vérifiez qu’il résout vers les IPs du réseau Cloudflare.
• Vérifiez l’interface VPN avec wg show ou openvpn --status pour confirmer que le chiffrement est actif.
• Surveillez CPU, mémoire, santé disque et bande passante du Raspberry Pi avec Netdata, Prometheus Node Exporter ou Grafana Agent.
• Planifiez des contrôles de disponibilité pour recevoir rapidement des alertes en cas de chute du tunnel ou du VPN.
• Analysez les statistiques Cloudflare pour détecter pics, blocages et comportements suspects.

Un site hébergé sur un Raspberry Pi peut bien se positionner si la livraison est rapide et régulière :

• Activez la mise en cache et les fonctionnalités de performance Cloudflare pour un chargement rapide des ressources dans le monde entier.
• Utilisez Brotli et HTTP/3 pour réduire la latence entre les visiteurs et le réseau Cloudflare.
• Déléguez les ressources statiques à Cloudflare Workers ou Pages tout en conservant la logique dynamique sur le Raspberry Pi.
• Ajoutez des données structurées JSON-LD pour améliorer l’éligibilité aux résultats enrichis lorsque pertinent.
• Automatisez les déploiements via le tunnel pour éviter d’exposer les ports de gestion.
• Surveillez les Core Web Vitals avec des outils analytiques respectueux de la vie privée et corrigez rapidement les régressions.

En séparant la diffusion de la gestion de l’origine Raspberry Pi, vous bénéficiez d’une performance mondiale sans compromettre la confidentialité.

Approfondissez avec ces ressources sur la confidentialité et la sécurité :