Przewodnik po prywatności tunelu Cloudflare

Ograniczenia prywatności Cloudflare Tunnel + VPN wyjaśnione

Cloudflare Tunnel może ukryć Twój domowy adres IP przed odwiedzającymi, a VPN zmienić adres źródłowy widziany przez Cloudflare. To może być przydatne, ale samo w sobie nie czyni strony anonimową.

Ten przewodnik oddziela popularny mit Cloudflare VPN od rzeczywistej konfiguracji: cloudflared łączy się z Cloudflare, opcjonalny routing VPN jest przed łącznikiem, a Twoje konto, domena, przeglądarka i ślady płatności nadal mają znaczenie.

Krótka odpowiedź: Tunnel z VPN to routing prywatności, nie anonimowość

Używaj Cloudflare Tunnel, gdy chcesz, by odwiedzający dotarli do strony bez poznawania Twojego adresu IP i bez bezpośredniego dostępu do routera. Dodaj routing VPN tylko, gdy chcesz ukryć adres IP łącznika przed Cloudflare.

Nawet wtedy Cloudflare ma konto, strefę, tunel, nazwę hosta i relację ruchu. Dostawca VPN może widzieć, że Twój łącznik komunikuje się z Cloudflare. Odwiedzający mogą identyfikować stronę przez treść, konta, analitykę, ciasteczka i odciski przeglądarki.

Nie istnieje oficjalny produkt o nazwie Cloudflare VPN.

W tym artykule Cloudflare Tunnel oznacza łącznik cloudflared. VPN to albo osobna usługa VPN przed cloudflared, albo Cloudflare WARP jako osobny klient, a nie magiczna warstwa anonimowości.

Cloudflare Tunnel, WARP i VPN to różne rzeczy

Większość nieporozumień wynika z nazewnictwa. Cloudflare Tunnel publikuje prywatne źródło przez Cloudflare. WARP to klient urządzenia Cloudflare do kierowania ruchem użytkownika. Zwykły dostawca VPN to osobna sieć, przez którą kierujesz łącznik.

TerminCo to tu oznaczaOgraniczenie prywatności
Cloudflare Tunnelcloudflared tworzy połączenia wychodzące z Twojego źródła do Cloudflare i mapuje publiczne nazwy hostów na prywatne usługi.Chroni źródło przed odwiedzającymi, nie przed samym Cloudflare.
VPN przed cloudflaredRuch łącznika jest kierowany przez klienta VPN zanim dotrze do Cloudflare.Cloudflare może widzieć adres IP wyjścia VPN, a dostawca VPN może widzieć ruch do Cloudflare.
Cloudflare WARPKlient urządzenia Cloudflare do kierowania ruchu użytkownika przez usługi Cloudflare.To nie to samo co publikowanie strony za pomocą Cloudflare Tunnel.
Cloudflare VPNLuźne określenie używane w odniesieniu do różnych pomysłów związanych z Cloudflare i VPN.Unikaj tego zwrotu podczas planowania; podaj dokładną nazwę produktu lub trasy, o którą chodzi.

Kto co widzi w konfiguracji Tunnel z VPN

Najbezpieczniej rozpatrywać konfigurację przez rozdzielenie odbiorców. Każdy widzi inną część łańcucha i żaden nie powinien być traktowany jako niewidomy.

WidzącyCo mogą widziećCzego zwykle nie widząGłówne ryzyko
OdwiedzającyNazwa hosta, zawartość, nagłówki, ciasteczka, analityka i zachowanie na krawędzi Cloudflare.Adres IP źródła mieszkaniowego, gdy DNS i routing wskazują tylko na Cloudflare.Zawartość lub odciski przeglądarki mogą nadal identyfikować operatora.
CloudflareKonto, strefa, ID tunelu, publiczne nazwy hostów, ścieżka żądania i adres IP źródła łącznika.Adres IP łącznika mieszkaniowego tylko jeśli trasa VPN działa i jest wymuszona.Słabe konto lub powtórzone dane tożsamości nadal łączą projekt z Tobą.
Dostawca VPNTwoja maszyna utrzymuje zaszyfrowany ruch do Cloudflare. W zależności od dostawcy mogą istnieć też dane konta i płatności.Zawartość dla odwiedzających, gdy publiczna ścieżka HTTPS jest między nimi a Cloudflare.Przeniosłeś zaufanie ze ścieżki ISP na dostawcę VPN.
Rejestrator i kontaWłasność domeny, e-mail do odzyskiwania, rozliczenia i historia logowań.Nic w konfiguracji sieci nie naprawia słabego rozdzielenia kont.Ujawnienia tożsamości administracyjnej mogą zniweczyć prywatność sieci.

Problem z rozłączeniem VPN: cloudflared może połączyć się ponownie przez normalną trasę

Jeśli cloudflared może korzystać z normalnej sieci po rozłączeniu VPN, Cloudflare nagle zobaczy ponownie adres IP mieszkania. To praktyczny błąd, który często jest pomijany.

Wyłącznik awaryjny musi obejmować cloudflared

Wyłącznik awaryjny działający tylko w przeglądarce lub aplikacji nie wystarczy, jeśli proces cloudflared może korzystać z normalnej domyślnej trasy.

Ponowne łączenia to normalne zachowanie

Łącznik tunelu jest zaprojektowany tak, aby utrzymać trasę aktywną. Jeśli jedna ścieżka zniknie, może połączyć się ponownie przez inną dostępną trasę.

Reguły routingu wymagają potwierdzenia

Stosuj reguły zapory, wiązanie interfejsu lub kontrolę dostawcy tylko, jeśli możesz potwierdzić, że cloudflared jest blokowany poza trasą VPN.

Rejestrowanie wymaga umiaru

Nie publikuj logów ani zrzutów ekranu pokazujących ID łączników, adresy IP źródła, e-maile kont lub prywatne nazwy hostów.

Nie ufaj konfiguracji, dopóki nie przetestujesz awarii.

Zatrzymaj VPN, uruchom ponownie cloudflared, zrestartuj maszynę i sprawdź źródło łącznika po stronie Cloudflare, zanim uznasz trasę za prywatną. Wyłącznik awaryjny jest przydatny tylko wtedy, gdy faktycznie blokuje cloudflared poza trasą VPN.

Tunnel z VPN nie zastępuje rozdzielenia tożsamości

Routing sieciowy to tylko jedna warstwa. Jeśli domena, e-mail, metoda płatności, przeglądarka administratora, konto analityczne i styl pisania wskazują na Twoją codzienną tożsamość, tunel tego nie naprawi.

Domena i DNS

Używaj oddzielnych kont rejestratora, skrzynek odzyskiwania i dostępu do DNS, gdy projekt nie powinien łączyć się z infrastrukturą osobistą.

Przeglądarka administratora

Nie zarządzaj stroną z tego samego profilu przeglądarki, który zawiera osobiste loginy, ciasteczka, rozszerzenia i synchronizację tożsamości.

Płatności

Karta, adres do faktury lub powtórzone konto e-mail mogą zidentyfikować projekt, nawet jeśli publiczny adres IP jest ukryty.

Styl treści

Styl pisania, powtarzające się awatary, ID analityki, nazwy repozytoriów i kanały wsparcia mogą połączyć projekt z Tobą.

Kiedy używać tylko Tunnel, Tunnel z VPN, GhostlyShare lub VPS

Wybierz najprostsze rozwiązanie, które rozwiązuje rzeczywisty problem ujawnienia. Dodanie VPN zwiększa prywatność, ale też ryzyko awarii, ślady kont i konieczność utrzymania.

TrasaUżywaj, gdyUnikaj, gdy
Tylko Cloudflare TunnelChcesz stabilnej publicznej nazwy hosta bez ujawniania routera domowego odwiedzającym.Cloudflare nie może widzieć adresu IP łącznika mieszkaniowego.
Routing Cloudflare Tunnel z VPNMożesz wymusić, by cloudflared łączył się tylko przez przetestowaną trasę VPN.Nie możesz przetestować awarii VPN, działania wyłącznika awaryjnego, restartów i logów.
GhostlySharePotrzebujesz tymczasowego podglądu localhost, wywołania webhook, linku demo lub szybkiego chronionego udostępnienia.Potrzebujesz stałej trasy produkcyjnej z długoterminową konserwacją.
VPS lub serwer dedykowanyChcesz lepszej izolacji od sieci domowej i możesz utrzymywać serwer.Potrzebujesz tylko krótkiego podglądu lub nie możesz aktualizować i monitorować serwera.
GhostlyShare to lżejsza ścieżka do tymczasowych podglądów.

Jeśli potrzebujesz tylko krótkiego publicznego podglądu localhost, linku demo lub wywołania webhook, GhostlyShare pozwala uniknąć przekształcenia konfiguracji w stały hosting domowy.

Otwórz GhostlyShare

Wskazówka VPN: wybierz dostawcę pod kątem testowalnej awarii

Opcjonalny wybór VPN

Wybierz VPN pod kątem awarii, nie tylko ceny.

Jeśli Cloudflare ma widzieć adres IP wyjścia VPN, wybierz dostawcę, którego wyłącznik awaryjny i trasę WireGuard możesz przetestować na maszynie z cloudflared. Proton VPN to punkt startowy z naciskiem na prywatność; NordVPN to praktyczna alternatywa, gdy liczy się szybkość, dopracowana aplikacja i szeroki wybór serwerów.

Aktualny wybór rotacyjny: NordVPN

Warto sprawdzić oficjalną dokumentację przed poleganiem na tym

Cloudflare zmienia szczegóły produktów z czasem. Przed poleganiem na trasie sprawdź aktualną dokumentację Tunnel, Public Hostname, WARP i Split Tunnel.

Najczęściej zadawane pytania o prywatność Cloudflare Tunnel i VPN

Najczęstsze pytania

Czy Cloudflare Tunnel z VPN czyni stronę anonimową?

Nie. Może ukryć domowy adres IP przed odwiedzającymi i czasem ukryć adres IP łącznika przed Cloudflare, ale konta, własność domeny, płatności, przeglądanie administracyjne, treści i logi dostawcy nadal mogą zidentyfikować operatora.

Czy Cloudflare Tunnel to VPN?

Nie. Cloudflare Tunnel to łącznik publikujący prywatne usługi przez Cloudflare bez przekierowania portów przychodzących. VPN kieruje ruch urządzenia przez serwer VPN. Cloudflare WARP to inny, osobny klient.

Co się dzieje, gdy VPN rozłącza się podczas działania cloudflared?

Jeśli nic nie blokuje cloudflared poza trasą VPN, może się ponownie połączyć przez normalną ścieżkę ISP. Przetestuj ponowne uruchomienia, rozłączenia VPN i restart maszyny, zanim zaufasz granicy prywatności.

Kiedy GhostlyShare jest lepszy niż Cloudflare Tunnel z VPN?

Używaj GhostlyShare, gdy potrzebujesz tymczasowego publicznego podglądu localhost, demo lub wywołania webhook i nie chcesz utrzymywać stałego hostingu domowego.