Przewodnik po prywatności tunelu Cloudflare
Ograniczenia prywatności Cloudflare Tunnel + VPN wyjaśnione
Cloudflare Tunnel może ukryć Twój domowy adres IP przed odwiedzającymi, a VPN zmienić adres źródłowy widziany przez Cloudflare. To może być przydatne, ale samo w sobie nie czyni strony anonimową.
Ten przewodnik oddziela popularny mit Cloudflare VPN od rzeczywistej konfiguracji: cloudflared łączy się z Cloudflare, opcjonalny routing VPN jest przed łącznikiem, a Twoje konto, domena, przeglądarka i ślady płatności nadal mają znaczenie.
Spis treści
Krótka odpowiedź: Tunnel z VPN to routing prywatności, nie anonimowość
Używaj Cloudflare Tunnel, gdy chcesz, by odwiedzający dotarli do strony bez poznawania Twojego adresu IP i bez bezpośredniego dostępu do routera. Dodaj routing VPN tylko, gdy chcesz ukryć adres IP łącznika przed Cloudflare.
Nawet wtedy Cloudflare ma konto, strefę, tunel, nazwę hosta i relację ruchu. Dostawca VPN może widzieć, że Twój łącznik komunikuje się z Cloudflare. Odwiedzający mogą identyfikować stronę przez treść, konta, analitykę, ciasteczka i odciski przeglądarki.
W tym artykule Cloudflare Tunnel oznacza łącznik cloudflared. VPN to albo osobna usługa VPN przed cloudflared, albo Cloudflare WARP jako osobny klient, a nie magiczna warstwa anonimowości.
Cloudflare Tunnel, WARP i VPN to różne rzeczy
Większość nieporozumień wynika z nazewnictwa. Cloudflare Tunnel publikuje prywatne źródło przez Cloudflare. WARP to klient urządzenia Cloudflare do kierowania ruchem użytkownika. Zwykły dostawca VPN to osobna sieć, przez którą kierujesz łącznik.
| Termin | Co to tu oznacza | Ograniczenie prywatności |
|---|---|---|
| Cloudflare Tunnel | cloudflared tworzy połączenia wychodzące z Twojego źródła do Cloudflare i mapuje publiczne nazwy hostów na prywatne usługi. | Chroni źródło przed odwiedzającymi, nie przed samym Cloudflare. |
| VPN przed cloudflared | Ruch łącznika jest kierowany przez klienta VPN zanim dotrze do Cloudflare. | Cloudflare może widzieć adres IP wyjścia VPN, a dostawca VPN może widzieć ruch do Cloudflare. |
| Cloudflare WARP | Klient urządzenia Cloudflare do kierowania ruchu użytkownika przez usługi Cloudflare. | To nie to samo co publikowanie strony za pomocą Cloudflare Tunnel. |
| Cloudflare VPN | Luźne określenie używane w odniesieniu do różnych pomysłów związanych z Cloudflare i VPN. | Unikaj tego zwrotu podczas planowania; podaj dokładną nazwę produktu lub trasy, o którą chodzi. |
Kto co widzi w konfiguracji Tunnel z VPN
Najbezpieczniej rozpatrywać konfigurację przez rozdzielenie odbiorców. Każdy widzi inną część łańcucha i żaden nie powinien być traktowany jako niewidomy.
| Widzący | Co mogą widzieć | Czego zwykle nie widzą | Główne ryzyko |
|---|---|---|---|
| Odwiedzający | Nazwa hosta, zawartość, nagłówki, ciasteczka, analityka i zachowanie na krawędzi Cloudflare. | Adres IP źródła mieszkaniowego, gdy DNS i routing wskazują tylko na Cloudflare. | Zawartość lub odciski przeglądarki mogą nadal identyfikować operatora. |
| Cloudflare | Konto, strefa, ID tunelu, publiczne nazwy hostów, ścieżka żądania i adres IP źródła łącznika. | Adres IP łącznika mieszkaniowego tylko jeśli trasa VPN działa i jest wymuszona. | Słabe konto lub powtórzone dane tożsamości nadal łączą projekt z Tobą. |
| Dostawca VPN | Twoja maszyna utrzymuje zaszyfrowany ruch do Cloudflare. W zależności od dostawcy mogą istnieć też dane konta i płatności. | Zawartość dla odwiedzających, gdy publiczna ścieżka HTTPS jest między nimi a Cloudflare. | Przeniosłeś zaufanie ze ścieżki ISP na dostawcę VPN. |
| Rejestrator i konta | Własność domeny, e-mail do odzyskiwania, rozliczenia i historia logowań. | Nic w konfiguracji sieci nie naprawia słabego rozdzielenia kont. | Ujawnienia tożsamości administracyjnej mogą zniweczyć prywatność sieci. |
Problem z rozłączeniem VPN: cloudflared może połączyć się ponownie przez normalną trasę
Jeśli cloudflared może korzystać z normalnej sieci po rozłączeniu VPN, Cloudflare nagle zobaczy ponownie adres IP mieszkania. To praktyczny błąd, który często jest pomijany.
Wyłącznik awaryjny działający tylko w przeglądarce lub aplikacji nie wystarczy, jeśli proces cloudflared może korzystać z normalnej domyślnej trasy.
Łącznik tunelu jest zaprojektowany tak, aby utrzymać trasę aktywną. Jeśli jedna ścieżka zniknie, może połączyć się ponownie przez inną dostępną trasę.
Stosuj reguły zapory, wiązanie interfejsu lub kontrolę dostawcy tylko, jeśli możesz potwierdzić, że cloudflared jest blokowany poza trasą VPN.
Nie publikuj logów ani zrzutów ekranu pokazujących ID łączników, adresy IP źródła, e-maile kont lub prywatne nazwy hostów.
Zatrzymaj VPN, uruchom ponownie cloudflared, zrestartuj maszynę i sprawdź źródło łącznika po stronie Cloudflare, zanim uznasz trasę za prywatną. Wyłącznik awaryjny jest przydatny tylko wtedy, gdy faktycznie blokuje cloudflared poza trasą VPN.
Tunnel z VPN nie zastępuje rozdzielenia tożsamości
Routing sieciowy to tylko jedna warstwa. Jeśli domena, e-mail, metoda płatności, przeglądarka administratora, konto analityczne i styl pisania wskazują na Twoją codzienną tożsamość, tunel tego nie naprawi.
Domena i DNS
Używaj oddzielnych kont rejestratora, skrzynek odzyskiwania i dostępu do DNS, gdy projekt nie powinien łączyć się z infrastrukturą osobistą.
Przeglądarka administratora
Nie zarządzaj stroną z tego samego profilu przeglądarki, który zawiera osobiste loginy, ciasteczka, rozszerzenia i synchronizację tożsamości.
Płatności
Karta, adres do faktury lub powtórzone konto e-mail mogą zidentyfikować projekt, nawet jeśli publiczny adres IP jest ukryty.
Styl treści
Styl pisania, powtarzające się awatary, ID analityki, nazwy repozytoriów i kanały wsparcia mogą połączyć projekt z Tobą.
Kiedy używać tylko Tunnel, Tunnel z VPN, GhostlyShare lub VPS
Wybierz najprostsze rozwiązanie, które rozwiązuje rzeczywisty problem ujawnienia. Dodanie VPN zwiększa prywatność, ale też ryzyko awarii, ślady kont i konieczność utrzymania.
| Trasa | Używaj, gdy | Unikaj, gdy |
|---|---|---|
| Tylko Cloudflare Tunnel | Chcesz stabilnej publicznej nazwy hosta bez ujawniania routera domowego odwiedzającym. | Cloudflare nie może widzieć adresu IP łącznika mieszkaniowego. |
| Routing Cloudflare Tunnel z VPN | Możesz wymusić, by cloudflared łączył się tylko przez przetestowaną trasę VPN. | Nie możesz przetestować awarii VPN, działania wyłącznika awaryjnego, restartów i logów. |
| GhostlyShare | Potrzebujesz tymczasowego podglądu localhost, wywołania webhook, linku demo lub szybkiego chronionego udostępnienia. | Potrzebujesz stałej trasy produkcyjnej z długoterminową konserwacją. |
| VPS lub serwer dedykowany | Chcesz lepszej izolacji od sieci domowej i możesz utrzymywać serwer. | Potrzebujesz tylko krótkiego podglądu lub nie możesz aktualizować i monitorować serwera. |
Jeśli potrzebujesz tylko krótkiego publicznego podglądu localhost, linku demo lub wywołania webhook, GhostlyShare pozwala uniknąć przekształcenia konfiguracji w stały hosting domowy.
Otwórz GhostlyShareWskazówka VPN: wybierz dostawcę pod kątem testowalnej awarii
Opcjonalny wybór VPN
Wybierz VPN pod kątem awarii, nie tylko ceny.
Jeśli Cloudflare ma widzieć adres IP wyjścia VPN, wybierz dostawcę, którego wyłącznik awaryjny i trasę WireGuard możesz przetestować na maszynie z cloudflared. Proton VPN to punkt startowy z naciskiem na prywatność; NordVPN to praktyczna alternatywa, gdy liczy się szybkość, dopracowana aplikacja i szeroki wybór serwerów.
Aktualny wybór rotacyjny: NordVPN
Warto sprawdzić oficjalną dokumentację przed poleganiem na tym
Cloudflare zmienia szczegóły produktów z czasem. Przed poleganiem na trasie sprawdź aktualną dokumentację Tunnel, Public Hostname, WARP i Split Tunnel.
Wymagania zapory dla tunelu Routing publicznej nazwy hosta Podział tuneli WARP
Najczęściej zadawane pytania o prywatność Cloudflare Tunnel i VPN
Najczęstsze pytania
Czy Cloudflare Tunnel z VPN czyni stronę anonimową?
Nie. Może ukryć domowy adres IP przed odwiedzającymi i czasem ukryć adres IP łącznika przed Cloudflare, ale konta, własność domeny, płatności, przeglądanie administracyjne, treści i logi dostawcy nadal mogą zidentyfikować operatora.
Czy Cloudflare Tunnel to VPN?
Nie. Cloudflare Tunnel to łącznik publikujący prywatne usługi przez Cloudflare bez przekierowania portów przychodzących. VPN kieruje ruch urządzenia przez serwer VPN. Cloudflare WARP to inny, osobny klient.
Co się dzieje, gdy VPN rozłącza się podczas działania cloudflared?
Jeśli nic nie blokuje cloudflared poza trasą VPN, może się ponownie połączyć przez normalną ścieżkę ISP. Przetestuj ponowne uruchomienia, rozłączenia VPN i restart maszyny, zanim zaufasz granicy prywatności.
Kiedy GhostlyShare jest lepszy niż Cloudflare Tunnel z VPN?
Używaj GhostlyShare, gdy potrzebujesz tymczasowego publicznego podglądu localhost, demo lub wywołania webhook i nie chcesz utrzymywać stałego hostingu domowego.