Руководство по конфиденциальности Cloudflare Tunnel

Ограничения приватности Cloudflare Tunnel + VPN

Cloudflare Tunnel скрывает ваш домашний IP от посетителей, а VPN меняет исходный IP, который видит Cloudflare. Это полезно, но не делает сайт анонимным самостоятельно.

Это руководство отделяет миф о Cloudflare VPN от реальной настройки: cloudflared подключается к Cloudflare, опциональная маршрутизация через VPN перед коннектором, а ваш аккаунт, домен, браузер и платежи всё ещё важны.

Кратко: Tunnel с VPN — это маршрутизация приватности, а не анонимность

Используйте Cloudflare Tunnel, если хотите, чтобы посетители заходили на сайт без знания вашего домашнего IP и без прямого доступа к роутеру. Добавляйте VPN-маршрутизацию только при необходимости скрыть IP коннектора от Cloudflare.

Даже тогда Cloudflare имеет данные аккаунта, зоны, туннеля, хостнейма и трафика. VPN-провайдер может видеть, что ваш коннектор общается с Cloudflare. Посетители могут идентифицировать сайт по контенту, аккаунтам, аналитике, куки и отпечаткам браузера.

Нет официального продукта под названием Cloudflare VPN.

В этой статье Cloudflare Tunnel — это коннектор cloudflared. VPN — отдельный VPN-сервис перед cloudflared или Cloudflare WARP как отдельный клиент, а не магический слой анонимности.

Cloudflare Tunnel, WARP и VPN — разные вещи

Большая часть путаницы связана с терминологией. Cloudflare Tunnel публикует приватный источник через Cloudflare. WARP — клиент Cloudflare для маршрутизации трафика пользователя. Обычный VPN — отдельная сеть, через которую вы направляете коннектор.

ТерминЧто это значит здесьОграничение приватности
Cloudflare Tunnelcloudflared создаёт исходящие соединения от вашего источника к Cloudflare и сопоставляет публичные хосты с приватными сервисами.Он защищает источник от посетителей, а не от самого Cloudflare.
VPN перед cloudflaredТрафик коннектора направляется через VPN-клиент перед достижением Cloudflare.Cloudflare может видеть IP выхода VPN, а провайдер VPN — трафик к Cloudflare.
Cloudflare WARPКлиент Cloudflare для маршрутизации трафика пользователя через сервисы Cloudflare.Это не то же самое, что публикация сайта через Cloudflare Tunnel.
Cloudflare VPNОбщее выражение, которое люди используют для разных идей, связанных с Cloudflare и VPN.Избегайте этого выражения при планировании; указывайте точный продукт или маршрут.

Кто что видит в настройке Tunnel с VPN

Самый безопасный способ понять настройку — разделить аудитории. Каждая видит разную часть цепочки, и ни одну нельзя считать слепой.

ПросмотрщикЧто они могут видетьЧто они обычно не видятОсновной риск
ПосетительХостнейм, контент, заголовки, куки, аналитика и поведение на границе Cloudflare.Домашний исходный IP, когда DNS и маршрутизация направлены только на Cloudflare.Контент или отпечатки браузера всё ещё могут идентифицировать оператора.
CloudflareАккаунт, зона, ID туннеля, публичные хосты, путь запроса и IP источника коннектора.IP домашнего коннектора виден только если VPN-маршрут работает и применяется.Слабый аккаунт или повторно используемая личность всё равно связывают проект с вами.
VPN-провайдерВаше устройство поддерживает зашифрованный трафик к Cloudflare. В зависимости от провайдера могут существовать данные аккаунта и оплаты.Контент посетителя, когда публичный HTTPS-путь между посетителями и Cloudflare.Вы перенесли доверие с пути провайдера интернет-услуг на VPN-провайдера.
Регистратор и аккаунтыВладение доменом, почта для восстановления, оплата и история входов.Ничто в вашей сетевой настройке не исправит слабое разделение аккаунтов.Утечки административной личности могут нарушить сетевую приватность.

Проблема с отключением VPN: cloudflared может переподключиться через обычный маршрут

Если cloudflared может использовать обычную сеть при отключении VPN, Cloudflare снова увидит домашний IP. Это частый практический сбой, который многие упускают.

Kill switch должен охватывать cloudflared

Ограничение kill switch только для браузера или приложения недостаточно, если процесс cloudflared может использовать обычный маршрут по умолчанию.

Переподключения — нормальное явление

Коннектор туннеля создан для поддержания маршрута. Если один путь пропадает, он может переподключиться через другой доступный путь.

Правила маршрутизации требуют проверки

Используйте правила файрвола, привязку интерфейса или настройки провайдера только если можете проверить, что cloudflared заблокирован вне VPN-маршрута.

Логирование требует умеренности

Не публикуйте логи или скриншоты с ID коннекторов, исходными IP, email аккаунтов или приватными хостнеймами.

Не доверяйте настройке, пока не проверите отказоустойчивость.

Остановите VPN, перезапустите cloudflared, перезагрузите машину и проверьте источник коннектора со стороны Cloudflare, прежде чем считать маршрут приватным. Kill switch полезен только если действительно блокирует cloudflared вне VPN.

Tunnel с VPN не заменяет разделение идентичностей

Сетевой маршрут — лишь один уровень. Если домен, email, способ оплаты, админский браузер, аккаунт аналитики и стиль письма указывают на вашу личность, туннель это не исправит.

Домен и DNS

Используйте отдельные аккаунты регистратора, почты для восстановления и доступ к DNS, если проект не должен быть связан с личной инфраструктурой.

Админский браузер

Не управляйте сайтом из того же профиля браузера, где хранятся личные логины, куки, расширения и синхронизация.

Платежи

Карта, адрес для выставления счета или повторно используемый email могут идентифицировать проект, даже если публичный IP скрыт.

Стиль контента

Стиль письма, повторно используемые аватары, ID аналитики, имена репозиториев и каналы поддержки могут связать проект с вами.

Когда использовать только Tunnel, Tunnel с VPN, GhostlyShare или VPS

Выберите самый простой маршрут, решающий реальную проблему раскрытия. VPN может добавить приватности, но также создаёт риски сбоев, следы аккаунтов и дополнительное обслуживание.

МаршрутИспользуйте, когдаИзбегать когда
Только Cloudflare TunnelВы хотите стабильный публичный хостнейм без раскрытия домашнего роутера посетителям.Cloudflare не должен видеть IP домашнего коннектора.
Маршрутизация Cloudflare Tunnel с VPNВы можете обеспечить, чтобы cloudflared подключался только через проверенный VPN-маршрут.Вы не можете проверить отказ VPN, работу kill switch, перезапуски и логи.
GhostlyShareВам нужен временный localhost-просмотр, webhook, демо-ссылка или быстрая защищённая публикация.Вам нужен постоянный производственный маршрут с долгосрочным обслуживанием.
VPS или выделенный хостВы хотите более чистую изоляцию от домашней сети и можете поддерживать сервер.Вам нужен только короткий просмотр или вы не можете обновлять и контролировать сервер.
GhostlyShare — облегчённый путь для временных превью.

Если нужен только временный публичный localhost-просмотр, демо-ссылка или webhook, GhostlyShare не превращает настройку в постоянный домашний хостинг.

Открыть GhostlyShare

Совет по VPN: выбирайте провайдера для проверяемого сценария отказа

Дополнительный выбор VPN

Выбирайте VPN для сценария отказа, а не только по цене.

Если Cloudflare должен видеть IP выхода VPN, выберите провайдера с kill switch и маршрутом WireGuard, которые можно проверить на машине с cloudflared. Proton VPN — приоритет для приватности, NordVPN — практичный выбор при важности скорости, качества приложения и выбора серверов.

Текущий выбранный вариант: Proton VPN

Официальная документация, которую стоит проверить перед использованием

Cloudflare со временем меняет детали продуктов. Перед использованием маршрута проверьте актуальную документацию по Tunnel, Public Hostname, WARP и Split Tunnel.

Часто задаваемые вопросы о приватности Cloudflare Tunnel и VPN

Частые вопросы

Делает ли Cloudflare Tunnel с VPN сайт анонимным?

Нет. Он может скрыть домашний IP от посетителей и, возможно, IP коннектора от Cloudflare, но аккаунты, владение доменом, платежи, админский браузер, контент и логи провайдера всё равно могут идентифицировать оператора.

Является ли Cloudflare Tunnel VPN?

Нет. Cloudflare Tunnel — коннектор, публикующий приватные сервисы через Cloudflare без проброса портов. VPN направляет трафик устройства через VPN-сервер. Cloudflare WARP — отдельный клиент.

Что происходит, если VPN отключается во время работы cloudflared?

Если ничто не блокирует cloudflared вне VPN-маршрута, он может переподключиться через обычный путь провайдера. Проверьте перезапуски, отключения VPN и перезагрузки машины перед доверием к границе приватности.

Когда GhostlyShare лучше, чем Cloudflare Tunnel с VPN?

Используйте GhostlyShare для временного публичного localhost-просмотра, демо или webhook, если не хотите поддерживать постоянный домашний хостинг.