Я запустил свой собственный сервер WireGuard, который указывает на мой поддомен для соединения, чтобы при изменении IP не нужно было бояться потери соединения. Проблема в том, что я не считаю себя полностью доверяющим Cloudflare для всего моего трафика, хотя я и не делаю ничего особо чувствительного. В конце концов, смысл самохостинга — сохранять приватность.
Что делают другие? Стоит ли вообще этим заниматься?
Ваш трафик проходит через Cloudflare только если включить обратный прокси, но вы можете просто использовать динамическое DNS.
Если вы собираетесь подключаться к поддомену на домене, чей DNS размещён у Cloudflare, вам всё равно нужно отключить проксирование этого поддомена, чтобы оно работало, так Cloudflare никогда не увидит ваш трафик. Трафик будет идти напрямую от клиента к серверу.
К тому же трафик WG трудно разобрать, так что даже если вы маршрутизируете трафик через них (что можно сделать, если очень-очень хотите), они не смогут увидеть содержимое и смогут только сделать выводы о действиях по метаданным, которые смогут собрать (время соединения, объем данных и т.п).
Если вы используете CloudFlare только для DNS (выключите оранжевый переключатель), то ваши данные через них не проходят.
Это даже видно на странице DNS, если он проксирован через CF или нет.
Я использую провайдера и хостинг с стабильными IP и запускаю свой собственный сервер.
Я не считаю, что должен полностью доверять Cloudflare всему моему трафику, хотя я и не делаю ничего особенно чувствительного
что-то что-то модель угроз что-то что-то
Если соединение проксировано, всё нормально. Если это DNS-запись, я бы, наверное, убрал её и просто подключался к VPN через IP.
Отказаться от проксирования в DNS-последовательности — это просто делает легче найдти это доменные записи и атаковать их без причины, кроме желания.
Ограничьте видимость. Это не полноценное решение, но помогает.
Что касается предоставления Cloudflare какой-либо информации… вы же запускаете VPN, как они могут знать, что вы делаете? Всё ваше трафика зашифровано. Всё, что они знают — это что вы подключаетесь к vpn.дома.ин и передаете туда данные.
Меня тоже интересует ответ.
Как вы смогли использовать свой поддомен с WG?
Нужно ли открывать какие-либо порты для работы WireGuard?
Подключаюсь напрямую к своим службам OpenVPN.
Редактировать (для ясности):
Я подключаюсь напрямую к своим службам OpenVPN. Нет сторонних.
Сам Cloudflare не обеспечивает такую функцию, нужен какой-то скрипт для этого, есть некоторые на Github.
Может кто объяснить мне новичку, почему за это проголосовали минусами?
Я думал использовать Cloudflare вместо прямого IP, и первым моим мыслям было, что это будет более заметно для внешних посетителей.
WireGuard может быть проксирован Cloudflare только если используешь Cloudflare Spectrum или обёртываешь его в SSL с помощью чего-то вроде wstunnel.
В приложении WireGuard просто указываете ваш поддомен.
Думаю, люди интерпретируют этот комментарий как просьбу указать OP на их OpenVPN! Но я понимаю, что вы говорите.
Можете ли вы поделиться, как это сделать? Следовали ли вы руководству, которое можете порекомендовать?
Минусы без ответа. Это никому не помогает. Дайте кому-то что-то, с чем можно работать.
Они всё ещё предоставляют API.
И у вас поддомен указывает на ваш домашний IP?
А, понял. Отредактировал свой ответ.
Не важно, какой VPN-сервис я использую — Cisco или OpenVPN, — его нужно настраивать под требования, и для этого нужно читать документацию.
https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/