Zurück zu allen Beiträgen
Veröffentlicht am · von Renaud Deraison

Ein VPN in Bromure betreiben – und ein verständlicher Leitfaden zu Cloudflare WARP

Was ein VPN tatsächlich leistet, was nicht, warum ein VPN pro Profil in Bromure die Anonymitätsrechnung verändert, und ein Rundgang durch die Funktionsweise von Cloudflare WARP.

Anonymität im Internet ist kein Anliegen von Hackerinnen und Hackern. Sie ist das, was Sie sich jedes Mal wünschen, wenn Ihr Supermarkt, Ihre Versicherung, die Schule Ihres Kindes und sechs Werbenetzwerke besser nicht wissen sollten, welche Artikel Sie um ein Uhr nachts gelesen haben.

Die meisten Menschen greifen zu einem VPN, wenn sie unterwegs sind, etwas streamen oder nach etwas suchen, das sie nächste Woche lieber nicht als Retargeting-Pop-up-Anzeige wiedersehen möchten. Weniger Menschen denken darüber nach, wo das VPN läuft – auf dem Betriebssystem, auf dem Router oder an einer interessanteren Stelle. Wie sich herausstellt, ist die Antwort auf diese letzte Frage entscheidend. Dieser Beitrag zeigt, was ein VPN tatsächlich tut, was nicht, warum ein VPN pro Profil in Bromure die Rechnung verändert – und, weil es immer wieder gefragt wird, was Cloudflare WARP genau ist.

Ihre IP-Adresse ist ein Namensschild, das Sie nicht ablegen können.

Jede Anfrage, die Ihr Rechner an einen Webdienst stellt, enthält Ihre IP-Adresse. Das muss so sein: Die Antwort muss ja irgendwo ankommen. Das Problem ist, dass dieselbe IP aus demselben Haushalt typischerweise tage-, wochen- oder monatelang stabil bleibt – und das reicht, damit jede Analyse-Pipeline im Internet sie als dauerhaften Kennzeichner behandelt – „der Laptop am Küchentisch” – und über völlig unzusammenhängende Websites hinweg ein Bild davon zusammensetzt, was die Person an diesem Laptop in ihrer Freizeit so tut.

SieHeimanschluss203.0.113.45NachrichtenseiteBesucher 203.0.113.45Soziales NetzwerkBesucher 203.0.113.45OnlineshopBesucher 203.0.113.45MedizinforumBesucher 203.0.113.45WerbenetzwerkBesucher 203.0.113.45DatenhändlerBesucher 203.0.113.45Dieselbe Nummer in jeder Zeile. Herzlichen Glückwunsch – Sie sind ein Schlüssel in jeder Datenbank.
Eine einzige IP-Adresse taucht auf jeder Seite auf, die Sie besuchen, auf jeder Website, über Wochen und Monate hinweg. Das reicht Werbenetzwerken und Datenhändlern, um ein detailliertes Profil aufzubauen – ohne Cookies, ohne Login. Ihr Namensschild war schon vorgedruckt.

Ihre IP ist nicht der einzige Kennzeichner im Internet; Cookies und eingeloggte Konten sind stärker. Aber die IP ist die, die Sie nicht abschalten können. Sie können Cookies löschen, Sie können sich weigern, sich anzumelden – und die IP geht trotzdem raus, dieselbe IP, bei jeder Anfrage.

Genau dieses Problem adressiert ein VPN.

Was ein VPN tatsächlich tut – und was nicht.

Ein VPN – Virtual Private Network – leitet Ihren Datenverkehr über einen Zwischenserver um, sodass die besuchten Websites die IP-Adresse des VPN sehen statt Ihrer eigenen. Der Datenverkehr zwischen Ihrem Gerät und dem VPN ist verschlüsselt, und die besuchten Websites sehen die geografische Region, aus der das VPN gerade ausleitet.

Sieechte IP203.0.113.45VERSCHLÜSSELTER TUNNELWireGuard / OpenVPN /IKEv2 · gesamte Nutzlast undurchsichtigVPN-Ausgangschreibt Quell-IP um185.220.42.17WebsitesiehtBesucher 185.220.42.17Der VPN-Anbieter sieht alles, was auch der Internet-Anbieter sehen könnte. Sie vertrauen dem VPN statt dem Provider – Sie fügen kein Vertrauen hinzu, Sie verschieben es.
Ein VPN schreibt die Absenderadresse Ihres Internetverkehrs um. Jede Website sieht die IP des VPN statt Ihrer eigenen. Der Verkehr zwischen Ihnen und dem VPN ist verschlüsselt; der Verkehr zwischen VPN und Website ist es nicht (fast alles davon ist allerdings schon auf Anwendungsebene in TLS eingepackt).

Was ein VPN Ihnen bringt:

Ihre IP ist vor Websites verborgen

Seiten sehen die IP des VPN. Deren Werbepartner sehen die IP des VPN. Datenhändler, die Besuche quer durchs Internet aggregieren, aggregieren am Ende rund um einen gemeinsamen Ausgang statt rund um Ihr Zuhause.

Ihr Datenverkehr ist vor Provider und Netzwerk verborgen

Café, Flughafen, Hotel und Ihr Internet-Anbieter sehen nur einen einzigen verschlüsselten Datenstrom, der zum VPN geht. Sie können nicht erkennen, welche Seiten Sie besuchen. Auch DNS-Abfragen laufen durch das VPN, sodass nicht einmal sichtbar ist, wonach Sie gesucht haben.

Sie können einen geografischen Ausgang wählen

Die meisten kommerziellen VPNs lassen Sie ein Land wählen. Wenn eine Seite nur in Japan verfügbar ist oder Sie sehen wollen, welche Einkaufspreise Ihr Gegenüber auf der anderen Seite des Atlantiks angezeigt bekommt, ist ein VPN die einfache Antwort.

Sie werden nicht anonym

Das ist der ehrliche Teil. Ein VPN verbirgt Ihre IP, nicht Ihre Identität. Wenn Sie sich in dieselben Konten einloggen wie immer, sind Sie genauso identifiziert wie vorher – nur über eine andere IP. Browser-Fingerprinting, Cookies, Passkeys und „mit Google anmelden” interessieren sich nicht für IPs.

Warum ein VPN innerhalb von Bromure die bessere Form ist.

Die meisten Menschen betreiben ein VPN auf dem Betriebssystem. Der gesamte Rechner ist entweder VPN-an oder VPN-aus. Das Problem daran ist zweifach.

Das erste Problem ist die Auflösung. Wenn das VPN an ist, läuft jede Anwendung – Ihr Mailprogramm, Ihr Slack, Ihre App-Store-Updates, Ihre Dropbox-Synchronisation – durch das VPN. Das kann Anmeldungen zerschießen („Wir haben eine Anmeldung aus Deutschland festgestellt”), es kann alles verlangsamen, und es verrät die VPN-Nutzung allen anderen Diensten, mit denen Sie sprechen.

Das zweite Problem ist Leckage. Wenn das VPN aus ist, kann irgendeine andere App, die im Hintergrund etwas Nützliches tut, Ihre echte IP auf einer Seite aufblitzen lassen, von der Sie dachten, dass Sie sie anonym erreichen. Ein einziges DNS-Leck, ein einziges WebRTC-Leck, und die Seite korreliert Sie mit der echten Verbindung.

Bromure geht einen anderen Weg: Jedes Profil ist eine eigene virtuelle Maschine, jede mit eigener Netzwerkkonfiguration. Ein Profil kann auf WARP laufen. Ein anderes kann direkt laufen. Ein drittes kann auf einem bezahlten kommerziellen VPN mit Ausgang in Deutschland sitzen. Ein viertes auf Tor. Keines sieht die anderen. Und das Host-Betriebssystem – Ihre echte IP, Ihre echte Verbindung – hat überhaupt kein VPN an, weil es keines braucht.

Ein Laptop, eine echte IP – vier WeltenHOST · kein VPN, nur InternetArbeitFirmen-Appskein VPN(direkt)Bankingnur Finanzenkein VPN(keine Warnungen auslösen)PrivatNews, SocialCloudflare WARP(verbirgt IP, kostenlos)Recherchezufällige Linksbezahltes VPN · DE-Ausgang(bestimmte Geografie)Internetdirekt von der Host-IPCloudflare WARPCF-Edge-IPBezahltes VPN · DeutschlandAusgangs-IP Frankfurt
Auf einem klassischen Betriebssystem ist ein VPN ein Schalter für den gesamten Rechner. In Bromure ist jedes Profil eine eigene Netzwerk-Welt. Der Host hat sein normales Internet; jedes Profil kann seinen Datenverkehr so lenken, wie Sie ihn gelenkt haben wollen – und diese Entscheidung dringt nicht aus dem Profil heraus.

Aus dieser Form ergeben sich drei stille Konsequenzen.

Keine versehentliche Korrelation. Das Arbeits-Profil und das Recherche-Profil teilen sich keine Quell-IP. Eine Seite, bei der Sie sich aus „Privat” angemeldet haben, sieht den WARP-Ausgang; eine Seite, die Sie in „Recherche” geöffnet haben, sieht einen deutschen kommerziellen Ausgang. Sie können die beiden Sitzungen vom Netzwerk aus nicht miteinander verknüpfen.

Keine Leckage zwischen Profilen. Ein DNS-Leck, ein WebRTC-Leck, eine falsch konfigurierte App – all das ist VM-lokal. Eine sich schlecht benehmende Seite in einem Profil kann die echte IP des Hosts nicht entdecken, weil die echte IP des Hosts nicht im Netzwerk-Namespace dieses Profils liegt. Sie liegt eine Wand weiter.

Sitzungen enden, und die Routen enden mit ihnen. Eine Einweg-Sitzung, in der WARP lief, wird abgebaut, sobald Sie das Fenster schließen. Wenn Sie dasselbe Profil das nächste Mal öffnen, ist von der vorherigen Sitzung nichts mehr da – keine Cookies, keine Caches, keine WireGuard-Schlüssel, keine IP-Zuteilungen. Das VPN ist so flüchtig wie das Fenster es war.

Ein Leitfaden zu Cloudflare WARP.

WARP ist das verbraucherorientierte VPN-artige Produkt von Cloudflare. Es ist, verwirrenderweise, gleichzeitig ein kostenloser Dienst, den jede und jeder nutzen kann, und ein kostenpflichtiges Produkt – und es existiert neben einer ganzen Reihe von Businessprodukten, die ebenfalls den Namen WARP tragen (1.1.1.1 for Families, Zero Trust, Gateway). Dieser Abschnitt behandelt die kostenlose, persönliche Version, nach der die meisten Leute fragen.

Ihr GerätBromure-ProfilWireGuard-ClientVERSCHLÜSSELTER TUNNELWireGuard (UDP 51820)oder MASQUE (QUIC/HTTP3)CLOUDFLARE-EDGENächstgelegener PoPüber 300 Städte weltweitDNS über 1.1.1.1sieht entschlüsselten VerkehrDas Internetsieht Quell-IPeine Cloudflare-IPKeine Länder-Auswahl. Die Ausgangsgeografie ist dort, wo für Sie der nächstgelegene Cloudflare-PoP liegt.
Was WARP unter der Haube tatsächlich macht. Ihr Datenverkehr wird in einem WireGuard-Tunnel verschlüsselt (oder, bei neueren Clients, in einem MASQUE/QUIC-Tunnel), an der nächstgelegenen Cloudflare-Edge terminiert und verlässt das Cloudflare-Netz von dort. DNS-Abfragen laufen über 1.1.1.1 und werden separat verschlüsselt. Es gibt keine Länder-Auswahl; der Ausgang ist dort, wo Sie dem Cloudflare-Netz am nächsten sind.

Eine sehr kurze Geschichte: WARP begann 2019 als Verbraucherseite des 1.1.1.1-DNS-Resolvers von Cloudflare. Die Idee war einfach – Cloudflare betrieb bereits eines der größten Edge-Netzwerke der Welt für die Auslieferung von Websites, also war es nur ein kleiner zusätzlicher Schritt, an derselben Edge einen WireGuard-Tunnel zu terminieren. Der ursprüngliche Client nutzte Cloudflares eigene Rust-Implementierung von WireGuard (BoringTun); neuere Clients haben MASQUE ergänzt – ein neueres, VPN-artiges Protokoll auf Basis von HTTP/3 und QUIC, das sich in vielen feindlichen Netzen schwerer blockieren lässt.

Was WARP Ihnen bringt:

Kostenlos, ohne Konto zum Start

Die Basis-Stufe von WARP ist kostenlos. Keine Kreditkarte, keine E-Mail. Eine Gerätekennung wird lokal erzeugt; Sie können später auf die bezahlte Stufe aufsteigen, aber das Einstiegserlebnis lautet: „installieren, verbinden, fertig.”

Schnell, weil die Cloudflare-Edge überall ist

Klassische VPNs leiten Ihren Datenverkehr zu einem von wenigen Dutzend Rechenzentren zurück und leiten von dort aus. Cloudflare betreibt PoPs in über 300 Städten. Der zusätzliche Hop ist meist winzig, und für viele Nutzerinnen und Nutzer ist WARP messbar schneller als gar kein VPN – dank des Transit-Peerings von Cloudflare.

Verschlüsseltes DNS

Standardmäßig gehen DNS-Abfragen innerhalb des Tunnels an 1.1.1.1 über DoH oder DoT. Ihr Internet-Anbieter, Ihr Büronetzwerk und der Router im Café können nicht sehen, welche Domains Sie nachschlagen – was in unverschlüsselten Netzen sonst Klartext wäre.

Datenschutzaussagen, die man tatsächlich lesen kann

Cloudflare hat wiederholt Datenschutz-Audits von WARP veröffentlicht (durch externe Prüfer – zuletzt KPMG), die bestätigen, dass IP-Adressen und Browserverlauf nicht protokolliert oder für Werbung genutzt werden. Die Richtlinie ist nicht unantastbar, aber sie ist besser als die der meisten kostenlosen VPNs und lässt sich sinnvoll prüfen.

Was WARP nicht ist.

Man überschätzt leicht, was WARP leistet. Ein paar Dinge, die man im Kopf haben sollte, bevor man es als vollwertige Datenschutzlösung betrachtet.

Kein geografisches VPN

Sie können im kostenlosen WARP nicht „Ausgang aus Japan” wählen. Der Ausgangs-PoP ergibt sich daraus, wo Sie sind. Für Geo-Entsperrung brauchen Sie weiterhin ein kommerzielles VPN mit Länder-Auswahl oder WARP+-Varianten mit Regionssteuerung.

Das Vertrauen wandert vom ISP zu Cloudflare

Ihr Datenverkehr ist nur bis zur Cloudflare-Edge verschlüsselt. Danach leitet Cloudflare ihn ins öffentliche Internet weiter. Cloudflare sieht jede Domain, mit der Sie sich verbinden, jede DNS-Abfrage, jedes unverschlüsselte Byte (das meiste davon ist allerdings in TLS eingepackt). Sie tauschen die Sichtbarkeit Ihres Providers gegen die von Cloudflare – was ein echter Fortschritt ist, wenn Sie Ihrem Provider nicht trauen, aber es bleibt ein einzelner, wohlbekannter Vertrauensanker.

Stoppt kein Fingerprinting

Ein VPN verbirgt Ihre IP. Es ändert nicht Ihren User-Agent-String, Ihre Liste der installierten Schriftarten, Ihre Bildschirmauflösung, Ihren WebGL-/Canvas-Fingerabdruck, Ihre TLS-Signatur. Ein gut ausgestatteter Tracker korreliert Sie trotzdem über IPs hinweg. Die IP zu verbergen legt die Latte höher; es ebnet das Feld nicht ein.

Manche Netzwerke blockieren WARP komplett

Firmennetze, manche Flughäfen und bestimmte Länder erkennen und blockieren die standardmäßigen WARP-Endpunkte. MASQUE hilft dabei, ist aber keine Magie. Wenn sich WARP in einem bestimmten Netz nicht verbindet, ist das meistens kein Bug – es ist das Netz, das Nein sagt.

WARP innerhalb eines Bromure-Profils nutzen.

Der mechanische Teil ist klein. Die Konfiguration von WARP lässt sich aus der 1.1.1.1-App als WireGuard-Konfigurationsdatei exportieren – dieselbe Art von Datei, die jeder WireGuard-Client versteht. Sie verweisen ein Bromure-Profil auf diese Datei, und alles, was das Profil tut, läuft durch Cloudflare.

Weil die Konfiguration pro Profil gilt, können Sie das WARP-Profil für alltägliches Lesen und Surfen behalten, während Ihre Banking- und Arbeits-Profile auf der direkten Verbindung bleiben. Ihr Host-Betriebssystem lässt unterdessen kein VPN laufen – das muss es auch nicht, denn auf dem Host versucht nichts, seinen Datenverkehr zu anonymisieren. Die Anonymität lebt genau dort, wo Sie sie nutzen wollen.

Eine kurze Matrix, wann Sie wozu greifen sollten:

WARP verwenden, wenn …

Sie Ihre IP vor dem Großteil des Webs verbergen möchten, Sie in einem Netz sind, dem Sie nicht völlig vertrauen, Sie verschlüsseltes DNS möchten und Sie lieber nicht zahlen oder sich für irgendetwas anmelden möchten. Gute Voreinstellung für das Profil, das Sie für zufälliges Lesen, Recherche und gelegentlichen Einkauf nutzen.

Ein bezahltes kommerzielles VPN verwenden, wenn …

Sie einen bestimmten Länderausgang brauchen, einen Anbieter mit einer strengeren Datenschutzrichtlinie oder unter einer anderen Jurisdiktion als Cloudflare, oder wenn Sie etwas tun, bei dem eine gemeinsam genutzte IP limitiert werden könnte. In den meisten Fällen langsamer als WARP, aber mit mehr Kontrolle.

Tor verwenden, wenn …

Sie echte Anonymität gegen einen ernsthaften Gegner brauchen – eine Journalistin, die eine Geschichte recherchiert, ein Aktivist in einem feindlichen Land, ein Forscher, der die Infrastruktur eines Gegners untersucht. Viel langsamer als WARP oder ein VPN; funktioniert für deutlich weniger Seiten; aber das Bedrohungsmodell, dem es widersteht, ist ein anderes.

Kein VPN verwenden, wenn …

Sie sich bei Ihrer Bank, Ihrer Ärztin oder Ihren Behördendiensten anmelden. Diese Seiten sind so gebaut, dass sie ungewöhnlichen IPs misstrauen, und ein VPN löst oft zusätzliche Hürden oder eine komplette Blockade aus. Ein sauberes Profil mit „echter IP” für solche Sitzungen bereitzuhalten ist keine Paranoia – es ist Bequemlichkeit.

Zum Schluss.

Sie brauchen kein Bedrohungsmodell mit Nationalstaaten, um Kontrolle über Ihre IP haben zu wollen. Sie wollen einfach nicht auf jeder Seite markiert werden, die Sie lesen, jeder Suche, die Sie starten, und jedem Produkt, das Sie sich einmal angesehen und sofort bereut haben. Ein VPN ist das gängigste Werkzeug dafür; WARP ist eine gute, kostenlose Voreinstellung für alle, die die Grundlagen ohne Abonnement wollen. Und Bromure, das jedes Profil in seine eigene Netzwerk-Welt setzt, lässt Sie diese Werkzeuge in der Auflösung mischen, die sie von Anfang an hätten haben sollen: nicht pro Rechner, nicht pro App, sondern pro Welt.

Installieren Sie Bromure. Legen Sie ein Profil namens „Lesen” an. Richten Sie es auf WARP. Sehen Sie, wie der Rest des Webs aussieht, wenn er Sie nicht mehr erkennt.