Cloak Obfuskation: Einrichtung und Verbindung im Jahr 2026
Cloak Obfuskation: Einrichtung und Verbindung im Jahr 2026 Wenn der Anbieter WireGuard oder OpenVPN durch DPI zerschneidet — eine gängige Geschichte für russische Netzwerke im Jahr 2026 — wird Cloak Obfuskation: Einrichtung und Verbindung zu einem notwendigen Thema, nicht zu einer optionalen. Dieser
Cloak Obfuskation: Einrichtung und Verbindung im Jahr 2026
Wenn der Anbieter WireGuard oder OpenVPN durch DPI zerschneidet — eine gängige Geschichte für russische Netzwerke im Jahr 2026 — wird Cloak Obfuskation: Einrichtung und Verbindung zu einem notwendigen Thema, nicht zu einer optionalen. Dieser Artikel ist eine technische Analyse ohne Umschweife: wie Cloak funktioniert, wie man einen Server aufsetzt, einen Client auf Android/iOS/Windows verbindet und herausfindet, warum die Verbindung nicht hergestellt wird.
Was ist Cloak und warum ist die Obfuskation des Traffics notwendig
Cloak ist ein pluggable transport, also eine Transporthülle. Es ersetzt kein VPN und ist selbst kein Proxy. Seine Aufgabe ist es, den Traffic von Shadowsocks oder OpenVPN zu nehmen und ihn so zu verpacken, dass er von außen wie eine gewöhnliche TLS-Anfrage an eine beliebige Website aussieht.
Ohne Obfuskation sieht die DPI-Ausrüstung charakteristische Muster von WireGuard- oder OpenVPN-Handshakes und schneidet die Verbindung ab. Mit Cloak sieht der Traffic aus wie HTTPS zu einem bedingtenexample.com. Der Anbieter sieht ein legitimes TLS, lässt es durch — und innerhalb fährt Ihr VPN-Tunnel.
Wie DPI VPN-Traffic erkennt
Deep Packet Inspection funktioniert anhand mehrerer Merkmale gleichzeitig. Erstens, die Signaturen der Protokolle: WireGuard hat ein spezifisches Handshake-Format, OpenVPN hat ein charakteristisches TLS-ClientHello mit nicht standardmäßigen Cipher Suites. Zweitens, die Entropie der Pakete: verschlüsselter VPN-Traffic hat eine sehr hohe Entropie, was ihn von echtem HTTPS unterscheidet, wo ein Teil der Daten vorhersehbar ist.
Roskomnadsor verwendet seit 2023 aktiv TSPU — technische Mittel zur Bekämpfung von Bedrohungen. Diese Systeme können nicht nur den Port betrachten, sondern auch das Verhalten der Verbindung, die Timings und die Paketlängen analysieren. Deshalb hilft "Portwechsel" nicht mehr, sondern es ist eine vollständige Maskierung erforderlich.
Funktionsweise von Cloak: Maskierung als gewöhnliches HTTPS/TLS
Cloak etabliert eine TLS-Sitzung, in der das ClientHello wie eine Anfrage des Browsers aussieht. Der Servername (SNI) verweist auf eine tatsächlich existierende Website. Dabei kann der Cloak-Server (ck-server) "Fremde" — diejenigen, die sich ohne die richtige UID verbinden — auf die echte Tarn-Website umleiten. Dies wird RedirAddr genannt und ist ein wichtiger Teil der Maskierung, den viele ignorieren.
Innerhalb der TLS-Sitzung läuft Ihr Shadowsocks oder OpenVPN. Von außen — gewöhnlicher Web-Traffic. DPI-Systeme sehen korrektes TLS zu einer bekannten Domain und greifen die Verbindung nicht an.
Wie sich Cloak von Shadowsocks, VLESS/XRay und Amnezia (AmneziaWG) unterscheidet
Dies ist ein ehrlicher Vergleich, ohne einen Gewinner zu erklären.
Cloak — eine universelle Hülle über Shadowsocks oder OpenVPN. Benötigt eine eigene Domain und VPS. Funktioniert gut dort, wo Reality nicht verfügbar ist. Wird auf den meisten Plattformen über Plugins unterstützt.
VLESS+Reality (XRay) — imitiert das TLS-Handshake einer fremden Website, Ihre Domain ist nicht erforderlich. In das Kern von XRay/Sing-box integriert. Gegen aktives Sondieren (active probing) besser geschützt als das grundlegende Shadowsocks, aber die Einrichtung ist komplizierter.
AmneziaWG — modifiziertes WireGuard mit Randomisierung der Header. Einfacher einzurichten, schneller in der Geschwindigkeit, aber weniger universell gegen tiefes DPI, da das Verhalten des Traffics immer noch von HTTPS abweicht.
Was zu wählen ist — hängt von Ihrem Anbieter, der Hardware und der technischen Vorbereitung ab. Cloak gewinnt dort, wo bereits ein funktionierender Shadowsocks-Server vorhanden ist und eine schnelle Erweiterung benötigt wird.
Was vor der Einrichtung benötigt wird: Server, Schlüssel und Client
Bevor Sie zu den Befehlen übergehen, müssen Sie sicherstellen, dass Sie alles Notwendige haben. Das Auslassen eines Punktes ist der häufigste Grund, warum die Verbindung beim ersten Mal nicht hergestellt wird.
Anforderungen an den Server und die Domain
Sie benötigen einen VPS außerhalb Russlands mit einer sauberen IPv4-Adresse. Minimale Anforderungen — 512 MB RAM, Ubuntu 22.04 oder Debian 12. Der Port 443 muss geöffnet und nicht von anderen Diensten belegt sein.
Eine Domain oder Redirect-Adresse zur Maskierung — wünschenswert, aber nicht zwingend erforderlich. Ohne sie funktioniert Cloak, aber aktives Sondieren des Anbieters wird feststellen, dass hinter "HTTPS" keine echte Website steckt. Für RedirAddr eignet sich jede große Website auf TLS — Hauptsache, sie ist nicht von Roskomnadsor blockiert. Zum Beispiel,www.bing.com:443 oderwww.kernel.org:443.
Wenn Sie Ihren eigenen VPS nicht einrichten möchten — es gibt fertige Dienste mit Unterstützung für Obfuskation, wie NvoVPN, wo die Infrastruktur bereits eingerichtet ist und Sie fertige Verbindungseinstellungen erhalten.
Generierung von öffentlichen und privaten Schlüsseln (ck-server, ck-client)
Cloak verwendet ein eigenes Schema auf Curve25519. Die Schlüssel werden mit dem Toolck-server generiert:
ck-server -key
Die Ausgabe wird ungefähr so aussehen:
Ihr öffentlicher Schlüssel ist: AAAA...BBBB=
Der öffentliche Schlüssel wird in die Konfiguration des Clients eingetragen (FeldPublicKey). Der private Schlüssel — nur auf dem Server, wird nirgendwo veröffentlicht und nicht übertragen. Wenn Sie den privaten Schlüssel verloren haben — generieren Sie das Paar neu.
UID — das ist eine separate Benutzeridentifikation. Wird mit dem Befehl generiert:
ck-server -uid
Jeder Benutzer hat seine eigene UID. Das ermöglicht es, den Zugriff eines bestimmten Clients zu widerrufen, ohne die Schlüssel zu ändern.
Wahl des Transports: Cloak + Shadowsocks oder Cloak + OpenVPN
Cloak + Shadowsocks — empfohlene Kombination. Sie wird nativ in Anwendungen auf Android unterstützt (Shadowsocks + Cloak-Plugin aus F-Droid), ist einfacher einzurichten und hat weniger Overhead.
Cloak + OpenVPN funktioniert, aber die Konfiguration ist komplizierter: Sie müssen OpenVPN auf dem lokalen Port starten, und Cloak leitet den Verkehr dorthin um. Unter Windows ist das umsetzbar, aber auf mobilen Plattformen gibt es bereits Einschränkungen.
Schritt-für-Schritt-Anleitung zur Einrichtung des Cloak-Servers (ck-server)
Installation von ck-server auf Linux VPS
Loggen Sie sich per SSH auf den Server ein. Laden Sie die neueste Version von GitHub herunter (zum Zeitpunkt des Schreibens ist das v2.7.0):
wget https://github.com/cbeuw/Cloak/releases/download/v2.7.0/ck-server-linux-amd64-v2.7.0
Stellen Sie vor der Installation sicher, dass der Port 443 frei ist:
ss -tlnp | grep :443
Wenn dort nginx oder Apache läuft — entweder auf einen anderen Port verschieben oder das Durchleiten über sie einrichten (komplizierter). Die sauberste Variante — 443 nur für Cloak.
Konfiguration der config-Datei und ProxyBook
Erstellen Sie ein Verzeichnis und eine Konfigurationsdatei:
mkdir /etc/cloak
Beispielkonfiguration (Platzhalter anstelle von realen Werten):
{
ProxyBook sagt Cloak, wohin der Verkehr geleitet werden soll — in diesem Fall zu Shadowsocks auf dem lokalen Port 8388.RedirAddr — die Adresse, an die alle "fremden" Verbindungen ohne die richtige UID gesendet werden. Dies ist eine kritische Einstellung zur Tarnung.
Die Benutzerdaten werden separat erstellt:
ck-server -u -dbPath /etc/cloak/userinfo.db -uid IHRE_UID -bandwidth 0 -bypass false -expiry 0
Starten als systemd-Dienst und Überprüfung des Ports 443
Erstellen Sie eine Unit-Datei:
nano /etc/systemd/system/cloak-server.service
[Unit]
systemctl daemon-reload
Wenn der Statusactive (running) — der Dienst ist gestartet. Überprüfen Sie den Port:
ss -tlnp | grep :443
Es sollteck-server auf 0.0.0.0:443. Wenn es nicht vorhanden ist — schauen Siejournalctl -u cloak-server -n 50.
Einstellung von RedirAddr zur Tarnung als echte Website
Das ist der Punkt, an dem die meisten Handbücher schweigen und sich dann wundern, dass DPI den Verkehr trotzdem erkennt. Ohne korrektes RedirAddr hängt Cloak bei der Verbindung ohne UID einfach oder gibt eine leere Antwort zurück. Aktives Scannen seitens des Anbieters wird dies sofort bemerken.
RedirAddr muss auf eine lebende HTTPS-Website verweisen, die in Russland nicht blockiert ist. Überprüfen Sie vor der Einrichtung:curl -I https://www.kernel.org — sollte 200 oder 301 zurückgeben, kein Timeout.
Unternehmens- und Schulnetzwerke mit MITM-Intercept von TLS brechen diese Tarnung vollständig — dort hilft Cloak nicht, weil das Netzwerk selbst TLS entschlüsselt und den Inhalt sieht. Das ist kein Fehler von Cloak, sondern eine Einschränkung des Ansatzes selbst.
Client-Verbindung: Android, iPhone/iOS, Windows, Mac und Router
Android: Shadowsocks + Cloak-Plugin
Auf Android funktioniert es am saubersten. Sie installieren zwei Anwendungen:Shadowsocks aus F-Droid oder Google Play, und das PluginCloak Plugin for Android (gibt es auch auf F-Droid, Paketcom.github.shadowsocks.plugin.ck).
In den Profileinstellungen von Shadowsocks:
- Server: IP Ihres VPS
- Port: 443
- Passwort: Shadowsocks-Passwort
- Verschlüsselungsmethode:
aes-256-gcmoderchacha20-ietf-poly1305 - Plugin: wählen Sie Cloak
In den Plugin-Optionen (Plugin Options) geben Sie eine Zeile wie folgt ein:
UID=IHRE_UID;PublicKey=IHREN_ÖFFENTLICHEN_SCHLÜSSEL;ServerName=www.kernel.org;BrowserSig=chrome;NumConn=4
NumConn=4 — Anzahl der parallelen TLS-Verbindungen. Auf Mobilgeräten sollten Sie nicht mehr als 4 einstellen, da sonst der Akku schneller leer wird, ohne dass eine spürbare Geschwindigkeitssteigerung erfolgt.
iPhone/iOS: Clients mit Unterstützung für obfs/Cloak
Auf iOS ist die Auswahl an Clients deutlich geringer. Der App Store in Russland wird regelmäßig bereinigt, daher ändert sich die Situation. Zum Zeitpunkt des Schreibens funktionieren Optionen überShadowrocket (kostenpflichtig, $2.99, App Store-Konto eines anderen Landes) oderSing-Box.
In Shadowrocket fügen Sie einen Server vom Typ Shadowsocks hinzu, im Feld Plugin wählen Siecloak, geben Sie die gleichen Parameter ein. Die Benutzeroberfläche ist weniger benutzerfreundlich als auf Android, funktioniert aber.
Auf Apple TV kann Cloak nicht direkt installiert werden — es gibt keine Unterstützung für Drittanbieteranwendungen mit VPN-Erweiterungen. Die einzige Möglichkeit ist, eine bereits obfuskiertes Verbindung vom Router zu teilen.
Windows und Mac: ck-client und Verbindung mit Shadowsocks
Laden Sie das Binärpaketck-client für Ihre Plattform aus demselben GitHub-Repository herunter. Die Konfiguration des Clients (ckclient.json):
{
Starten Sie:
ck-client -c ckclient.json -s IP_IHRES_VPS -p 443 -l 1984 -i
Dies startet einen lokalen SOCKS5 auf Port 1984, über den der Shadowsocks-Client (z.B.Shadowsocks-Windows oderOutline im manuellen Modus) sich mit dem Server verbindet.
Ein Konflikt mit einem bereits aktiven System-VPN ist ein häufiges Problem unter Windows. Wenn Sie WireGuard oder einen anderen VPN laufen haben, kann ck-client möglicherweise SOCKS5 nicht starten oder keine Verbindung zum Server herstellen. Deaktivieren Sie den anderen VPN vor dem Start.
Router (OpenWrt) und Smart TV / Apple TV: Einschränkungen und Umgehungsmöglichkeiten
Auf OpenWrt kannck-client direkt installiert werden — es gibt Builds für MIPS und ARM. Die Konfiguration ist dieselbe, der Start erfolgt über init.d oder procd. Der Verkehr vom Router läuft transparent durch Cloak für alle angeschlossenen Geräte, einschließlich Smart TV und Konsolen.
Aber: Wenn der Router vom Anbieter stammt und Sie die Firmware nicht installieren können — gibt es keine Optionen. Sie benötigen einen separaten Router mit OpenWrt oder ein ähnliches Modell wieGL.iNet mit bereits integrierter Plugin-Unterstützung.
Mobilfunkanbieter mit transparentem Proxy schneiden manchmal Verbindungen am Port 443, wenn sie ein untypisches Verhalten der TLS-Sitzung bemerken. In diesem Fall versuchen SieBrowserSig: "firefox" anstelle von"chrome" — die Imitation ist etwas anders.
Überprüfung der Funktion und Geschwindigkeitstest nach der Obfuskation
Wie man sicherstellt, dass der Verkehr tatsächlich maskiert wird
Basisüberprüfung: Öffnen Sie2ip.ru oderwhoer.net — es sollte die IP Ihres VPS anzeigen, nicht die von zu Hause. Überprüfen Sie den Zugriff auf blockierte Ressourcen: Instagram, Twitter/X, YouTube (wenn es bei Ihrem Anbieter eingeschränkt ist), Telegram.
Technischer: Starten Sie Wireshark auf Ihrem Computer und beobachten Sie den Verkehr zum Server. Sie sollten TLS-Verbindungen zu Port 443 mit SNI Ihres ServerName sehen. Kein OpenVPN-Handschlag, keine WireGuard-UDP-Pakete — alles sieht aus wie ein Browser-HTTPS.
Gegen aktives Scannen: Der Anbieter kann sich selbst mit Ihrem Server auf Port 443 verbinden und überprüfen, was dort ist. Wenn RedirAddr richtig konfiguriert ist — erhält der Anbieter eine Weiterleitung zur echten Website und sieht nichts Verdächtiges.
Reale Geschwindigkeitsverluste durch Obfuskation
Ehrlich: Cloak ist langsamer als reines WireGuard. Das ist eine Tatsache, und das sollte nicht verschwiegen werden.
Overhead durch die TLS-Hülle, von mehreren parallelen Verbindungen (NumConn), von zusätzlicher Verschlüsselung von Shadowsocks über TLS — das alles frisst einen Teil der Bandbreite und erhöht die Latenz. Wie viel genau, hängt von Ihrem Server, seiner Auslastung, der Entfernung zu ihm und dem Anbieter ab. Konkrete Zahlen werde ich nicht erfinden.
Methode zur eigenständigen Messung: gehen Sie aufspeedtest.net oderfast.com, führen Sie den Test ohne VPN durch, notieren Sie das Ergebnis. Dann verbinden Sie sich mit Cloak und führen den Test erneut durch. Der Unterschied sind Ihre realen Overhead-Kosten auf Ihrem spezifischen Weg.
Was tun bei Verlangsamung durch den Anbieter
Wenn der Anbieter Shaping anwendet — absichtliche Verlangsamung — versuchen Sie,NumConn auf 2 zu reduzieren. Manchmal sieht zu viele parallele TLS-Verbindungen von einer Adresse verdächtig aus.
Es lohnt sich auch zu überprüfen, ob der Anbieter eine Blockierung nach SNI anwendet. Wenn Ihr ServerName (zum Beispielwww.bing.com) selbst unter die Blockierung von Roskomnadzor gefallen ist — wird Cloak nicht korrekt funktionieren, da die Verbindung zu einer blockierten Domain an sich verdächtig ist. Ändern Sie den ServerName auf eine nicht blockierte Domain.
Typische Verbindungsfehler und deren Lösung
TLS-Handschlagfehler und Schlüsselübereinstimmung
Symptom: Die Verbindung hängt in der Phase der Sitzungsinstallation, der Client gibtTLS handshake failed oder einfach einen Timeout aus.
Der erste Kandidat — falscher PublicKey in der Client-Konfiguration. Überprüfen Sie byteweise: Cloak-Schlüssel sind base64-Strings, jeder zusätzliche Buchstabe oder Leerzeichen bricht alles. Kopieren Sie den Schlüssel direkt aus der Ausgabeck-server -key, tippen Sie ihn nicht manuell ein.
Der zweite Kandidat — falscher UID. Stellen Sie sicher, dass die UID in der Client-Konfiguration mit der übereinstimmt, die in die Benutzerdatenbank des Servers hinzugefügt wurde (userinfo.db).
Asynchronität der Systemzeit
Das ist einer der am meisten unterschätzten Gründe für Fehler, den die meisten Handbücher nicht erwähnen. Cloak überprüft den Zeitstempel im Handschlag. Wenn der Unterschied zwischen der Zeit auf dem Client und dem Server mehr als einige Minuten beträgt — wird die Sitzung abgelehnt.
Überprüfen Sie auf dem Server:
timedatectl status
NTP sollte synchronisiert sein. Wenn nicht:
systemctl enable --now systemd-timesyncd
Auf Android sind die Uhren normalerweise automatisch synchronisiert. Auf Windows — überprüfen Sie überw32tm /query /status.
Anbieter blockiert nach SNI / ServerName
Wenn der ServerName in Ihrer Konfiguration auf eine blockierte Domain verweist — schneidet DPI die TLS-Verbindung vor der Sitzungsinstallation ab. Cloak wird dabei nicht helfen, da SNI im Klartext im ClientHello übertragen wird.
Lösung: Ändern Sie den ServerName auf eine Domain, die definitiv nicht in Russland blockiert ist. Überprüfen Sie übercurl -I https://ihr-domain.com mit einer russischen IP (kann über einen Mobilfunkanbieter ohne VPN erfolgen).
Die Verbindung besteht, aber es gibt keinen Internetzugang
Der Cloak-Tunnel hat sich eingerichtet, die IP-Adresse hat sich geändert, aber die Seiten öffnen sich nicht. Das Problem liegt nicht bei Cloak, sondern beim Transport — Shadowsocks oder OpenVPN.
Überprüfen Sie: Funktioniert der Shadowsocks-Server lokal auf Port 8388:
ss -tlnp | grep 8388
Überprüfen Sie DNS: Manchmal gehen bei der Tunnelung DNS-Anfragen nicht über das VPN. Im Shadowsocks-Client aktivieren SieRemote DNS oder geben Sie explizit ein8.8.8.8 in den Einstellungen.
Wenn ein doppeltes VPN — bereits aktives WireGuard oder Unternehmens-VPN — besteht, gibt es Konflikte mit der Routenführung. Man kann nicht gleichzeitig zwei Tunnel mit der Standardroute haben. Deaktivieren Sie einen oder konfigurieren Sie Split Tunneling.
Häufige Fragen
Was unterscheidet Cloak von VLESS+Reality und AmneziaWG?
Cloak ist eine Hülle über Shadowsocks oder OpenVPN, die den Verkehr unter TLS maskiert und eine eigene Domain benötigt. Reality ist in XRay/Sing-box integriert und imitiert TLS einer fremden Domain, ohne sie kontrollieren zu müssen — technisch eleganter, aber die Einrichtung ist komplizierter. AmneziaWG modifiziert den WireGuard-Handshake selbst, indem es die Header randomisiert, was einfacher einzurichten ist, aber weniger effektiv gegen tiefgehende Verkehrsanalysen. Jeder hat seine eigenen Stärken gegen spezifische DPI-Methoden — einen universellen Gewinner gibt es nicht.
Braucht man einen eigenen Server für Cloak?
Für vollständige Kontrolle — ja, man benötigt einen VPS mit installiertem ck-server und idealerweise eine Domain für RedirAddr. Das bietet maximale Flexibilität, erfordert jedoch technische Kenntnisse und Zeit. Eine Alternative sind fertige Dienste mit Unterstützung für Obfuskation, bei denen alles bereits auf der Seite des Anbieters eingerichtet ist und Sie nur die Verbindungsparameter erhalten.
Verlangsamt Cloak das Internet?
Ja, es verlangsamt. Die TLS-Hülle, mehrere parallele Verbindungen und doppelte Verschlüsselung fügen Overhead hinzu. Wie viel genau — hängt vom Server, der Entfernung zu ihm und Ihrem Anbieter ab. Der beste Weg, um Ihre tatsächlichen Zahlen zu erfahren, ist, einen Speedtest vor und nach der Verbindung selbst zu vergleichen.
Warum wird die Verbindung zu Cloak nicht hergestellt?
Die häufigsten Gründe: falscher PublicKey oder UID (byteweise überprüfen, ohne Leerzeichen), Zeitabweichung zwischen Client und Server (Abweichung von mehr als einigen Minuten — Sitzung wird abgelehnt), blockierter ServerName nach SNI (ändern Sie auf eine nicht blockierte Domain), falscher Port oder Konflikt mit einem anderen aktiven VPN. Eine detaillierte Analyse finden Sie im Abschnitt über Fehler oben.
Funktioniert Cloak auf iPhone und Apple TV?
Auf iOS — über Shadowrocket oder Sing-Box, beide unterstützen das Cloak-Plugin, aber die Auswahl an Anwendungen ist geringer als auf Android. Auf Apple TV kann Cloak nicht direkt installiert werden — es gibt keine Unterstützung für VPN-Plugins. Die einzige Option ist ein Router mit OpenWrt und eingerichtetem Cloak, der bereits obfuskiertes Signal an alle angeschlossenen Geräte verteilt.
Umgeht Cloak die Blockierungen von YouTube, Instagram und Telegram?
Cloak umgeht nicht von sich aus die Blockierungen spezifischer Websites — es maskiert den VPN-Kanal vor dem DPI-Anbieter, damit dieser das VPN-Protokoll nicht schneidet. Der Zugang zu YouTube, Instagram, TikTok, Twitter/X und Telegram wird durch den VPN-Tunnel (Shadowsocks oder OpenVPN) gewährleistet, der über Cloak läuft. Das Schema funktioniert so: Der Anbieter sieht normales HTTPS und schneidet die Verbindung nicht, und innerhalb des Tunnels erhalten Sie vollen Zugang zu blockierten Ressourcen.
Ähnliche Artikel
Das könnte Sie auch interessieren
OpenConnect: Einrichtung und Verbindung im Jahr 2026
OpenConnect: Einrichtung und Verbindung im Jahr 2026 Wenn Sie die Konfiguration eines ocserv-Servers...
WeiterlesenTUIC: Einrichtung und Verbindung von VPN im Jahr 2026
TUIC: Einrichtung und Verbindung von VPN im Jahr 2026 Wenn du bereits VLESS und Shadowsocks ausprobi...
WeiterlesenSing-box: Einrichtung und Verbindung — vollständiger Leitfad...
Sing-box: Einrichtung und Verbindung — vollständiger Leitfaden 2026 Wenn Sie eine Konfiguration oder...
Weiterlesen