Cloak: TLS-Verschleierung für selbstgehostetes VPN im Jahr 2026

Affiliate-Hinweis — Dieser Artikel enthält Contabo-Affiliate-Links. Wenn Sie über unsere Links einen VPS bestellen, erhalten wir eine Provision, ohne dass Ihnen zusätzliche Kosten entstehen. Jede Konfiguration ist praxiserprobt.

Cloak ist ein TLS-Verschleierungstool, das vor einem bestehenden Tunnel (WireGuard, OpenVPN, Shadowsocks) sitzt und ihn in eine scheinbare HTTPS-Seite verwandelt. Wenn eine DPI Ihren Server inspiziert, sieht sie einen gültigen TLS 1.3-Handshake mit einem Let's Encrypt-Zertifikat — und hier ist der Trick — wenn die Sitzung KEIN gültiger Cloak-Client ist, leitet der Server sie auf eine echte Website um (normalerweise bing.com oder wikipedia.org).

Cloak ist also eine Verschleierungsschicht, die zusätzlich zu einem bereits funktionierenden VPN hinzugefügt wird. Das ist der wesentliche Unterschied zu V2Ray (ein vollständiges VPN-Protokoll) oder wstunnel (nur ein einfacher WebSocket-Tunnel). Cloak geht davon aus, dass Sie bereits WireGuard oder Shadowsocks betreiben und diese unauffindbar machen möchten.

Diese Anleitung behandelt die Installation von Cloak auf einem Contabo VPS, die Integration mit WireGuard und Shadowsocks, Leistungsbenchmarks und wann Cloak die richtige Wahl im Vergleich zu V2Ray REALITY oder wstunnel ist.

Wie Cloak funktioniert

Die technische Erklärung:

1. Der Cloak-Server hört auf Port 443 und betreibt einen gefälschten TLS 1.3-Server mit einem Let's Encrypt-Zertifikat (oder selbstsigniert).
2. Ein Cloak-Client öffnet eine Standard-TLS-Verbindung mit einem im ClientHello (TLS-Erweiterung) versteckten gemeinsamen Geheimnis.
3. Der Cloak-Server erkennt das Geheimnis, enttarnt den Client und öffnet einen Tunnel zum konfigurierten Backend (zum Beispiel WireGuard 127.0.0.1:51820).
4. Wenn eine Sitzung KEIN gültiger Cloak-Client ist (GFW-Probe, zufälliger Scanner), leitet der Server sie transparent an RedirAddr weiter (typischerweise www.bing.com:443). Der Client sieht die echte Bing-Seite — kein Fehler, kein 404, keine "seltsame Antwort".

Aus Sicht einer DPI:

• TCP 443-Verkehr zu einer Wohnadresse = normal.
• Let's Encrypt-Zertifikat = legitim.
• Bei einer Probe: sie landet auf einer echten Seite (Bing) → es ist KEIN VPN-Endpunkt.

Es ist konzeptionell ähnlich wie REALITY (Xray-core), aber Cloak existiert seit 2018 (REALITY seit 2023), und sein Design ist mehr "defensiv": es weigert sich aktiv, wie ein VPN-Endpunkt zu antworten.

Server-Installation auf Contabo

Contabo VPS S (€4,99/Monat, Angebot ansehen) auf Ubuntu 24.04 LTS. Voraussetzung: Sie haben bereits ein lokales WireGuard oder Shadowsocks laufen (127.0.0.1:51820 oder 127.0.0.1:8443).

Schritt 1 — Cloak herunterladen

CLOAK_VER="2.7.0"  # neueste Version auf github.com/cbeuw/Cloak/releases prüfen
cd /tmp
wget "https://github.com/cbeuw/Cloak/releases/download/v${CLOAK_VER}/ck-server-linux-amd64-v${CLOAK_VER}"
wget "https://github.com/cbeuw/Cloak/releases/download/v${CLOAK_VER}/ck-client-linux-amd64-v${CLOAK_VER}"
chmod +x ck-server-* ck-client-*
mv ck-server-* /usr/local/bin/ck-server
mv ck-client-* /usr/local/bin/ck-client

Schritt 2 — Server-Schlüsselpaar generieren

ck-server -k
# Öffentlicher Schlüssel: ...
# Privater Schlüssel: ...

Beide speichern. Der öffentliche Schlüssel wird in die Client-Konfiguration eingebettet.

Schritt 3 — Benutzer-UIDs generieren

ck-server -u
# 7tCcGUcUyzM7tCcGUcUyzM=
# 9wEeIWeRtFE9wEeIWeRtFE=

Erzeugen Sie so viele UIDs wie Benutzer. Jede UID = ein Client. Wenn eine UID durchsickert, können Sie sie individuell widerrufen.

Schritt 4 — Serverkonfiguration /etc/cloak/ckserver.json

{
  "ProxyBook": {
    "wireguard": ["udp", "127.0.0.1:51820"],
    "shadowsocks": ["tcp", "127.0.0.1:8443"]
  },
  "BindAddr": [":443"],
  "BypassUID": [
    "7tCcGUcUyzM7tCcGUcUyzM=",
    "9wEeIWeRtFE9wEeIWeRtFE="
  ],
  "RedirAddr": "www.bing.com",
  "PrivateKey": "YOUR_PRIVATE_KEY_FROM_-k",
  "AdminUID": "OPTIONAL-ADMIN-UID=",
  "DatabasePath": "/var/lib/cloak/userinfo.db",
  "StreamTimeout": 300
}

Wichtige Felder:

• ProxyBook: die Backend-Liste. Eine Sitzung kann basierend auf der Client-Anfrage zu wireguard oder shadowsocks geleitet werden.
• BindAddr: :443 für den öffentlichen Port.
• BypassUID: UIDs ohne Quoten/Beschränkungen (Admin/Power-User).
• RedirAddr: wohin wir ungültige Sitzungen umleiten. Wichtig für die Tarnung — wählen Sie eine beliebte Seite, die nicht auf der schwarzen Liste in der Zielzone steht (bing.com, wikipedia.org, github.com sind fast überall in Ordnung).
• PrivateKey: der Server-Schlüssel (in Schritt 2 generiert).

Schritt 5 — Systemd-Dienst

/etc/systemd/system/cloak.service:

[Unit]
Description=Cloak-Server
After=network-online.target

[Service]
Type=simple
ExecStart=/usr/local/bin/ck-server -c /etc/cloak/ckserver.json
Restart=always
RestartSec=5
User=nobody
AmbientCapabilities=CAP_NET_BIND_SERVICE
CapabilityBoundingSet=CAP_NET_BIND_SERVICE

[Install]
WantedBy=multi-user.target

systemctl daemon-reload
systemctl enable --now cloak
journalctl -u cloak -f

Zu diesem Zeitpunkt antwortet Ihr VPS auf :443:

• An gültige Cloak-Clients → Tunnel zu lokalem WireGuard oder Shadowsocks.
• An alles andere (curl, Scanner, GFW-Proben) → gibt den Inhalt von www.bing.com zurück.

Von außen testen: curl -L https://your-ip muss Bings HTML anzeigen. Keine Cloak-Erwähnung. Keine Fehler. Perfekte Tarnung.

Client-Konfiguration: Linux, Windows, Android

Der Cloak-Client (ck-client) verwendet eine JSON-Konfiguration ähnlich der des Servers.

Linux-Client ~/cloak/ckclient.json:

{
  "Transport": "direct",
  "ProxyMethod": "wireguard",
  "EncryptionMethod": "aes-gcm",
  "UID": "7tCcGUcUyzM7tCcGUcUyzM=",
  "PublicKey": "SERVER_PUBLIC_KEY",
  "ServerName": "www.microsoft.com",
  "NumConn": 4,
  "BrowserSig": "chrome",
  "StreamTimeout": 300,
  "RemoteHost": "your-ip-or-domain",
  "RemotePort": 443,
  "LocalHost": "127.0.0.1",
  "LocalPort": 51820
}

Wichtige Felder:

• ProxyMethod: muss einem ProxyBook-Namen auf der Serverseite entsprechen (wireguard hier).
• UID: die vom Admin gegebene UID (Ihre in BypassUID).
• PublicKey: öffentlicher Schlüssel des Servers.
• ServerName: der SNI, den der Client im TLS-Handshake sendet. Sollte wie eine realistische Seite aussehen (Microsoft, Cloudflare, etc.).
• NumConn: 4 parallele Verbindungen, um den Durchsatz zu sättigen (empfohlen).
• BrowserSig: TLS-Signatur zum Nachahmen (chrome oder firefox). Vermeiden Sie safari, das eine unverwechselbare Signatur hat.
• LocalPort: lokaler Port, auf den WireGuard seinen Endpoint zeigt.

Starten:

ck-client -c ~/cloak/ckclient.json &

Dann WireGuard mit Endpoint = 127.0.0.1:51820 statt der öffentlichen IP hochfahren:

[Peer]
PublicKey = ...
AllowedIPs = 0.0.0.0/0
Endpoint = 127.0.0.1:51820

Windows: ck-client.exe von der Release-Seite. Geplanter Task für Autostart. Offizielle WireGuard-App zeigt auf 127.0.0.1:51820.

Android: ck-client-android-arm64 existiert auf der Release-Seite, aber keine native UI. Praktischer Weg: Verwenden Sie OpenVPN für Android, das Plugins unterstützt, oder wireguard-android + Termux, um ck-client im Hintergrund auszuführen. Komplexer als V2Ray (das eine native v2rayNG hat). Wenn Mobilgeräte im Vordergrund stehen, schauen Sie sich stattdessen V2Ray + VLess REALITY an.

Gemessene Leistung

Echte Benchmarks, Contabo VPS S Nürnberg, privater Gigabit-Glasfaser-Client in Paris, Median 10 Sitzungen, April 2026.

Cloak im direkten TLS-Modus (kein zusätzlicher WebSocket) ist schneller als WS+TLS — konsistent mit weniger Protokoll-Overhead.

Im Vergleich zu V2Ray + VLess REALITY (ein weiterer Ansatz mit geliehenem Zertifikat): Cloak ist etwas weniger performant (130 Mbps vs 155 Mbps), da REALITY XTLS Vision (optimierte Einzelverschlüsselung) verwendet, während Cloak standardmäßiges TLS verwendet. Der Unterschied ist in der Praxis gering.

Anwendungsfälle, in denen Cloak glänzt

1. Sie haben bereits ein selbstgehostetes WireGuard und möchten nur eine Verschleierungsschicht hinzufügen. Migration in 30 Minuten, keine Neuschreibung der WireGuard-Konfiguration. Sie starten ck-server, fügen Endpoint = 127.0.0.1:51820 clientseitig hinzu, fertig.

2. Mehrbenutzer mit widerrufbaren UIDs. Wenn Sie für 5 Freunde oder Kollegen hosten, ist jede UID unabhängig — das Widerrufen eines Benutzers = Entfernen seiner UID aus BypassUID, der Tunnel stoppt.

3. Iran, Türkei, VAE, Russland. Cloak besteht sehr gut auf diesen DPIs. Lokale Benutzer bestätigen stabile Verbindungen über Wochen. Für das chinesische Festland siehe Xray-core + REALITY (unser V2Ray-Leitfaden).

4. Defensive Tarnung gegen Serverinspektion. Wenn jemand (ISP-Admin, Behörde) Ihren VPS scannt und curl https://your-ip ausführt, sieht er Bing — nicht einen verdächtigen VPN-Endpunkt. Nützlich für plausible Abstreitbarkeit, wenn auch nicht absolut.

Fälle, in denen Cloak nicht die beste Wahl ist

1. Sie möchten ein mobilorientiertes Setup. Das mobile Client-Ökosystem von Cloak ist schwach (kein v2rayNG-Äquivalent). Für Mobilgeräte ist V2Ray + VLess mit v2rayNG oder Shadowrocket erheblich einfacher.

2. Sie setzen für 50+ Benutzer mit Quoten pro Benutzer ein. Cloak verwaltet UIDs und hat grundlegende Quoten, aber V2Ray hat ein reiferes Ökosystem (Admin-APIs, Dashboards wie x-ui).

3. Sie zielen speziell auf das chinesische Festland im Jahr 2026. Die GFW hat 2024-2025 Fortschritte gegen Cloak gemacht. REALITY (Xray-core) ist heute robuster. Cloak ist immer noch in Ordnung, aber nicht die beste Wahl.

4. Sie möchten oft Protokolle wechseln (SS einen Tag, WG den nächsten, OpenVPN danach). Cloak kann zu mehreren Backends routen, aber V2Ray/Xray handhabt das eleganter in einer einzigen Konfiguration.

Härtung

1. Starke zufällige UIDs. Verwenden Sie immer ck-server -u (offizieller Generator) — keine selbst erstellten UIDs. Andernfalls Entropiebias, die erkannt werden könnte.

2. Echtes Let's Encrypt-Zertifikat. Anstelle des standardmäßigen selbstsignierten Zertifikats konfigurieren Sie Cloak, um ein Let's Encrypt-Zertifikat über acme.sh zu verwenden:

acme.sh --issue -d cdn.yourdomain.com --standalone --httpport 8080
acme.sh --install-cert -d cdn.yourdomain.com \
  --key-file /etc/cloak/server.key \
  --fullchain-file /etc/cloak/server.crt \
  --reloadcmd "systemctl reload cloak"

Dann in ckserver.json die Zertifikatspfade über die TLS-Optionen festlegen (siehe Cloak-Dokumentation).

3. fail2ban auf Cloak-Logs. Ungültige Sitzungen erscheinen in journalctl -u cloak. Erstellen Sie einen fail2ban-Filter, der nach 20 ungültigen Versuchen in 60 Sekunden sperrt.

4. UIDs vierteljährlich rotieren. Alle 3 Monate Benutzer-UIDs rotieren. Dies erschwert das Leben eines Angreifers, der eines Tages eine Konfiguration exfiltriert hätte.

5. Keine persistente Verbindungsprotokolle. Halten Sie loglevel: warning auf Cloak. Wenn Sie sich in einer sensiblen Gerichtsbarkeit befinden, mounten Sie /var/log/cloak auf einem RAM-Disk (tmpfs).

Cloak vs Alternativen

Pragmatische Wahl:

• Cloak, wenn Sie bereits WG/SS haben und schnelle Tarnung wünschen.
• V2Ray + REALITY, wenn Sie von Grund auf neu beginnen, China-Fokus, mobilorientiert.
• wstunnel, wenn nur Unternehmensumgehung ohne ausgeklügelte DPI.

Wann ein verschleiertes kommerzielles VPN einfacher ist

Für nicht-technische Benutzer, die gelegentlich in Asien oder dem Nahen Osten reisen, ist die Einrichtung von Cloak + WireGuard + Zertifikat + DNS zu viel. Ein kommerzielles VPN mit integrierter Verschleierung ist zeiteffektiver.

Unser Cross-Sell-Tipp: NordVPN mit seinen "verschleierten Servern" (verschleiertes OpenVPN und NordWhisper). Zwei Klicks in der App, kein VPS zu verwalten. Gut im Iran/Türkei/VAE, in China 70% der Zeit in Ordnung.

Der kombinierte Ansatz, den viele unserer Leser verwenden: Cloak + WireGuard selbstgehostet für den Alltag, NordVPN als Backup für riskante Reisen. ~10 €/Monat Gesamtkosten, robust, und Sie sind nie ausgesperrt.

Häufige Fehlerbehebung

Symptom: curl https://your-ip gibt NICHT Bing zurück, sondern einen Fehler oder ungültiges Zertifikat. Cloak verwendet standardmäßig ein selbstsigniertes Zertifikat — ein strikter Browser oder curl wird es ablehnen. Richten Sie ein Let's Encrypt-Zertifikat ein, um das zu beheben.

Symptom: Cloak-Client verbindet sich, aber es fließt kein Verkehr. Die ProxyMethod des Clients stimmt nicht mit einem ProxyBook auf der Serverseite überein. Überprüfen Sie, dass "wireguard" im ProxyBook des Servers definiert ist.

Symptom: schlechte Leistung, maximal 30 Mbps. NumConn zu niedrig clientseitig (versuchen Sie 8 statt 4), oder CPU-gebundener Server (prüfen Sie htop). Aktiver Cloudflare-Proxy kann auch drosseln.

Symptom: intermittierende Verbindungen in China. Die GFW prüft aktiv selbstsignierte Zertifikate. Wechseln Sie zu einem echten Let's Encrypt-Zertifikat und ändern Sie den ServerName des Clients (verwenden Sie eine beliebte Whitelist-Domain).

Weiterführende Literatur

• Selbstgehostetes VPN auf Contabo: vollständiger WireGuard-Leitfaden 2026
• V2Ray VMess/VLess: vollständige Einrichtung 2026
• Shadowsocks vs VPN 2026: technischer Vergleich
• wstunnel: TCP/UDP über WebSocket

Technische Quellen:

• Cloak — offizielles GitHub-Repo
• Cloak-Dokumentation
• GFW Report — aktuelle Blockierungsdaten
• acme.sh — automatisches Zertifikat

Veröffentlicht am 2026-06-03. Benchmarks durchgeführt auf einem Contabo VPS S Nürnberg + privater Glasfaser-Client in Paris, März–April 2026. Anti-DPI-Techniken entwickeln sich ständig weiter — überprüfen Sie immer mit lokalen Quellen, bevor Sie kritisch einsetzen.

Rechtlicher Hinweis: Cloak ist ein Open-Source-Tool, legal in der EU, den USA, Kanada und den meisten Ländern. Die Nutzung zur Umgehung von Zensur in China, Iran, Russland, VAE ist lokal illegal mit variablen Strafen. VPNSmith veröffentlicht diesen Leitfaden zu Bildungszwecken.