Tor Snowflake Docker: Wie wir Zensur einfach umgehen

Morgenkaffee. Ein Blick in die Nachrichten. Wieder Meldungen über Netzsperren im Iran und anderswo. Ganz ehrlich, da sitzt man vor seinen Bildschirmen und baut den ganzen Tag Automatisierungen für irgendwelche Buchhaltungsprozesse in der Heimat. Dabei gibt es da draußen echte Probleme. Menschen haben keinen freien Zugang zu Informationen. Sie werden blockiert, überwacht und zensiert.

Man fragt sich dann oft, was man als einzelner IT-Tüftler schon tun kann. Eine Menge. Wir haben Bandbreite, wir haben Server und wir haben das Wissen. Also habe ich gestern beschlossen, einen kleinen Teil meiner Infrastruktur für etwas Sinnvolles abzuzweigen. Heute möchte ich dir am Whiteboard zeigen, wie das funktioniert.

Internetzensur umgehen: Warum VPNs oft scheitern

Der Klassiker bei Netzsperren ist der Griff zum VPN. Man kauft sich einen Zugang, installiert eine App und hofft auf das Beste. Die Realität sieht leider anders aus. Autokratische Regime sind nicht dumm. Sie nutzen Deep Packet Inspection. Das bedeutet, sie schauen sich die Datenpakete genau an. Ein klassischer VPN-Tunnel hat eine ganz bestimmte Signatur. Die Zensoren sehen diese Signatur und kappen die Verbindung sofort. Das ist so offensichtlich wie ein dröhnender Betonmischer im Vorgarten. Jeder sieht sofort, was da gebaut wird.

WebRTC Tarnung: Der clevere Trick der Entwickler

Hier kommt Tor Snowflake ins Spiel. Das Projekt nutzt einen sogenannten Pluggable Transport. Statt nach außen wie ein verdächtiger Tunnel auszusehen, verkleidet das System den Datenverkehr. Es nutzt dafür das WebRTC Protokoll. Das ist exakt die gleiche Technologie, die auch für normale Videoanrufe oder Sprachanrufe im Browser verwendet wird.

Für die Überwachungssysteme der Zensoren sieht der Traffic also aus wie ein harmloses Gespräch über das Internet. Die Tarnung ist so gut, dass es extrem schwer ist, diese Verbindungen zu blockieren, ohne gleichzeitig das halbe Internet lahmzulegen. Ein ziemlich geniales Katz-und-Maus-Spiel.

Tor Snowflake Docker: Mein Setup in der Cloud

Die offensichtliche Lösung ist nun, sich einfach eine Browser-Erweiterung zu installieren. Das ist super für den Einstieg. Es ist so simpel wie das Anschließen einer Bohrmaschine an die Kabeltrommel. Aber ich bin ein Macher und wollte das Ganze dauerhaft laufen lassen. Mein Laptop ist nicht immer an. Ich wollte das Herr-Müller-Prinzip vermeiden, bei dem der gesamte Spenden-Traffic von meinem lokalen Desktop-Rechner abhängt.

Deshalb fiel die Wahl auf meine Cloud-Umgebung. Dort nutze ich ohnehin eine PaaS-Lösung, die meine Container vollautomatisch verwaltet. Wer auf der Baustelle oder im Büro seine Betriebsmittel sauber dokumentiert, weiß den Wert einer robusten Infrastruktur-Verwaltung extrem zu schätzen.

Hier sind die wichtigsten Learnings für dein eigenes Docker Container Hosting:

• Ein dedizierter Container läuft unabhängig vom Desktop-Rechner und spendet rund um die Uhr Bandbreite.
• Die Ressourcen-Limits für CPU und RAM sind extrem wichtig, damit dein Hauptsystem nicht in die Knie geht.
• Der Host-Netzwerkmodus ist für die vielen dynamischen Ports zwingend erforderlich.
• Watchtower hilft dir dabei, das Image ohne manuelles Eingreifen immer auf dem neuesten Stand zu halten.

So sieht meine konkrete Konfiguration aus. Du kannst den Block einfach kopieren und anpassen:

services:
  snowflake-proxy:
    network_mode: host
    image: 'containers.torproject.org/tpo/anti-censorship/pluggable-transports/snowflake:latest'
    container_name: snowflake-proxy
    restart: unless-stopped
    command:
      - '-ephemeral-ports-range'
      - '30000:30010'
      - '-capacity'
      - '10'
    deploy:
      resources:
        limits:
          cpus: '0.1'
          memory: 128M
  watchtower:
    image: nickfedor/watchtower
    container_name: watchtower
    volumes:
      - '/var/run/docker.sock:/var/run/docker.sock'
    command: snowflake-proxy

IT Infrastruktur nutzen: Wenn es plötzlich Klick macht

Heute Morgen habe ich dann mit einer gewissen Neugier in die Logs geschaut. Ganz ehrlich, die Zahlen haben mich umgehauen. Es ist ein Wahnsinnsgefühl, wenn die Theorie in der Praxis exakt so rund läuft.

Schau dir diese Auszüge an:

2026-03-07T18:11:46.627722344Z Proxy starting
2026-03-07T18:11:48.198807888Z NAT type: unrestricted
2026-03-07T20:11:46.628857479Z In the last 1h0m0s, there were 8 completed successful connections. Traffic Relayed ↓ 243937 KB (67.76 KB/s), ↑ 17216 KB (4.78 KB/s).
2026-03-08T00:11:46.631715414Z In the last 1h0m0s, there were 10 completed successful connections. Traffic Relayed ↓ 86815 KB (24.12 KB/s), ↑ 3751 KB (1.04 KB/s).
2026-03-08T10:11:46.640917075Z In the last 1h0m0s, there were 11 completed successful connections. Traffic Relayed ↓ 16245 KB (4.51 KB/s), ↑ 6385 KB (1.77 KB/s).

Allein in der Nacht habe ich Dutzende erfolgreiche Verbindungen ermöglicht. Der Knotenpunkt läuft völlig lautlos im Hintergrund und verbraucht gerade mal 128 Megabyte RAM. Das ist echte Magie. High-Tech im Verborgenen, die am anderen Ende der Welt jemandem die Tür zu Wikipedia oder unabhängigen Nachrichten öffnet.

Fazit: Mehr als nur Code und Automatisierung

Wir sprechen hier so oft über Disruption und smarte Workflows. Wir optimieren den kleinsten Scheißprozess, um noch ein paar Euro zu sparen. Aber echte Digitalisierung bedeutet auch, Technologie als starkes Werkzeug für Freiheit zu begreifen.

Es ist ein bisschen wie beim Bauen. Du kannst den tollsten Dachstuhl errichten. Wenn das Fundament nicht stimmt, stürzt alles ein. Das freie Internet ist dieses Fundament. Wenn wir unsere KI Praxis Use Cases bauen, setzen wir blind voraus, dass Daten frei fließen können. Für viele Menschen ist das leider eine utopische Vorstellung.

Ich lasse diesen Container jetzt dauerhaft mitlaufen. Es kostet mich fast nichts, bringt aber enorm viel. Wer von euch hat auch noch ungenutzte Server-Kapazitäten herumliegen? Habt ihr vielleicht sogar Optimierungsvorschläge für meine Konfiguration? Lasst uns dieses dezentrale Netz gemeinsam ein bisschen größer machen. Einfach mal machen.