コンテンツにスキップ

スプリットトンネル

スプリットトンネルは、WARPを通過させるIPアドレスやドメインを除外または含めるように設定できます。この機能は、VPNと併用してWARPを実行するため(除外モード)や、特定のプライベートネットワークへのアクセスを提供するため(含めるモード)によく使用されます。

スプリットトンネルは、ネットワークレベルでGatewayが可視性を持つものを制御するため、エンドユーザーに更新を展開する前にすべての変更をテストすることをお勧めします。変更がクライアントに伝播するまでに最大24時間かかる場合があります。これは、組織に接続されているデバイスの数によります。

スプリットトンネルモードの変更

  1. In Zero Trust, go to Settings > WARP Client.

  2. Under Device settings, locate the device profile you would like to modify and select Configure.

  3. Scroll down to Split Tunnels.

  4. (Optional) To view your existing Split Tunnel configuration, select Manage. You will see a list of the IPs and domains Cloudflare Zero Trust excludes or includes, depending on the mode you have selected. We recommend making a copy of your Split Tunnel entries, as they will revert to the default upon switching modes.

  5. Under Split Tunnels, choose a mode:

    • Exclude IPs and domains — (Default) All traffic will be sent to Cloudflare Gateway except for the IPs and domains you specify.
    • Include IPs and Domains — Only traffic destined to the IPs or domains you specify will be sent to Cloudflare Gateway. All other traffic will bypass Gateway and will no longer be filtered by your network or HTTP policies. In order to use certain features, you will need to manually add Zero Trust domains.

All clients with this device profile will now switch to the new mode and its default route configuration. Next, add or remove routes from your Split Tunnel configuration.

ルートの追加

  1. In Zero Trust, go to Settings > WARP Client.

  2. Under Device settings, locate the device profile you would like to modify and select Configure.

  3. Under Split Tunnels, check whether your Split Tunnels mode is set to Exclude or Include.

  4. Select Manage.

  5. You can exclude or include routes based on either their IP address or domain. When possible we recommend adding an IP address instead of a domain. To learn about the consequences of adding a domain, refer to Domain-based Split Tunnels.

To add an IP address to Split Tunnels:

  1. Select IP Address.
  2. Enter the IP address or CIDR you want to exclude or include.
  3. Select Save destination.

Traffic to this IP address is now excluded or included from the WARP tunnel.

You can add up to 1000 combined Split Tunnel and Local Domain Fallback entries to a given device profile.

We recommend keeping the Split Tunnels list short, as each entry takes time for the client to parse. In particular, domains are slower to action than IP addresses because they require on-the-fly IP lookups and routing table / local firewall changes. A shorter list will also make it easier to understand and debug your configuration.

スプリットトンネルを使用するタイミング

特定のサイトのためにGatewayを完全にバイパスする必要がある場合や、WARPが作成するファイアウォールを通過させるトラフィックを許可する場合にスプリットトンネルを使用します。一般的なシナリオには以下が含まれます:

  • エンドユーザーのデバイスの実際のIPアドレスを必要とするサードパーティアプリケーションに接続する(例:Microsoft 365)。
  • 音声とビデオを最適化する。
  • サードパーティVPNエンドポイントに接続する。

スプリットトンネルを使用しないタイミング

Gatewayのログでトラフィックを確認したい場合は、スプリットトンネルからサイトを除外しないでください。特に、スプリットトンネルを使用して以下のことを行うことはお勧めしません:

  • 特定のウェブサイトとの接続の問題を解決する。設定ガイダンスについては、トラブルシューティングガイドを参照してください。
  • 特定のウェブサイトのパフォーマンスの問題を解決する。Cloudflareは95%のインターネット接続人口の50ミリ秒以内で運営されているため、通常はトラフィックを私たちを通じて送信する方が速いです。パフォーマンスに関連する問題が発生している場合は、まずGatewayポリシーを確認するか、サポートに連絡することをお勧めします。

Cloudflare Zero Trustドメイン

多くのCloudflare Zero Trustサービスは、WARPを通過するトラフィックに依存しています。例えば、デバイスの姿勢チェックWARPセッションの持続時間などです。含めるモードでスプリットトンネルを使用している場合、これらの機能が機能するためには、以下のドメインを手動で追加する必要があります:

  • Cloudflare Zero Trustに認証するために使用されるIdP
  • <your-team-name>.cloudflareaccess.com
  • AccessまたはGatewayポリシーによって保護されているアプリケーション
  • ブラウザアイソレーションを使用している場合はedge.browser.run

ドメインベースのスプリットトンネル

ドメインベースのスプリットトンネルには、組織に展開する前に知っておくべきいくつかの影響があります:

  • WARPおよびGatewayの可視性から除外または含められたルートは日々変わる可能性があり、ユーザーごとに異なる場合があります。
  • IPアドレスを共有する追加のホスト名を意図せず除外または含める可能性があります。これは、CDNやCloudflare、AWS、Azureなどの大規模なインターネットプロバイダーによってホストされているドメインを追加した場合によく発生します。例えば、AWSでホストされているVPNを除外したい場合は、*.amazonaws.comを追加しないでください。そうすると、デバイスがAWS上のすべてのトラフィックに対して開かれてしまいます。代わりに、特定のVPNエンドポイント(*.cvpn-endpoint-<UUID>.prod.clientvpn.us-west-2.amazonaws.com)を追加してください。
  • ほとんどのサービスはホスト名のコレクションです。スプリットトンネルモードがアプリタイプをサポートするまで、特定のアプリやサービスで使用されるすべてのドメインを手動で追加する必要があります。
  • WARPはドメインのDNSルックアップリクエストを処理する必要があります。DNS結果がオペレーティングシステムによって以前にキャッシュされているか、他の方法で傍受されている場合(例えば、ブラウザのセキュアDNS設定を介して)、IPアドレスはスプリットトンネルに動的に追加されません。

有効なドメイン

スプリットトンネルドメイン一致するもの一致しないもの
example.comexample.comの正確な一致www.example.comのようなサブドメイン
example.example.comexample.example.comの正確な一致example.comwww.example.example.comのようなサブドメイン
*.example.comwww.example.comsub2.sub1.example.comのようなサブドメインexample.com

プラットフォームの違い

ドメインベースのスプリットトンネルは、モバイルクライアントとデスクトップクライアントで異なる動作をします。モバイルとデスクトップの両方のクライアントが組織に接続する場合は、すべてのプラットフォームで同じように機能するIPアドレスまたはCIDRに基づくスプリットトンネルを使用することをお勧めします。

Windows、Linux、macOS

これらのプラットフォームのクライアントは、ドメインのIPアドレスが解決された直後に、スプリットトンネル用のルーティングテーブルに動的に挿入することによって機能します。これにより、デスクトップクライアントはワイルドカードドメインプレフィックス(例えば、*.example.com)をサポートし、単一のドメイン(example.comwww.example.com)だけでなくなります。

iOS、Android、ChromeOS

プラットフォームの違いにより、モバイルクライアントはトンネルが最初に開始されたときにのみスプリットトンネルルールを適用できます。これは以下を意味します:

  • ドメインベースのスプリットトンネルルールは、トンネルが確立されたときにその時点でのドメインのIPアドレスに基づいて作成されます。ルートはトンネルが確立されるたびに更新されます。

  • ワイルドカードドメインプレフィックス(例えば、*.example.com)は、有効なワイルドカードDNSレコードがある場合にのみサポートされます。他のワイルドカードドメインは、クライアントがトンネルを開始する際にワイルドカードドメインをホスト名に一致させることができないため、サポートされません。サポートされていないワイルドカードドメインプレフィックスは、構成に存在することができますが、モバイルプラットフォームでは無視されます。

ルートの削除

  1. Zero Trustに移動し、設定 > WARPクライアントを選択します。

  2. デバイス設定の下で、変更したいデバイスプロファイルを見つけて構成を選択します。

  3. スプリットトンネルの下で、管理を選択します。

  4. リスト内のIPアドレスまたはホスト名を見つけて削除を選択します。

Cloudflareが推奨するデフォルトのスプリットトンネルエントリに戻す必要がある場合は、デフォルトエントリを復元を選択します。

Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings