コンテンツにスキップ

WARPとファイアウォール

あなたの組織がファイアウォールやその他のポリシーを使用してインターネットトラフィックを制限または傍受している場合、WARPクライアントが接続できるように、以下のIPアドレスとドメインを除外する必要があります。

クライアントオーケストレーションAPI

WARPクライアントは、登録や設定変更などの操作のために、トンネルの外で標準のHTTPS接続を介してCloudflareに接続します。これらの操作を行うには、以下のIPアドレスを検索するzero-trust-client.cloudflareclient.comを許可する必要があります。

  • IPv4 API Endpoints: 162.159.137.105 and 162.159.138.105
  • IPv6 API Endpoints: 2606:4700:7::a29f:8969 and 2606:4700:7::a29f:8a69

DoH IP

WARPを通じてのすべてのDNSリクエストは、DoH(DNS over HTTPS)を介してトンネルの外に送信されます。DNSが正しく機能するためには、以下のIPアドレスに到達可能である必要があります。

  • IPv4 DoH Addresses: 162.159.36.1 and 162.159.46.1
  • IPv6 DoH Addresses: 2606:4700:4700::1111 and 2606:4700:4700::1001

Androidデバイス

Cloudflare OneエージェントをAndroid/ChromeOSに展開する場合、ファイアウォールの例外リストにcloudflare-dns.comを追加する必要があります。Android/ChromeOSデバイスでは、WARPはcloudflare-dns.comを使用して、スプリットトンネルリスト上のドメインを解決します。

クライアント認証エンドポイント

ゼロトラスト組織にログインすると、開いたブラウザウィンドウで組織が要求する認証手順を完了する必要があります。これらの操作を行うには、以下のドメインを許可する必要があります:

  • Cloudflare Zero Trustに認証するために使用されるIdP
  • <your-team-name>.cloudflareaccess.com

WARPイングレスIP

WARPは、デバイスに設定されたトンネルプロトコル(WireGuardまたはMASQUE)に応じて、以下のIPアドレスに接続します。デバイスからCloudflareへのすべてのネットワークトラフィックは、これらのIPとポートを介してUDPで行われます。

WireGuard

IPv4アドレス162.159.193.0/24
IPv6アドレス2606:4700:100::/48
デフォルトポートUDP 2408
フォールバックポートUDP 500
UDP 1701
UDP 4500

MASQUE

IPv4アドレス162.159.197.0/24
IPv6アドレス2606:4700:102::/48
デフォルトポートUDP 443
フォールバックポートUDP 500
UDP 1701
UDP 4500
UDP 4443
UDP 8443
UDP 8095

キャプティブポータル

以下のドメインは、キャプティブポータルチェックの一部として使用されます:

  • cloudflareportal.com
  • cloudflareok.com
  • cloudflarecp.com

接続チェック

WARP接続を確立する一環として、クライアントは成功した接続を検証するために以下のHTTPS URLをチェックします:

  • engage.cloudflareclient.comは、WARPトンネルの外で一般的なインターネット接続を検証します。これらのリクエストは常にWARPイングレスIPv4またはIPv6範囲のIPに直接送信されます(または設定されている場合はoverride_warp_endpointに送信されます)。リクエストは、システムにプロキシサーバーが設定されていても、プロキシサーバーを使用しません。

  • connectivity.cloudflareclient.comは、WARPトンネル内の接続を検証します。このチェックはトンネル内で行われるため、connectivity.cloudflareclient.comをファイアウォールの許可リストに追加する必要はありません。

NELレポート(オプション)

WARPクライアントは、接続の問題をa.nel.cloudflare.comに報告します。これは技術的には操作に必要ありませんが、適切に除外されないとログにエラーが記録されます。

レイテンシ統計(オプション)

WARPクライアントは、トンネルレイテンシテストを実行する際にWARPイングレスIPにICMPトラフィックを生成します。これは技術的には操作に必要ありませんが、適切に除外されないとログにエラーが記録されます。

時間同期(オプション)

WARPクライアントは、NTP(UDP 123)を介してCloudflareのタイムサービスtime.cloudflare.comを使用して正確な時間を同期しようとします。これは技術的には操作に必要ありませんが、適切に除外されないとログにエラーが記録されます。

ファイアウォールルールの範囲

必要なスコープ

あなたの組織が現在、上記のIPアドレス、ポート、およびドメインに対する入出力通信を許可していない場合、手動で例外を追加する必要があります。ルールは、プラットフォームに基づいて以下のプロセスにスコープを設定する必要があります:

  • Windows: C:\Program Files\Cloudflare\Cloudflare WARP\warp-svc.exe
  • macOS: /Applications/Cloudflare WARP.app/Contents/Resources/CloudflareWARP

オプションのスコープ

DEXテスト

デジタルエクスペリエンスモニタリングテストを実行するには、warp-dexプロセスがターゲットの宛先にネットワークトラフィックを生成できるようにする必要があります:

  • Windows: C:\Program Files\Cloudflare\Cloudflare WARP\warp-dex.exe
  • macOS: /Applications/Cloudflare WARP.app/Contents/Resources/warp-dex

WARPネットワーク統計

WARP GUIに組み込まれたネットワーク接続テストを使用するには、GUIアプリケーションがネットワークトラフィックを生成できるようにする必要があります:

  • Windows: C:\Program Files\Cloudflare\Cloudflare WARP\Cloudflare WARP.exe
  • macOS: /Applications/Cloudflare WARP.app
Cloudflare DashboardDiscordCommunityLearning CenterSupport Portal
Cookie Settings