レガシーVPNとのWARP
Cloudflare WARPクライアントは、ほとんどのレガシーサードパーティVPNと共存できます。WARPクライアントとサードパーティVPNクライアントの両方が、ローカルデバイス上でファイアウォール、ルーティング、およびDNSルールを強制するため、2つの製品はIPおよびDNSトラフィックの制御を巡って競合します。互換性を確保するために、次のことを確認してください:
- IPトラフィックはWARPとVPNの間でスプリットトンネリングされます。すべてのVPNトラフィックはWARPをバイパスし、その逆も同様です。
- VPNは、WARP with firewallにリストされているすべてのドメイン、IP、およびポートをバイパス/許可/除外します。
- DNS解決はWARPまたはVPNのいずれかによって処理されます。2つの製品のいずれかでDNSフィルタリングを無効にする必要があります。
最も安定した一貫した接続を確保するために、レガシーVPNを使用するのではなく、プライベートネットワークまたは個別のアプリケーションをCloudflareに接続することをお勧めします。ただし、移行できるまで、以下のガイドラインがZero Trustデプロイメントを立ち上げるのに役立ちます。
Gateway with WARPモードでは、WARPがデバイス上のすべてのDNSトラフィックをキャプチャしてルーティングできるようにする必要があります。Local Domain Fallbackを使用して、サードパーティVPNまたはファイアウォールの背後にあるサーバーにDNSリクエストを送信できますが、リクエストは最初にWARPのローカルDNSプロキシを通過する必要があります。この要件についての詳細は、WARP architectureを参照してください。
VPNでDNSを無効にできない場合は、Secure Web Gateway without DNS filteringモードに切り替えてWARPでDNSを無効にします。
サードパーティVPNソフトウェアでこれらの手順を実行します。これらの設定を構成する方法については、VPNのドキュメントを参照してください。
-
サードパーティVPNでスプリットトンネリングを有効にします。
-
サードパーティVPNでDNS設定を無効にします。
Perform these steps in Zero Trust ↗.
-
Set your Split Tunnels mode to Exclude IPs and domains.
-
Add the following entries to your Split Tunnel Exclude list:
- Private IP address range exposed by your third-party VPN client. For example,
Selector Value IP Address 172.16.0.0/12 - Server that your third-party VPN client connects to. For example,
Selector Value Domain *.cvpn-endpoint-xxxxx.prod.clientvpn.us-west-2.amazonaws.com
- Private IP address range exposed by your third-party VPN client. For example,
- (オプション) Local Domain Fallbackで、VPNのプライベートDNSサーバーを使用して解決したいドメインを追加します。例えば、
ドメイン DNSサーバー internal.wiki.intranet172.31.26.130,172.31.23.120
これで、WARPがVPNと共存しているかどうかをテストできます。
Secure Web Gateway without DNS filteringモードでは、WARPはデバイス上でDNS機能を実行しません。したがって、必要なのはIPトラフィックをスプリットトンネルすることだけです。
サードパーティVPNソフトウェアでスプリットトンネリングを有効にします。これらの設定を構成する方法については、VPNのドキュメントを参照してください。
Perform these steps in Zero Trust ↗.
-
Set your Split Tunnels mode to Exclude IPs and domains.
-
Add the following entries to your Split Tunnel Exclude list:
- Private IP address range exposed by your third-party VPN client. For example,
Selector Value IP Address 172.16.0.0/12 - Server that your third-party VPN client connects to. For example,
Selector Value Domain *.cvpn-endpoint-xxxxx.prod.clientvpn.us-west-2.amazonaws.com
- Private IP address range exposed by your third-party VPN client. For example,
- デバイスプロファイルで、サービスモードがDNSフィルタリングなしのセキュアウェブゲートウェイに設定されていることを確認します。
サードパーティVPNを有効にする前に、WARPクライアントを有効にすることをお勧めします。一部のサードパーティVPNは、ネットワークの設定を編集する最後のものでなければならず、そうでないと失敗します。
- WARPクライアントを接続します。
- サードパーティVPNクライアントを接続します。
- スプリットトンネル設定をテストするために、VPNの背後にあるプライベートIPアドレスに接続します。例えば、ターミナルを開いて
ping <SERVER-IP>を実行できます。 - DNS設定をテストするために、VPNの背後にある内部ドメインに接続します。例えば、ブラウザを開いて
internal.wiki.intranetにアクセスできます。