一般的な問題
このセクションでは、WARPクライアントを組織に展開する際や、クライアントと相互作用する新機能を有効にする際に遭遇する可能性のある一般的な問題について説明します。以下に問題がリストされていない場合は、トラブルシューティングFAQを参照するか、Cloudflareサポートに連絡してください。
WARPがDisconnected状態で固まっている場合や、ConnectedとDisconnectedの間で頻繁に切り替わる場合、これはクライアントがCloudflareのグローバルネットワークへの接続を確立できないことを示しています。
あなたのWARPデバッグログでは、daemon.logに通常、以下のいずれかのエラーが表示されます:
-
Happy Eyeballチェックの失敗:
ERROR main_loop: warp::warp::happy_eyeballs: Happy eyeballs error Custom { kind: NotConnected, error: "All Happy Eyeballs checks failed" } -
多くの他のチェックがタイムアウト:
ERROR warp::warp::connectivity_check: DNS check failed error=ResolveError { kind: Timeout }WARN warp::warp::connectivity_check: Tunnel trace failed request::Error { kind: Request, url: Url { scheme: "https", cannot_be_a_base: false, username: "", password: None, host: Some(Domain("connectivity.cloudflareclient.com")), port: None, path: "/cdn-cgi/trace", query: None, fragment: None }, source: TimedOut }
この問題が発生する最も一般的な理由は以下の通りです:
サードパーティサービス(ハードウェアまたはソフトウェアのファイアウォール、ルーター、MDM/グループポリシー設定、またはその他のネットワークインターフェースなど)が、WARPの接続をブロックするセキュリティポリシーを持っている可能性があります。
サードパーティサービスを構成して、WARPに必要なIPアドレスを除外します。
WARPに対するVPNからの干渉が見られる最も一般的な場所は以下の通りです:
-
トラフィックルーティングの制御:
daemon.logには、多くのルーティングテーブルの変更が表示されます。例えば、DEBUG warp::warp_service: Routes changed:Added; Interface: 8; Destination: 10.133.27.201/32; Next hop: 100.64.0.2;Added; Interface: 8; Destination: 10.133.27.202/32; Next hop: 100.64.0.2;DEBUG warp::warp_service: Routes changed:Added; Interface: 8; Destination: 10.133.27.203/32; Next hop: 100.64.0.2;Added; Interface: 8; Destination: 10.133.27.204/32; Next hop: 100.64.0.2;DEBUG warp::warp_service: Routes changed:Added; Interface: 8; Destination: 10.133.27.205/32; Next hop: 100.64.0.2;これは、サードパーティVPNがルーティングテーブルの制御を巡ってWARPと競合していることを示しています。
-
DNSの制御:
daemon.logには、多くのDNS変更が表示され、その後にこの警告が続きます:WARN main_loop: warp::warp_service: Reinforcing DNS settings. Is something else fighting us?デーモンは、他のプロセスがすでにUDPおよびTCPソケットにバインドされていることを示すこともあります:
WARN warp::warp: Unable to bind local UDP socket error=Os { code: 48, kind: AddrInUse, message: "Address already in use" } sockaddr=127.0.2.2:53WARN warp::warp: Unable to bind local TCP socket error=Os { code: 48, kind: AddrInUse, message: "Address already in use" } sockaddr=127.0.2.2:53
VPNが問題の原因であることを確認するには、VPNを一時的にアンインストール(無効化や切断ではなく)します。
- VPNでのすべてのDNS強制を無効にします。WARPは、デフォルトインターフェースのプライマリおよびセカンダリDNSサーバーに最後に触れるクライアントでなければなりません。
- Zero Trust ↗で、接続しているVPNサーバー(例:
vpnserver.3rdpartyvpn.example.com)を除外するスプリットトンネルルールを作成します。 - VPNを構成して、内部リソースへのルートのみを含めます。VPNルートがWARPトンネルに含まれるルートと重複しないことを確認してください。
詳細については、WARPクライアントと共にVPNを実行するためのガイドを参照してください。
一部の国では、意図的にトラフィックを暗号化するVPNまたはVPNのようなソフトウェアの使用を明示的にブロックしています。これらのブロックはしばしば一貫して施行されず、時には成功した接続が見られることもあります。
あなたの国がWARPトラフィックをブロックしている可能性がある場合は、ISPに連絡して確認してください。
WARPは、無効なホスト名を含むresolv.confファイルを解析できません。daemon.logには、unrecognized charの警告が表示されます:
WARN main_loop: warp::warp_service: Tunnel connection experienced error error=Custom { kind: Other, error: ProtoError { kind: Msg("unrecognized char: ") } }- デバイスの
/etc/resolv.confファイルを開きます。 searchディレクティブで、!@#$%^&*()<>?のような無効なURL文字を確認します。- 無効な行を削除し、WARPとGatewayにDNSサービスを依存させます。
WARPがConnectedと表示されているが、ウェブサイトや内部リソースにアクセスできない場合、これは以下のいずれかの構成問題が原因である可能性が高いです。
誤って構成されたGatewayファイアウォールポリシーにより、一部またはすべてのサイトへのトラフィックが制限されることがあります。
- In Zero Trust ↗, go to Gateway > Firewall Policies.
- Disable all DNS, Network, and HTTP policies and see if the issue persists. It may take up to two minutes for the change to take effect. Note that all policy enforcement happens on the Cloudflare global network, not on your local device.
- Slowly re-enable your policies. Once you have narrowed down the issue, modify the policies or their order of enforcement.
ルートCAをインストールして信頼することは、ブラウザのアイソレーション、TLS復号化、AVスキャン、デバイスの姿勢などの高度なセキュリティ機能を有効にするために必要なステップです。
デバイスにルートCAがインストールされていない場合、すべてのウェブサイトで信頼されていない証明書の警告が表示されます。例としては、Certificate not trusted、Not trusted identity、またはSSL Errorなどがあります。
すべてのデバイスにCloudflare証明書をインストールするか、Cloudflareに独自の証明書をアップロードします。
WARPは、サードパーティのDLPまたはプロキシサービスがGatewayに送信されるトラフィックのTLS復号化を行うことを許可しません。
問題を診断するには、https://zero-trust-client.cloudflareclient.com/v0/client_configにアクセスし、HTTPSトラフィックが署名されている証明書を確認します。証明書があなたの組織またはサードパーティサービスによって発行されている場合、サードパーティサービスがWARPトラフィックのTLS復号化を行い、私たちが信頼しない証明書で再署名しています。
サードパーティのセキュリティ製品で、WARPのIPアドレスに対するHTTPS検査とTLS復号化を無効にします。
以下は、WARPをオンにすると特定のアプリケーションが読み込まれなくなる最も一般的な理由です。
一部のアプリケーションはSSL検査をサポートしていないか、TLS復号化と互換性がない場合があります。Gatewayは、証明書ピンニングを行うことが知られているアプリケーションのリストを提供しています。
Firefox、Docker、Python、npmなどのアプリケーションは独自の証明書ストアに依存しており、Cloudflareのルート証明書はそれぞれで信頼される必要があります。
一般的なアプリケーションにルート証明書を追加するための手順を参照してください。リストにないアプリケーションについては、インターネットで<app-name> proxy supportや<app-name> proxy certificateを検索してみてください。
アプリケーションに証明書をインストールできない場合は、アプリケーションをGateway検査から除外するDo Not Inspectポリシーを作成します。
Gateway DNS、ネットワーク、またはHTTPが、アプリまたはサイトが依存するポート、IP、またはドメインを誤ってブロックしている可能性があります。
- In Zero Trust ↗, go to Gateway > Firewall Policies.
- Disable all DNS, Network, and HTTP policies and see if the issue persists. It may take up to two minutes for the change to take effect. Note that all policy enforcement happens on the Cloudflare global network, not on your local device.
- Slowly re-enable your policies. Once you have narrowed down the issue, modify the policies or their order of enforcement.
一部のアプリケーションは、トラフィックがWARPトンネル内または外のいずれかに完全に流れる必要があります。例えば、AirDropを使用したり、ローカルプリンターと通信したりするには、トラフィックがトンネルの外に出る必要があります。Microsoft Teamsのようなアプリケーションが正常に機能するためには、すべてのMicrosoft Teamsトラフィックが完全にトンネル内または完全にトンネル外である必要があります。
- アプリケーションが機能するために必要なIPアドレスやドメインを特定します。一般的なインターネット検索用語には、
<app-name> split tunnel list、<app-name> allow list、または<app-name> firewall ipsがあります。 - Zero Trust ↗で、スプリットトンネル設定に移動します。
- アプリケーションに応じて、必要なIPやドメインをすべて含めるか除外します。Microsoftアプリケーションの場合、すべてのMicrosoft 365 IPを除外するためのワンクリックアクションを提供しています。