プライベートDNS
デフォルトでは、WARPクライアントは解決のためにCloudflareのパブリックDNSリゾルバである1.1.1.1にDNSリクエストを送信します。Cloudflare Tunnelを使用すると、内部DNSリゾルバをCloudflareに接続し、公開されていないルーティングドメインを解決するために使用できます。
-
あなたのプライベートネットワークをCloudflare Tunnelに接続します。
-
ネットワーク > ルートの下で、内部DNSリゾルバのIPアドレスがトンネルに含まれていることを確認します。
-
TCPおよびUDPのためにゲートウェイプロキシを有効にするを行います。
-
次に、内部DNSリゾルバを指すローカルドメインフォールバックエントリを作成します。たとえば、WARPクライアントに
myorg.privatecorpのすべてのリクエストを10.0.0.25の内部リゾルバを通じて解決するよう指示できます。
- 最後に、トンネルがデフォルトのトランスポートプロトコルとしてQUICを使用していることを確認します。これにより、
cloudflaredがDNSクエリを解決するために必要なUDPベースのトラフィックをプロキシできるようになります。
WARPクライアントは、あなたのプライベートネットワークで設定した内部DNSサーバーを通じてリクエストを解決するようになります。
テストのために、内部DNSサービスに対してdigコマンドを実行します:
dig AAAA www.myorg.privatecorpdigコマンドは、上記でmyorg.privatecorpがフォールバックドメインとして設定されているため、機能します。そのステップをスキップした場合でも、digにプライベートDNSリゾルバを使用させることができます:
dig @10.0.0.25 AAAA www.myorg.privatecorpWARPクライアントがエンドユーザーのデバイスで無効になっている場合、両方のdigコマンドは失敗します。
Cloudflare Tunnelでプライベートネットワークを設定中に問題が発生した場合は、以下のトラブルシューティング戦略を使用してください。
-
ネットワーク > トンネルにアクセスして、
cloudflaredがCloudflareに接続されていることを確認します。 -
cloudflaredがquicプロトコルで実行されていることを確認します(ログでInitial protocol quicを検索)。 -
cloudflaredが実行されているマシンが、Cloudflareに接続するためにUDPでポート7844へのエグレスを許可されていることを確認します。 -
エンドユーザーデバイスがWARPに登録されていることを確認するには、https://help.teams.cloudflare.com ↗を訪問します。
-
ゲートウェイネットワークポリシータブでアプリケーションポリシーの優先順位を再確認します。よりグローバルなブロックまたは許可ポリシーがアプリケーションポリシーを上書きしないことを確認します。
-
ゲートウェイ監査ログのネットワークタブを確認して、UDP DNS解決が許可されているかブロックされているかを確認します。
-
プライベートDNSリゾルバがルーティング可能なプライベートIPアドレスで利用可能であることを確認します。
cloudflaredを実行しているマシンでdigコマンドを試すことで確認できます。 -
dig ... +tcpを使用してDNS解決をUDPではなくTCPを使用するよう強制して、設定を確認します。