WARP
WARPをオンランプとしてMagic WANに接続し、WARPがインストールされたユーザーのデバイスからCloudflare TunnelまたはMagic IPレイヤートンネルに接続された任意のネットワークにトラフィックをルーティングします(Anycast GRE、IPsec、またはCNI)。Magic WANとMagic Firewallの統合を活用し、Cloudflareのグローバルネットワークでポリシーを強制します。
WARPをMagic WANへのオンランプとして使用する前に、Zero Trustアカウントを設定する必要があります。
WARPデバイスをMagic WANに接続すると、100.96.0.0/12範囲のWARPからの仮想IPアドレスが割り当てられます。
Anycast GREまたは他のタイプのトンネルの背後にあるサービスからWARPデバイスにパケットを戻すようにルーティングします。これは、実際にWARPをインストールする前に行う必要があります。そうしないと、インフラストラクチャがCloudflareのグローバルネットワークに正しくパケットをルーティングできず、接続が失敗します。
Cloudflareは、WARPデバイスにWARP仮想IP(VIP)スペースからIPアドレスを割り当てます。仮想IPアドレスを表示するには、Cloudflare Zero Trustダッシュボード ↗を開き、My Team > Devicesを選択します。
VIPスペース内の宛先IPを持つすべてのパケットは、トンネルを通じて戻される必要があります。たとえば、gre1という名前の単一のGREトンネルがある場合、Linuxでは、次のコマンドを使用してそのようなパケットをルーティングするルールを追加します:
ip route add 100.96.0.0/12 dev gre1Zero Trustアカウントからスプリットトンネルを構成し、アクセスしたいプライベートIPアドレスからのトラフィックのみを含めます。
オプションで、パブリックIPアドレスに接続するために使用したいIP範囲やドメインを含めるようにスプリットトンネルを構成できます。
手動または管理されたデプロイメントを選択するかどうかについての詳細は、WARPを組織にデプロイするを参照してください。
スプリットトンネル構成で指定されたプライベートIPアドレスにアクセスできるはずです。
デバイスの設定が更新されるように、少なくとも1つのWARPデバイスでログアウトして再度ログインする必要があります。
テストを行う前に、WARP設定でサーバーまたはサービスのためにドメインフォールバックを構成してください。これは、デフォルトでCloudflare Zero Trustがローカル解決に使用される一般的なトップレベルドメインをGatewayに送信して処理することを除外するために必要です。
アカウント内でWARP統合が過去1日以内に有効になっている場合は、テストの前にWARPクライアントでログオフして再度ログインしてください。
WARPがオンランプとして正しく機能しているかを確認するには、Magic WAN内のサーバーまたはサービスの完全修飾ドメイン名(FQDN) ↗で解決テストを行います。WARPデバイスを持つユーザーからこれをテストします。
たとえば:
nslookup <SERVER_BEHIND_MAGIC_WAN>このDNSルックアップは、テストしているサーバーまたはサービスに関連付けられた有効なIPアドレスを返す必要があります。
次に、WAN上のサービスに接続できるブラウザを使用して、WAN上でのみアクセス可能なウェブページを開いてテストします。サーバーは、DNSルックアップで使用したサーバーと同じサーバーでも、WAN内の別のサーバーでもかまいません。ドメイン名の代わりにIPアドレスを使用して接続することも可能です。
WARPユーザーがMagic WANトンネルがすでに設定されている場所(オフィスなど)に行くと、WARPトラフィックは二重にカプセル化されます - まずWARPによって、次にMagic WANによって。これは不要であり、各オンランプメソッドは完全なZero Trust保護を提供します。
WARPトラフィックはすでに独自に保護されているため、CloudflareはMagic WANを設定してWARPトラフィックを除外し、通常の接続を介してインターネットに送信することを推奨します。
これを達成するために除外すべきIPアドレスとUDPポートについては、WARPインバウンドIPおよびWARP UDPポートを参照してください。