Cloudflare WARPでつまづいたところをまとめます
Cloudflare WARP クライアントをパソコンやモバイルで有効にすると、近くの Cloudflare データセンターを経由してインターネットへ接続してくれます。 個人ユーザーさんにとっては、ネットが高速になるしトラフィックが暗号化されて保護される安心感があります。企業さんにとってはスタッフがリモートで働いていても、ポリシーに沿うセキュリティ制御をかけられるので一石二鳥です。( 'ω' و( و"♪
この WARP クライアントを実装する際につまづいた経験と解決策をまとめます。 Cloudflare WARP ドキュメント - https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp
エラー:入力された機関名が無効であるか、デバイス ポリシーがまだ設定されていません。管理者に問い合わせてください。Team name entered team name appears invalid or there is no device policy setup yet.
1. どんな状況?
WARP クライアントへログインするためにチーム名を入力したらエラーが返ってきた。以下は設定済み
- WARP クライアントインストールした
- ルート証明書をインストールして信頼設定した(HTTPフィルタリングには必要)
- プロキシ設定有効化した
- チーム名を設定した(Settings > General > Team domain > Edit)
- デバイスの登録権限を指定した(例 @classmethod.deだけ許可)
2. ユーザー認証方法が設定されていなかった
WARP クライアントにログインすると、指定した方法でユーザー認証をします。今回は認証方法を設定していなかったのでエラーになりました。
3. ログイン方法はいろいろ選べる
まずは手軽に設定できるワンタイムPINを試してみました。認証画面にてメールアドレスを聞かれます。入力したメールアドレスはデバイスの登録権限ルールをもとに判定され、許可されていれば認証コードが送られます。
- ワンタイムPIN発行 - Settings > Authentication > Login methods > Add new > One-time PIN
その他の認証方法には、SAML認証もしくはサードパーティのIDプロバイダーにも対応しています。 https://developers.cloudflare.com/cloudflare-one/identity/idp-integration
エラー:このページは表示できません 403 ERROR The request could not be satisfied.
1. どんな状況?
特定の接続元 IP アドレスだけアクセスできるように制限しているサイト。WARP を OFF にするとアクセスできるが ON にするとエラーになる。
2. 接続元が Cloudflare のグローバル IP になってしまった
WARP を介しているため接続元アドレスが変わります。ON と OFF それぞれグローバル IP アドレスが違います。→ cman
制限されているサイトへアクセスするたび、都度 WARP を OFF にするのはめんどくさいですね。WARP さんに、特定の宛先へのトラフィックは無視するようにお願いしておきましょう。
3. スプリットトンネル Split Tunnels Exclude 除外モード
定義された IP アドレスまたはドメイン宛のトラフィックだけを、WARP ではなくローカルマシンによって処理するよう設定します。ということは WARP が ON のままでも、指定したサイトへアクセスする時だけ既存の接続元 IP に戻ってくれて今まで通りアクセスできるということです。
- Settings > Network > Split Tunnels ●Exclude IPs and domains にチェックされていることを確認し > Manage
- Selector のプルダウンにて IP Address もしくは Domain を選び宛先を指定 > Save destination
4. ドメイン指定の場合 注意点
IP アドレスを共有する可能性のあるホスト名を誤って除外する可能性があったり、DNS の更新まで反映されなかったり(今回検証した際は2日後に反映され検証サイトへアクセスできました)、ワイルドカードを使う場合、モバイルではワイルドカードが無視されたり。その他注意点については↓
プリンタに接続できない
1. どんな状況?
WARP ON 状態でプリンタに繋ぎたい
2. プリンタにドメイン名を割り当てている
- 会社や拠点などでしか通用しない名前(インターネット上で解決できない)を割り当てている、
- mDNS Multicast DNS を使用している(DNSサーバーなしで名前解決する仕組み)
と WARP 利用時には名前解決できず使えなくなる可能性がありますね。
3. Split Tunnels Exclude モードでこちらも除外
プリンタの DNS 名もしくはその上のドメインを Split Tunnels の除外対象にすると解決されます
最後に
クラスメソッドは Cloudflare のパートナーとして、Cloudflare サービスのご利用をお手伝いしております。お気軽にお問い合わせください。