リモートのデバイスを遠隔保守ができる WARP-to-WARP を試してみた

リモートのデバイスを遠隔保守ができる WARP-to-WARP を試してみた

#Cloudflare Zero Trust
#Cloudflare
#ゼロトラスト
#SASE
#WARP
酒井剛

酒井剛

facebook logohatena logotwitter logo
Clock Icon2024.07.22

Cloudflare Zero Trust では WARP というエージェントを使って、Cloudflare のバックボーンとセキュアトンネルをはることができます。

WARP は遠隔地にある社内リソース(サーバーなど)にアクセスするために利用されますが、WARP をインストールしている端末同士がVPNを介して相互にアクセスすることも可能です。
これが WARP-to-WARP という機能になりますが、実際にこの機能を使って、対向のデバイスにRDP接続してみました。

https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/private-net/warp-to-warp/

Cloudflare Zero Trust の設定

Cloudflare Zero Trust のコンソールにログインして、WARP-to-WARP の機能を有効化していきます。

Settings > Networks に進みます。

Screenshot_2024-07-22_at_20_56_13_

Firewall の Proxy をONにして、UDP、ICMPにチェックを入れます。
WARP to WARP のスイッチもONにします。

Screenshot_2024-07-22_at_20_58_27_

次に、画面を戻って、Settings > WARP Client に進みます。

Screenshot_2024-07-22_at_20_56_13__

Global Settings の Override local interface IP をONにします。
警告が表示されますが、そのまま設定を確定します。
※公式ドキュメントに従って手順を進めていくと、この設定が抜けてしまいがちなのですが忘れずに有効化します。

Screenshot_2024-07-22_at_21_02_57_

さらに今回のテスト端末に適用する、WARP Profile を選択して設定を変更します。

Screenshot_2024-07-22_at_21_06_52_

Split Tunnel で Manage を選択します。(Exclude IPs and domains にチェックされている前提とします)

Screenshot_2024-07-22_at_21_10_40_

先の手順で WARP-to-WARP を有効化し、デバイスがエンロールメント(WARPをインストールして認証をパスすると)を行うとトンネルインターフェイスに 100.96.0.0/12 のIPアドレスが付与されます。
WARP 同士が通信するために、これらのIPアドレスへの通信を Cloudflare(インターネット) に向くよう Split Tunnel の設定で制御する必要があります。
デフォルトの設定では、以下のように 100.64.0.0/10 が Cloudflare(インターネット) への通信から除外されていますので、これを調整する必要があります。
100.64.0.0/10 のエントリーを Delete で削除します。
新たに 100.64.0.0/11 のエントリーを Save Destination で登録します。

Screenshot_2024-07-22_at_23_00_29_

後は、2つの端末で WARP をインストールし、デバイスのエンロールメントを行います。
それぞれ、Mac、Windows 11 で WARP をインストールしました。
インストール後、IPアドレスを確認します。

Mac:

% ifconfig
utun3: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
	inet 100.96.0.2 --> 100.96.0.2 netmask 0xffffffff
	inet6 2606:4700:110:8d00:d184:cac5:6dec:6f61 prefixlen 128
	nd6 options=201<PERFORMNUD,DAD>

Windows 11:

>ipconfig
不明なアダプター CloudflareWARP:

   接続固有の DNS サフィックス . . . . .:
   IPv6 アドレス . . . . . . . . . . . .: 2606:4700:110:83d6:c77d:2a26:fe3e:6b67
   IPv4 アドレス . . . . . . . . . . . .: 100.96.0.1
   サブネット マスク . . . . . . . . . .: 255.255.255.255
   デフォルト ゲートウェイ . . . . . . .:

それぞれ、「100.96.0.2」と「100.96.0.1」が付与されているのが分かります。

後は Mac → Windows11 にリモートデスクトップするための、受診側の設定を行うとリモートデスクトップすることができました。

まとめ

WARP-to-WARP があれば在宅勤務している状況下で、従業員のパソコンのトラブル対応などで遠隔保守が行いたいときでも安心ですね。

Share this article

facebook logohatena logotwitter logo

関連記事

Cloudflare WARP でリモートからドメインサフィックスを補完する

Cloudflare WARP でリモートからドメインサフィックスを補完する

User avatar
酒井剛
2024.08.30
Cloudflare Zero Trust のポリシー設定に使うアプリケーション一覧を確認する

Cloudflare Zero Trust のポリシー設定に使うアプリケーション一覧を確認する

User avatar
酒井剛
2024.06.20
日米公的機関 による Zero Trust 対応を調べてみる

日米公的機関 による Zero Trust 対応を調べてみる

User avatar
平野尚志
2024.03.18
調査会社 による Zero Trust 記事を調べてみる (ZTNAはハイプ・サイクのどこだっけ?)

調査会社 による Zero Trust 記事を調べてみる (ZTNAはハイプ・サイクのどこだっけ?)

User avatar
平野尚志
2024.03.15
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.