下図はWARPクライアントがZero Trustのセキュリティ空間に接続された時の概念図です。
PCやスマートデバイスの[WARP]がCloudflareの[セキュリティ空間]に[認証]されると[WARP]と[Gateway]間はWireGuardのVPNで接続されます。(最近はMASQUEのVPNも利用できる様になりました)
またGatewayには[DNSポリシー]と[HTTPSポリシー]があり、これらを利用する為には[DNS Locations]と[Cert Pinning]設定を行う必要があります。
これらの設定は自動で生成される事もありますが、無い場合はマニュアルで作成します。
1.DNS Locationsの設定
WARPがインターネットアクセスに利用するDNSリゾルバはPCやブラウザに設定されたものは利用しません。
貴方の[セキュリティ空間]に設定された貴方専用のDNSリゾルバになります。
[Gateway → DNS Locations]を起動して下さい。
メモ
ここに[Default Location]が既に設定されていた場合は、この設定は不要です。
尚、この設定がないとカスタマイズしたブロック画面の機能をONにしても、Cloudflareのデフォルトのブロック画面が表示されるという問題が発生します。
何も設定されてない場合は、画面の中にある[Add a location]ボタンを挿入します。
1.[Add DNS endpoints]ページの設定
①[DNS location details]欄
[Location name]欄に[Default Location]を入力します。
②[Select DNS endpoints]欄
ここでは[DNS]を[IPv4版]か[IPv6版]かの選択と、DNSとの会話の暗号化方式を設定します。
具体的には[IPv4 DNS]以外をONにします。
以上でIPv6のDNSで暗号化方式は下記の2つが利用できるDNSである事を宣言します。
・DNS over HTTPS(DoH)
HTTPSを使って暗号化する方式です。ポート番号の443を利用します。
・DNS over TLS(DoT)
TLS(SSL)を使って暗号化する方式です。ポート番号の853を利用します。
③[Default DNS Location]欄
[Set as Default DNS Location]に✓を付け[continue]ボタンを挿入します。
■以上はデフォルトがDoHで、DoTでも利用できるIPv6のDNSリゾルバという意味です。
2.[Protect your endpoints]ページの設定
プロテクトはしないので、何も設定せずに[continue]ボタンを挿入します。
3.[Review setup details]ページの設定
内容を確認後[Done]ボタンを挿入します。
4.[configuration]ページの設定
内容を確認後[Go to DNS locatins]ボタンを挿入します。
以上で[Default Location]という名前の貴方専用のDNSリゾルバが作成されました。
2.HTTPポリシーの[Cert Pinning]設定
ここではHTTPポリシーにアクセスがきた時に[TSL decryption]を行わないアプリを登録します。
[Gateway → Firewall policies]を起動し[HTTP]タブを開いて下さい。
メモ
ここに既に[Cert Pinning]というポリシーが既に設定されていた場合は、この作業は不要です。
[Cert Pinning]に登録されているアプリはTLS復号を行うと動かないアプリです。
例えば[Exclude]モードでPCの中に[Thunderbird]をインストールしてメール処理を行っていた場合、この[Cert Pinning]指定が無いとSMTPサーバへのアクセスができなくなり動きません。
[Include]モードの場合はデフォルトでHTTPポリシを経由しないので不要ですが、あっても問題ないので設定しておきましょう。
何も設定されてない場合は、画面の中にある[Add a policy]ボタンを挿入します。
1.[Name your policy]欄
[Policy name]に[Cert Pinning]を入力します。
2.[Build an expression]欄
[Traffic] 欄にある[+Add condition]ボタンを挿入します。
下記画面が表示されます。
・[Selector]の▼から[Application]を選択します。
・[Opelator]の▼から[in]を選択します。
・[Value]欄に[Do Not Inspect]を入力し、表示された[Do Not Inspect]に✓を付けます。
3.[Select an action]欄
・[Action]欄の▼から[Do Not Inspect]を選択します。
4.画面の下にある[Create policy]ボタンを挿入します。
下記のポリシーが表示されます。
メモ
尚、[Cert Pinning]ポリシーはHTTPポリシーの先頭に配置する必要があります。
もし、ブロックポリシーの下にあった場合は先頭に移動させてください。
以上で登録したアプリは[TSL decryption]対象外になります。