WARPの [Exclude] とは何か?は[WARP運用の[Exclude]と[Include]の違い]を参照して下さい。
ここでは下図の[Split Tunnels]を[Exclude]で利用する方法を解説します。
尚、推奨は[Include]運用ですが[Exclude]を使う企業の例は下記になります。
[Exclude]を利用した方が良い企業とは
①社内で利用するサーバが接続されているLANと、ユーザPCが接続されているLANのセグメントが違う企業
②スマホは企業からの貸与で、MDM等で管理している企業
③企業レベルで[Microsoft 365]、[Google Workspace]、[Slack]、[Dropbox]を利用しており、これを細かく管理する為にCloudflare CASBを利用したいと考えている企業(Enterpriseプランが必須です)
1.WARPの[Exclude]設定
1.WARP Clientを呼び出す
[Settings]の画面の中から[WARP Client]を開きます。
2.Device settingsを開く
[Device settings]欄にある[Default]をクリックして[Edit]で開きます。
3.WARPに[Exclude]設定を行う。
表示された設定項目を[Exclude]に沿った設定にします。重要項目は背景色を変更しています。
項目 | 解説と推奨設定 |
①Captive portal detection |
Free WiFiの検出です。 推奨設定:ON
空港、カフェ、図書館でのFree Wifi利用はインターネットに接続されてない状態でログイン画面がブラウザに表示され、これにログイン後、インターネットに接続される仕様になっています。 この設定が[ON]の場合はFree Wifiから再度、ログイン要求がきた時に、通信が切れたことを教えてくれるので、ここから再度ログインして継続利用ができます。 これが[OFF]の場合は、接続が切れたことを教えてくれないので、インターネットをアクセスした時に繋がってない事がわかり、始めから接続をやり直す使い方になります。 |
②Mode switch |
WARPの接続方式選択 必須設定:ON
WARPとGatewayの接続には[Gateway with WARP]と[Gateway with DoH]、及び⑪の[Acsess Local netwark]があります。 これが[ON]の場合は、ユーザが上記のモード切替を行う事ができます。 [Exclude]運用の場合はこれを[ON]にしておかないと、ローカルリソースにアクセスができなくなります。 |
③Device tunnel protocol |
トンネルの方式
WireGuardがデフォルトで、MASQUEが最近追加されたトンネル方式です。 実績があるWireGuardで良いと思います。 |
④Lock WARP switch |
WARP ON/OFF スイッチのロック 推奨設定:OFF
[ON]にすると、ユーザーがWARPをON/OFFできなくなります。 運用が軌道に乗ったら[ON]で良いと思います。 |
⑤Allow device to leave organization |
セキュリティ空間からのログアウト 推奨設定:ON
[OFF]にするとログイン中の組織からユーザー操作でのログアウトができなくなります。 運用が軌道に乗ったら[OFF]で良いと思います。 |
⑥Allow updates |
WARPアプリの更新処理 推奨設定:ON
ユーザ自身でWARPクライアントのアップデートが行えます。 MDM等でWARPを管理している場合は[OFF]になります。 |
⑦Auto connect |
自動再接続 推奨設定:OFF
[ON]に設定するとユーザがWARPを[OFF]にしても、3分後には自動でONになります。 3分の時間設定は管理者が変更する事ができます。 運用が軌道に乗ったら、③が[OFF]で、この設定を[ON]にする運用も利用できます。 |
⑧Support URL |
URLリンク機能 推奨設定:https://チーム名.cloudflareaccess.com
WARP画面からアプリケーションランチャの起動ができる様になります
メニュー → 詳細 → フィードバック送信
|
⑨Service mode |
WARPの接続モード 推奨設定:Gateway with WARP
デフォルトのWARPの接続モードを指定します。 HTTPポリシを利用するので[Gateway with WARP]を選定します。 |
⑩Local Domain Fallback |
ローカルドメインの登録テーブル
ローカルリソースをIPアドレスでアクセスするのでなく、ローカルドメインでアクセスしたい場合はここで設定します。 具体的な操作方法は[WARPの Local Domain Fallback]を参照して下さい。 |
⑪Split Tunnels |
Gatewayとの接続方式 ※最重要
[Exclude IPs and domains]に✓を付け[Manege]ボタンを挿入します。 [Include]から[Exclude]に切替えた時はデフォルト設定が無くなっています。 よってこの場合は[Restore default entries]ボタンでデフォルト設定を戻してください。 ここでローカルで利用するIPアドレスを利用可に変更します。 私の場合[192.168.1.0/24]と[192.168.10.0/24]を[セキュリティ空間]に接続させました。 そこでリスト一覧から[192.168.0.0/16]に✓を付け[Action]ボタンから削除します。 以上で[192.168.1.0/24]と[192.168.10.0/24]はGateWayでルーティングができる様になります。 次にWARP to WARPを利用する場合は[100.64.0.0/10]を選択し、同様に削除します。 |
⑫Allow users to enable local network exclusion
|
指定時間だけローカル ネットワークの除外を有効にする。 推奨設定:ON
この設定を[ON]すると、WARP接続の[Gateway with WARP]の下に[Acsess Local netwark]というメニュが追加されます。 この[Acsess Local netwark]接続を選択すると、指定した時間だけローカルIPをトンネルから除外する事によりLAN内にあるプリンター等にアクセスできるようになります。 指定時間が終了すると自動で[Acsess Local netwark]接続は解除されます。 |
⑬Directly route Office 365 traffic |
推奨設定:OFF
Office 365を利用する場合は[ON]にします。 その結果、Office365関連の通信はチェックしないというポリシーが追加されます。 |
設定の変更を行った場合は、最後に必ず[Save Profile]を実行して下さい。
2.PCでの使い方と評価
1.接続モードの種類を知る
WARPの歯車をクリックする[Gateway with DoH]と[Gateway with WARP]が表示されます。
また[Gateway with WARP]をクリックすると[Acsess Local network]が表示されます。
これを切り替えると機能が変わる事を理解して下さい。
2.接続モードを切り替えた時に適用されるインターネットアクセスのポリシーの違いを知る
メモ
[Gateway with WARP]
[HTTPポリシー]→[DNSポリシー]でインターネットをアクセスします。
[Gateway with DoH]
[DNSポリシー]だけでインターネットをアクセスします。
3.接続モードを切り替えた時のローカルアクセスの違いを知る
接続モードを切り替えた時のローカルリソースの違いは下表になります。
接続種類 | 自分のLAN内リソース | 自分のLAN外リソース |
Gateway with WARP | × | 〇 |
→Acsess Local network | 〇 | 〇 |
Gateway with DoH | 〇 | × |
ローカルアクセスの結論
社内にPCがある時は[Gateway with WARP]で利用し、同一LANにある他のリソースにアクセスする時は[Acsess Local network]を利用します。
PCが社外にある時は[Gateway with WARP]で総ての社内リソースにアクセスできます。
4.PCへのインストールアプリ対策
インターネットにアクセスするのはブラウザだけではありません。
PCにインストールした[Thenderbird]、[秀丸メール]、[FFFTP]等のアプリケーションもインターネットアクセスします。
これらのアプリケーションは独自の証明書を利用してインターネットアクセスするので[TSL decryption]機能が働くとエラーになるのでHTTPポリシーに[Cert Pinning]の設定が必要になります。
[Thenderbird]は欧米製のソフトなのでデフォルトの[Cert Pinning]で機能しますが[秀丸メール]等は日本製なので自分で検査をしないポリシーを作成する必要があります。
5.結論
[Exclude]運用はHTTPポリシーが適用できるので細かな管理ができる反面、ローカルアクセスは、PCの接続環境によってWARPの接続設定を変更しなければならない。という面倒な操作になります。
尚、ここでは詳しく説明しませんがWEBアクセスをHTTPポリシー経由にすると、ブラウザの[HTTPS強制]がONになります。
その結果、HTTPサイトをHTTPSでアクセスしようとして証明書エラーがでる問題もあります。
対処方法は[HTTPの明示指定]又は[ブラウザの設定変更]です。
最終結論は[Include]運用に比べて面倒だ!です。
3.スマートデバイスでの使い方と評価
スマートデバイスの特徴は色々なアプリケーションをインストールして使う事です。
しかし[Exclude]運用は[メール]と[ブラウザ]は利用可能ですが、インストールした大半のアプリはエラーになり利用できません。
これはスマホのアプリが通信を行おうとすると[HTTPポリシー]に行きますが、ここで[TSL decryption]機能が働き通信エラーとなります。
対策は[Gateway with WARP]ではなく[Gateway with DoH]を利用する事です。
これを行うとアクセスは[HTTPポリシー]には行かずに[DNSポリシー]を経由してインターネットをアクセスする為にスマホのアプリでもエラーになりません。
しかしこれを行うとPCとスマホは別の管理を行う事を意味しています。
1.接続モードの種類を知る
右上のメニュから[Gateway with DoH]と[Gateway with WARP]を切り替えられます。
スマホアプリを利用する為には[Gateway with DoH]接続を利用します。
2接続モードを切り替えた時に適用されるインターネットアクセスのポリシーの違いを知る
[Gateway with DoH]接続で[DNSポリシー]は適用されます。
3.ローカルアクセス
PCの[Gateway with DoH]接続のアクセスと同じになります。
4.結論
[Exclude]運用はスマートフォンが企業からの貸与でメールやブラウザアクセスしか認めない運用か、スマホのポリシー管理はPCとは別にDNSポリシーで行うしかありません。
最終結論は[Include]運用に比べて面倒だ!です。