WARPの [Include] とは何か?は[WARP運用の[Exclude]と[Include]の違いを理解する]を参照して下さい。
ここでは下図の[Split Tunnels]を[Include]で利用する方法を解説します。
1.WARPの[Include]設定
1.WARP Clientを呼び出す
[Settings]の画面の中から[WARP Client]を開きます。
2.Device settingsを開く
[Device settings]欄にある[Default]をクリックして[Edit]で開きます。
3.WARPに[Include]の設定を行う。
表示された設定項目を[Include]に沿った設定にします。重要項目は背景色を変更しています。
項目 | 解説と推奨設定 |
①Captive portal detection |
Free WiFiの検出です。推奨設定:ON
空港、カフェ、図書館でのFree Wifi利用はインターネットに接続されてない状態でログイン画面がブラウザに表示され、これにログイン後、インターネットに接続される仕様になっています。 この設定が[ON]の場合はFree Wifiから再度、ログイン要求がきた時に、通信が切れたことを教えてくれるので、ここから再度ログインして継続利用ができます。 これが[OFF]の場合は、接続が切れたことを教えてくれないので、インターネットをアクセスした時に繋がってない事がわかり、始めから接続をやり直す使い方になります。 |
②Mode switch | WARPの接続方式選択 必須設定:OFF
WARPとGatewayの通信方法には[Gateway with WARP]と[Gateway with DoH]がありますが⑩の[Split Tunnels]が[Include]の場合は[Gateway with WARP]しか利用しません。 よってこの設定は切り替えられないようにOFFにします。 |
③Device tunnel protocol |
トンネルの方式
WireGuardがデフォルトで、MASQUEが最近追加されたトンネル方式です。 実績があるWireGuardで良いと思います。 |
④Lock WARP switch |
WARP ON/OFF スイッチのロック 推奨設定:OFF
[ON]にすると、ユーザーがWARPをON/OFFできなくなります。 運用が軌道に乗ったら[ON]で良いと思います。 |
⑤Allow device to leave organization |
セキュリティ空間からのログアウト 推奨設定:ON
[OFF]にするとログイン中の組織からユーザー操作でのログアウトができなくなります。 運用が軌道に乗ったら[OFF]で良いと思います。 |
⑥Allow updates |
WARPアプリの更新処理 推奨設定:ON
ユーザ自身でWARPクライアントのアップデートが行えます。 MDM等でWARPを管理している場合は[OFF]になります。 |
⑦Auto connect |
自動再接続 推奨設定:OFF
[ON]に設定するとユーザがWARPを[OFF]にしても、3分後には自動でONになります。 3分の時間設定は管理者が変更できます。 運用が軌道に乗ったら、③が[OFF]で、この設定を[ON]する運用でも良いと思います。 |
⑧Support URL |
URLリンク機能 推奨設定:https://チーム名.cloudflareaccess.com
WARP画面からアプリケーションランチャの起動ができる様になります.
スマホの場合は下記になります。 メニュー → 詳細 → フィードバック送信 |
⑨Service mode |
WARPの接続モード 推奨設定:Gateway with WARP
デフォルトのWARPの接続モードを指定します。 指定ドメインはHTTPポリシを利用するので[Gateway with WARP]を選定します。 |
⑩Local Domain Fallback |
ローカルドメインの登録テーブル
ローカルリソースをIPアドレスでアクセスするのでなく、ローカルドメインでアクセスしたい場合に設定します。 具体的な操作方法は[WARPの Local Domain Fallback]を参照して下さい。 |
Gatewayとの接続方式 ※最重要
[Include IPs and domains]に✓を付けてく[Manege]ボタンを挿入します。 下記の各項目を[Selector]で[Domain]又は[IP Address]を選択して登録します。 1.[セキュリティ空間]のドメイン名 [チーム名].cloudflareaccess.com 2.認証に使用するIdPのドメイン名 Google場合:accounts.google.com 3.ブラウザ分離のURL edge.browser.run 4.ローカルリソースのIPアドレス 私の場合は[192.168.1.0/24]と[192.168.10.0/24]を[セキュリティ空間]に接続させたのでこのアドレスを登録します。 5.WARP to WARP用の仮想IPアドレス 100.96.0.0/12 6.TSL decryptionを機能させたいドメイン名 [セキュリティカテゴリでブロック]されたサイトを[アクセス許可]する場合に対象ドメインをここに登録します。 尚、ドメイン登録はサブドメインも含めて登録して下さい。 例えばURLが[https://www.asahi.com/]の場合は、[www.asahi.com]です。 これによりに危険なサイトをアクセスしても[TSL decryption]機能が稼働するのでデバイスはインターネットの脅威から守られます。 |
|
⑫Allow users to enable local network exclusion |
指定時間だけローカル ネットワークの除外を有効にする。 推奨設定:OFF
[Exclude]接続の時に利用する機能なので[Include]接続では意味がありません。 |
⑬Directly route Office 365 traffic |
[Include]運用ではOffice 365へのアクセスは、禁止しない限りは利用できます。 |
設定の変更を行った場合は最後に必ず[Save Profile]を実行して下さい。
2.PCでの使い方と評価
1.インターネットアクセスの評価
[Include]のWARP接続は[Gateway with WARP]になります。
インターネットアクセスは[DNSポリシー]だけが適用されます。
但し、セキュリティカテゴリでブロックされたサイトを[アクセス許可]する場合に対象ドメインを登録した場合は[HTTPポリシー]経由になり、危険なサイトをアクセスしても[TSL decryption]が稼働するのでデバイスは守られます。
2.ローカルアクセスの評価
[192.168.1.0/24、192.168.10.0/24]のLAN上にあるルータ、サーバ、プリンター等をIPアドレス指定でアクセスできます。
結果は下記になります。
接続方式 | LAN内リソースアクセス | LAN外リソースのアクセス |
Gateway with WARP | 〇 | 〇 |
3.結論
PCが社内にあっても、社外にあっても総てローカルに接続されている様に利用できるので大変便利です。
VPNソフト等の余分なアプリケーションは総て不要です。
SSH接続やWebDAV(一部カスタマイズが必要)も場所を問わずに利用できる様になります。
3.スマートデバイスでの使い方と評価
1.インターネットアクセスの評価
[Include]のWARP接続は[Gateway with WARP]になります。
インターネットアクセスは[DNSポリシー]だけが適用されます。
但し、セキュリティカテゴリでブロックされたサイトを[アクセス許可]する場合に対象ドメインを登録した場合は[HTTPポリシー]経由になり、危険なサイトをアクセスしても[TSL decryption]が稼働するのでデバイスは守られます。
2.ローカルアクセスの評価
[192.168.1.0/24、192.168.10.0/24]のLAN上にあるルータ、サーバ、プリンター等をIPアドレス指定でアクセスできます。
結果は下記になります。
接続方式 | LAN内リソースアクセス | LAN外リソースのアクセス |
Gateway with WARP | 〇 | 〇 |
3.インストールした各種アプリ
スマホにインストールしたアプリは[HTTPポリシー]を経由しないので問題なく利用できます。
4.結論
スマホもどの様な接続状態でも社内のWi-Fiに接続された様な状態で利用できる様になります。