下図はデバイスにインストールした[WARP]から[外部アクセス]や[内部アクセス]を行う概念図です。
■WARPは[クライアント]と[Gateway]間にVPNトンネルを張ります。
このトンネルを分割する方法[Split Tunnels]に[Exclude]と[Include]があります。
■赤→が外部アクセスで、青→が内部アクセスです。
1.外部アクセス
[Gateway]の下記のポリシーを経由してインターネットアクセスを行います。
・DNSポリシー :ドメイン名で判断するポリシーです。
・HTTPポリシー:URLで判断するポリシーです。
例えばあるニュースサイトをブロックしたい場合、
・DNSポリシーでニュースサイトのドメインをブロックすると、ニュースサイト全体がブロックされます。
・HTTPポリシーでこのニュースサイトのスポーツのURLだけをブロックすると、スポーツニュースだけをブロックすることができます。
この様により細かな制御ができるのがHTTPポリシーです。
WARPアクセスはDNSポリシーは必ず経由しますが、HTTPポリシーを経由させるか否かは[Split Tunnels]が[Exclude]か[Include]によって指定方法が異なります。
2.内部アクセス
内部のIPアドレスの処理方法も[Split Tunnels]が[Exclude]か[Include]によって指定方法が異なります。
下記に各々の概要を解説します。
1.Exclude運用
[Split Tunnels]の[Exclude]は除外指定です。
具体的な設定方法は[WARPを[Exclude]で運用する]を参照して下さい。
ポイントは下記になります。
①除外指定をした[ドメイン]以外は、すべてHTTPポリシーを経由します。
デフォルトで除外ドメインは登録されてないので、通信は総てHTTPポリシー経由になります。
②除外指定した[IPアドレス]以外のローカルアクセスは総て拒否します。
デフォルトでローカルで利用されるIPアドレスが総て登録されています。
そこで利用したいIPレンジを削除しないとローカルにアクセスできません。
私の事例では[192.168.1.0/24]と[192.168.10.0/24]を利用しているので[192.168.0.0/16]を削除しないとこのIPアドレスにアクセスできません。
Excludeを利用してみた上での感想
■インターネットアクセス①
[Exclude]運用は、HTTPをHTTPSに自動変換してアクセスしてしまうので、HTTPサイトをアクセスすると証明書エラーになります。
これを解決する為には、HTTPの明示指定アクセスか、ブラウザの設定を変更する必要があります。
■インターネットアクセス②
[Exclude]運用は、総てのインターネットアクセスに[TSL decryption]が働きます。
インターネットアクセスはブラウザ以外にPCにインストールしたThenderbird等のアプリケーションもアクセスします。
これらのアプリケーションは独自の証明書を利用してアクセスするので[TSL decryption]が働くとエラーになるのでHTTPポリシーに[Cert Pinning]等の設定が必要になります。
■ローカルアクセス
[PCが接続されているネットワーク]と[アクセスしたいネットワーク]を意識して、WARPの接続方法を変更しないとアクセスできません。
以上の結果から、[Exclude] 運用はメリットも大きいが利用方法の制限も多いです。
よって大企業がCloudflare社のコンサルを受けながら利用する仕掛けの様に感じました。
2.Include運用
こちらが中小企業や個人が利用するのに適した設定です。
[Split Tunnels]の[Include]は包含指定です。
具体的な設定方法は[WARPを [Include] 運用する]を参照して下さい。
ポイントは下記になります。
①指定した[ローカルIP]だけ通信を許可します。
②指定した[ドメイン]だけHTTPポリシーを経由させます。
指定しないドメインはDNSポリシーだけが適用されます。
デフォルトで[ローカルIP]も[ドメイン]も登録されていません。
そこで[Include]運用を行う場合は最低限下記を登録する必要があります。
①[セキュリティ]空間のドメイン名
[チーム名].cloudflareaccess.com
②認証に使用されるIdPのドメイン名
Google認証の場合は[accounts.google.com]
③ブラウザ分離のURL
edge.browser.run
④ローカルのIPアドレス
[セキュリティ空間]と接続したローカルIPアドレスを指定します。
私の場合は[192.168.1.0/24]と[192.168.10.0/24]です。
⑤WARP to WARPで利用される仮想IPアドレス
100.96.0.0/12
⑥TSL decryptionを機能させたいドメイン
セキュリティカテゴリでブロックされたサイトを[アクセス許可]する場合に対象ドメインを登録します。
尚、ドメイン登録はサブドメインも含めて登録して下さい。
例えばURLが[https://www.asahi.com/]の場合は、[www.asahi.com]又は[*.asahi.com]で、ワイルドカード形式の場合は下記の注意点を参照して下さい。
これによりに危険なサイトをアクセスしても[TSL decryption]が稼働するのでデバイスは守られます。
ワイルドカード形式のドメイン指定の注意点
ドメイン名の指定にワイルドカード形式が利用できますが、下記の制限があります。
Windows、Lonux、MacのWARPはドメインの IP アドレスが解決された直後に、スプリット トンネリング用のルーティング テーブルに動的に挿入する事ができる為、ワイルドカード形式が利用できます。
しかしスマートデバイスのWARPはトンネルが構築された時点のテーブルだけが適用される為、ワイルドカード形式ドメインは対象外となります。
よってワイルドカード形式の指定はPCだけで良い場合以外は利用できません。