Cloudflare Warpの始め方

チュートリアル

過去には、VPNトンネルの設定が難しく、利用者にとっても使いづらかったことがありました。 Cloudflare WARPクライアントは、高速でモダンなVPNであり、安全なWireGuardプロトコルをベースに構築されています。個人やビジネスを問わず、誰でも無料で利用できます。

この記事では、Cloudflare WARPクライアントの使い方を学び、Cloudflare WARPクライアントが消費者利用だけでなく、それ以上の用途にも対応していることをご覧いただけます。 Cloudflare Teamsは、ゼロトラストの安全なウェブゲートウェイであり、WARPクライアントを活用してエンドユーザーシステムのネットワークトラフィックを内部システムおよびインターネットに対して安全に保護します。

関連記事:CloudFlareを使用したエンドツーエンドのSSL暗号化の設定方法

前提条件

Cloudflare Teamsの登録手順に従うには、既存のCloudflare Teamsアカウントが必要です。PowerShellコマンドを使用するため、最新バージョンのPowerShellのいずれかが必要であり、この記事では7.1を使用しています。さらに、この記事のすべての手順は最新バージョンのWindows 10で実行されます。

Cloudflare WARPクライアントのインストール

Cloudflare WARPクライアントは、複数の異なるオペレーティングシステムに対応したクロスプラットフォームです。この記事では、Windows OS用のCloudflare WARPのインストール方法を説明しますが、モバイルでもGoogle Playストアから利用することができます。さあ、始めましょう!

まず、最新バージョンのWindows x64クライアントをダウンロードします。この記事ではバージョン1.5.461.0を使用します。次に、ダウンロードしたパッケージを実行し、デフォルトの設定でインストールします。

Cloudflare WARPクライアントでVPN接続を開始する方法

Cloudflare WARPクライアントをインストールしたら、インストールプログラムによってシステムトレイにアイコンが表示されます。VPN接続を開始するためには、以下の手順に従ってください。

1. システムトレイ内にあるCloudflare WARPクライアントをクリックします。

System tray icon for Cloudflare WARP.

2. 「WARPとは?」画面では、「次へ」をクリックし、「プライバシーへの取り組み」画面では「同意する」をクリックします。これらの画面は、Cloudflare WARPを初めて使用する際に表示されます。

Welcome to the Cloudflare WARP message.
Cloudflare WARP privacy agreement,

3. トグルボタンをクリックして安全なVPN接続を有効にし、Cloudflareネットワークに接続します。デフォルトでは切断されています。

Enabled Cloudflare WARP client connection.

4. 最後に、PowerShellを使用してVPNが接続されていることを確認します。 Invoke-RESTMethodコマンドを使用してipify.orgサービスにクエリを送信します。以下のように、Cloudflare WARP VPNを有効にした後、IPが異なることが表示されます。 

Invoke-RESTMethod -URI 'https://api.ipify.org?format=json' | Select-Object -ExpandProperty IP
Invoke Rest Method

Cloudflare WARPクライアントの設定

クライアントをインストールしたので、Cloudflare WARPクライアントの設定オプションを使用してより高度なインストールシナリオを実行できます。歯車アイコンをクリックし、設定メニューアイテムを選択することで、Cloudflare WARPクライアントの設定をアクセスできます。

Preferences menu item.

接続オプション

いくつかの設定画面は情報のみを提供します(一般など)、しかし他の画面では設定が可能です。 接続パネルをクリックしてクライアントの動作をカスタマイズできます。ここでは、ネットワーク名セクションの下にWi-Fiネットワークを明示的に追加して、接続時にトラフィックがVPNから外に出ないようにすることも、すべてのWi-Fiまたは有線ネットワークでWARPクライアントを無効にすることもできます。

さらに、Cloudflare WARPで使用するDNSプロトコルオプションや、1.1.1.1ファミリーズ DNSサービスオプションの動作をカスタマイズすることもできます。このオプションは、マルウェアサイトなどのコンテンツをブロックすることができます。DNSプロトコルオプションは、Cloudflare WARPにDNSリクエストをルーティングするための方法を指定します。

Gateway DoH Subdomainオプションは、Cloudflare Teamsとの使用を想定しています。Gateway DoHサブドメインは、ユーザー指定のフィルタポリシーに対してフィルタリングするためのすべてのDNSリクエストをルーティングするためのアカウント値に固有の値です。

Connection preferences page,

スプリットネットワークの設定

デフォルトでは、Cloudflare WARPクライアントがアクティブな場合、すべてのトラフィックがVPNトンネルを介して送信されます。Cloudflareネットワークを介してトラフィックをプロキシしないようにしたい場合があります。Cloudflare WARPクライアント内で、VPNを介さずにトラフィックを送信しないようにする特定のルートを定義することができます。

除外されるIPアドレスやルートを変更するには、設定 → 詳細設定 → スプリットトンネルセクションに移動してください。

Advanced preferences page.

いくつかのデフォルトルートがすでに設定されていますが、特定のルートを除外する場合は、プラスボタンをクリックして特定のルートを入力します。

Split Tunnels configuration.

ローカルドメインのフォールバックエントリの定義

インターネットルートオプションと同様に、Cloudflare WARP VPNから除外される特定のドメインを指定することもできます。これは、除外されたドメインがシステム上のローカルDNSリゾルバを使用するようになります。除外されるドメインは、ローカルイントラネットサイトまたは企業ネットワークの場合があります。

ドメインとオプションの説明を入力するには、詳細設定 → ローカルドメインのフォールバックに移動し、プラスボタンをクリックします。

Entering a Fallback Domain.

プロキシモードの設定

最終の高度な機能は、Cloudflare WARPがローカルプロキシサーバーとして機能する能力です。特定のアプリケーションのトラフィックをCloudflare WARP VPN経由でルーティングしたい場合、ローカルプロキシサーバーオプションを使用することができます。

フォーマットは、ローカルプロキシサーバーを定義します。デフォルトのポートは4000で、SOCKSまたはHTTPSクライアントが接続してトラフィックを送信できます。

Enabling the local proxy server.

Cloudflare WARPクライアントをCloudflare Teamsと組み合わせる

Cloudflare Teamsのユーザーであれば、Cloudflare WARPクライアントを使用してVPN接続を強化し、すべてのDNSクエリをCloudflare Gateway DoHとHTTPフィルタリングを介してフィルタリングすることができます。DNSおよびHTTPフィルタリングをCloudflare Teamsと連携させるためには、3つのステップが必要です。

  1. SSLトラフィックを検査およびフィルタリングするために、Cloudflareルート証明書をインストールします。
  2. フィルタリングのために、アカウント固有の値であるGateway DoHサブドメインを設定します。
  3. 特定のデバイスをCloudflare Teamsアカウントに接続するために、デバイス登録を設定します。

これら2つのツールを組み合わせる方法を見てみましょう。

Cloudflareルート証明書のインストール

Cloudflare WARPクライアントを介したCloudflare TeamsのHTTPフィルタリングを有効にするためには、まずCloudflareルート証明書をダウンロードし、インストールして信頼する必要があります。以下の手順に従って、Windows 10に証明書をインストールしてください。

1. まず、ルートCA証明書をダウンロードします。

2. インストールを開始するために、証明書をダブルクリックします。

Certificate Details.

3. 最初に、証明書のインストールをクリックし、次にローカルマシンを選択して、システム上のすべてのユーザーで使用するための証明書をインポートします。

Choose Local Machine to import the certificate to.

4. 「証明書を次のストアに配置する」オプションを選択し、信頼されたルート証明機関を選択し、OKをクリックします。

CloudflareのルートCA証明書は公開用ではないため、システムはデフォルトではこの証明書を信頼しません。証明書をインストールすることで、システムはこのトラフィックを信頼するようになります。

Placing the certificate in the Trusted Root Certificate Authorities certificate store.

5. 最後に、完了をクリックして証明書のインポートを完了します。

DNS over HTTPS(DoH)サブドメインの設定

Cloudflare Teams内でDNSフィルタリングを使用するために、DoHサブドメインをCloudflare Teamsで見つける必要があります。これにより、システムにCloudflareアカウント固有の場所が提供され、DNSトラフィックをフィルタリングできます。以下の手順に従ってください。

1. まず、Cloudflare Teamsダッシュボードにウェブブラウザからログインします。

2. 次に、ゲートウェイ→場所に移動し、場所の追加をクリックします。場所はDNSとHTTPフィルタリングポリシーのセットに対する説明的な名前です。

Adding a new location into Cloudflare Teams.

3. 場所の名前を設定し、この記事では例として「External」に設定し、場所の追加をクリックします。

Creating a new location.

4. ハイライトされたサブドメインセクションをコピーし、完了をクリックして場所を追加します。コピーしたテキストは、Cloudflare WARPクライアントで使用されます。

Copying the subdomain for DoH set up in the Cloudflare WARP client.

5. Cloudflare WARPクライアントの設定画面の接続タブに移動し、新しく設定した場所のDoHサブドメインを入力し、保存をクリックします。

Configuring the Gateway DoH Subdomain.

Cloudflare TeamsでCloudflare WARPクライアントを登録する

Cloudflare Teams用にCloudflare WARPクライアントを設定する最終ステップは、デバイスの登録と登録です。登録と登録の手順により、どのデバイスがフィルタリングされるかを明示的に制御できます。

デバイス登録ポリシーの作成

1. Cloudflare Teamダッシュボードを開き、設定 → デバイスに移動します。デバイス登録の下にある管理をクリックします。

Navigating to the Manage Device Enrollment settings.

2. 追加ルールをクリックします。

Creating a new Device Enrollment policy.

3. 許可デバイスルールを作成し、Everyoneに含まれるように設定します。このルールをEveryoneに設定することで、特定の国などの追加の条件を満たさなくても、明示的に登録されたデバイスは許可されます。他の値はデフォルトに設定し、最後に保存をクリックします。

Create an Allow rule set to include Everyone.

4. ログインが必要になる前のセッションの期間を設定します。ここでは1ヶ月に設定されていますが、適切な期間に設定し、最大値に設定して保存をクリックします。

Set the session duration to a maximum of 1 month.

Cloudflare WARPクライアントの登録

場所が定義され、登録ポリシーが定義されたら、Cloudflare Teamsにデバイスを登録してDNSとHTTPのフィルタリング機能を使用する必要があります。

1. Cloudflare WARPクライアントの設定を開き、アカウントページに移動します。そこで、Cloudflare for Teamsでログインボタンをクリックします。

Navigate to the Cloudflare WARP client Preferences → Account.

2. 概要のプロンプトで次へをクリックし、プライバシープロンプトで同意するをクリックします。

Cloudflare Teams overview pop-up.
Privacy agreement.

3. Cloudflare Teamsのアカウント名を入力します。アカウント名はCloudflare Teamsのダッシュボードで確認できます。設定 → 一般設定 → チームドメイン

Entering the team name for registration.

4. Cloudflare for Teamsにデバイスを登録するためにサインインします。

Signing in to the Cloudflare Teams account.

5. サインインが成功した場合、成功メッセージが表示されます。その場合は、OKをクリックして閉じます。

Success message.

最後に、Cloudflare WARPクライアントは、WARPネットワークではなくTeamsに接続されていることを示す異なる外観になります。

Cloudflare WARP client

関連記事:CloudflareによってバックアップされたAzure Static Websiteのホスティング方法

結論

Cloudflare WARPクライアントを使用することで、インターネット接続を迅速かつ最小限の設定でセキュアにすることができます。速度と移植性に焦点を当てた強力なクロスプラットフォームのVPN接続により、接続のオーバーヘッドに対するパフォーマンスの低下を最小限に抑えながら、接続をセキュアにすることができます。

Cloudflare WARPを使用して何をセキュアにしますか?

Source:
https://adamtheautomator.com/cloudflare-warp/