Cloudflare Zero Trust Network Access 導入前知識

今回、実験的にCloudflareのZero Trust Network Accessを導入してみることにしました。当然導入において、知識を吸収し、導入を実際に進めることになります。現在のネットワーク環境なども含めて、書きまとめていきますが、ネットワーク構成は時間の都合があれば図示したいと思います。予備知識として必要な部分だけですので、どこを参照すれば良いか、他に詳しく書いてあるサイトはないかなどを紹介します。

そもそも何でCloudflare Zero Trust Network Accessを導入するか

あんまり外出や宿泊したりといったことはありませんが、それでも知的好奇心というやつやいずれ拠点間VPNとしてAWSと自宅ネットワークを繋げる可能性がありますので、導入難度などを調べるのにも良いと思いました。もし活用しづらいや事前調査していた部分でやはりVPNと少し違うなどが発覚した場合は導入を見送りますが、拠点間VPNのために導入するのには役立ちそうですので、もしかすると拠点間VPNのためだけに導入するなどはあり得るかもしれません。どうなるかはこれから試しながらとなります。

ネットワーク構成

図はもしかしたら後で載せるかもしれませんが、ひとまず自宅環境は以下のような状態です。

WiMAX Speed WiFi Home 5G L13
1. UQ WiMAX回線
2. WiMAX側のWiFiはオフとなっており、以下のルーターを有線で接続
3. Cloudflaredをインストールする
GL-MT6000
1. WiMAXルーターにぶら下がる形でWiFiを各デバイスがクライアントとして使用中
2. Cloudflareとは別にVPNを使用中
各クライアント
1. macbook air
  1. メイン作業端末
  2. GL-MT6000へのログイン可能
2. iPhone 15 Pro Max
  1. Cloudflareの接続テストも兼ねている
    1. Cloudflareをインストールし、外部からLAN内部へ接続できるかどうかを検証に使用
  2. GL-MT6000へのログインができるようPromptに設定済み
3. ThinkCentre M75q Gen 2 (タイプ 11JN, 11JQ, 11JR, 11JS) デスクトップ
  1. Linuxを入れてCLIでほぼ操作している
  2. 一応GUIもインストールされているが、ほぼ未使用
  3. ゴールはCloudflared経由でここにつながればOK
    1. SSHでもapacheでもOK

事前知識として読んでるもの

Cloudflare ZTNAを使用する上で以下のドキュメントは必須でこのドキュメントです。

Cloudflare Zero Trust · Cloudflare Zero Trust docs

事前にこの辺も読むと用語の整理がしやすくなりました。全部で4ページあるのでそれぞれを読むと理解が深まります。

「Cloudflare Zero Trust」で組織のゼロトラストネットワークを構成する

2020年の時にはCloudflareのVPNを使って接続している場合、接続先もCloudflareだと生のIPとなる話があるので、この辺りが改善されているかどうかが一番知りたいポイントでもあります。その上で今使用中のVPNが使えるかどうかですね。ルーティングおかしくなるならどっちかにしようと考えています。

Cloudflare WARPの落とし穴 - 一般的なVPNだと思ってはいけない理由 - Qiita

最後に

とりあえず現状はここまでです。本当は今日もうちょっと作業に取り掛かれればと思っていましたが、整骨院へ行き、体の調子を整えてもらった後以降は大爆睡でしたので今日はここまでが限界になりました。明日また試した部分の記事を書こうと思いますが、少なくともGL-MT6000にはすでに追加プラグインとしてcloudflaredがインストールできることの確認が取れており、インストール済みとなっています。あとはLuciで自動起動させればOKとなります。