Cloudflare WARP VPN

    Daniel Nowak·
    BezpieczeństwohomelabPoradnikiUsługi

    Co to jest Cloudflare WARP VPN?

    Cloudflare WARP to klient VPN/Tunel szyfrujący ruch internetowy urządzenia i kierujący go przez globalną sieć Cloudflare. W przeciwieństwie do klasycznych VPN-ów:

    • nie służy przede wszystkim do zmiany lokalizacji geograficznej czy omijania blokad regionalnych,
    • nie pozwala wybierać serwera w konkretnym kraju,
    • skupia się na poprawie prywatności DNS i bezpieczeństwa ruchu, szyfrując go między Twoim urządzeniem a Cloudflare, co ukrywa go przed obserwacją ze strony lokalnych ISP lub sieci publicznych.

    Można go używać:

    • jako prosty VPN dla bezpieczeństwa DNS i tunelowania ruchu,
    • w ramach Cloudflare Zero Trust jako część infrastruktury VPN korporacyjnej z kontrolą dostępu i politykami.

    Bezpłatne warsztaty: NMAP – Skanowanie Urządzeń i Portów w Sieci

    Dowiedz się, jak wykrywać urządzenia w sieci, skanować porty i identyfikować usługi przy użyciu narzędzia NMAP. Poznasz podstawy skanowania, analizę wyników oraz praktyczne zastosowania w audycie bezpieczeństwa i testach penetracyjnych.

    Środa, 18 marca o 14:00

    Sprawdź szczegóły: https://asdevops.pl/warsztaty/

     

     

    Wymagania formalne (konto i domena)

    Konto Cloudflare

    • Aktywne konto użytkownika
    • Dostęp do panelu Zero Trust (plan Free wystarczy)
    • Uprawnienia właściciela domeny (Owner/Admin)

    Domena w Cloudflare

    • Domena musi być:
      • dodana do konta
      • mieć zmienione nameservery (NS) na Cloudflare
    • Status domeny: Active

    Bez podpiętej domeny:

    • nie skonfigurujesz Access
    • nie utworzysz aplikacji self-hosted
    • nie użyjesz pełnych możliwości Tunnel

    Wymagania infrastrukturalne

    Serwer docelowy (np. Proxmox / VM / VPS)

    Minimalne wymagania:

    • Linux (Debian/Ubuntu/CentOS) lub Windows
    • Dostęp root / administrator
    • Możliwość instalacji cloudflared
    • Stałe połączenie z Internetem

    Wymagania do Cloudflare Tunnel

    Na serwerze musisz:

    • Zainstalować cloudflared
    • Zalogować tunel do właściwej domeny
    • Utworzyć rekord DNS typu CNAME (automatycznie lub ręcznie)
    • Uruchomić tunel jako service (systemd)

    Tworzenie Claudflare tunnel na przykładzie Vaultwarden:

    blog.askomputer.pl/vaultwarden-samodzielnie-hostowany-manager-hasel/

    Podstawowa konfiguracja

    Poniżej instrukcja krok-po-kroku dla typowego użytkownika, który chce po prostu włączyć WARP VPN.

    Pobierz i zainstaluj klienta WARP

    Windows / macOS / Linux

    1. Wejdź na stronę Cloudflare WARP (np. 1.1.1.1 w przeglądarce) i pobierz aplikację desktopową.
    2. Uruchom instalator i postępuj zgodnie z instrukcjami systemowymi.

    https://one.one.one.one

    Zaloguj się do Claudflare. Przejdź do sekcji Team & Resources / Devices / Device profiles, kliknij na Default (status jeśli nie jest włączony, to przesuń suwak w prawo by go włączyć)

    Kliknij Edit

    Włącz Captive portal detection (jeśli jest wyłączony), zaznacz WireGuard

    Wyszukaj sekcję Split Tunnels, kliknij Manage

    Znajdź swoją pulę adresów IP Twojej sieci lokalnej, kliknij na trzy kropki i ją usuń (odblokujesz dostęp do swojej sieci lokalnej). W moim przypadku jest to 192.168.0.0/16.

    Następnie przejdź do Access control / Polices / Reusable polices ,kliknij Add a policy

    W Policy name nadaj nazwę polityki np. warp. W sekcji Selector, wybierz Emails a w Value wpisz swój adres email.

    Na samym dole strony, po prawej stronie kliknij Save, by zapisać zmiany.

    Dodamy teraz aplikację do logowania się przez WARP. Przejdź do sekcji Access controls / Applications, kliknij Add an application

    Wybierz Self-hosted

    W Application name, nadaj nazwę swojej aplikacji np. warp. W Domain, podaj swoją domenę, kliknij na Select existing polices i wybierz utworzoną przed chwilą politykę (w moim przypadku jest to polityka nazwana warp).

    Niżej włącz Accept all available identiry providers oraz Turn on WARP authentication identity

    Na samym dole po prawej stronie kliknij 2 razy next i finalnie save, by zapisać zmiany.

    Teraz musimy dodać urządzenie do weryfikacji. Przejdź do sekcji Team & Resources / Devices /Management a w sekcji Device enrollment permissions, kliknij Manage

    W sekcji Polices, kliknij na Select existing polices i wybierz utworzoną politykę.

    Sprawdź nazwę logowania do WARP. Przejdź do sekcji Settings, pod Team name będzie znajdować się nazwa do logowania.

    Kliknij na pomarańczową „chmurkę” w lewym górnym rogu przeglądarki:

    Przejdź do sekcji Networking / Tunnels, wybierz swój aktywny tunnel:

    Kliknij Add route

    Wybierz Private CIDR

    W sekcji Network CIDR, Podaj zakres adresów IP Twojej sieci lan, kliknij Add route

    W Windows w prawym dolnym rogu kliknij na „Strzałkę” oraz „szarą chmurkę”:

    Kliknij na „zębatkę”:

    Wybierz preferencje

    Teraz kliknij na Konto oraz Zaloguj się przy użyciu Cloudflare Zero Trust

    Następnie Dalej / Akceptuj. Tutaj podaj Team name (wyżej w artykule)

    Otworzy się nowo okno w przeglądarce, wpisz swój adres email (ustawiany w politykach), kliknij Send me a code

    Przejdź na swoj email i skopiuj przesłany przez Claudflare kod, wklej go w pole Enter code, kliknij Sign in:

    Po zalogowaniu panel Zero Trust zmieni kolor na niebieski. Połączenie zostało nawiązane prawidłowo. Przesuń suwak w prawo by nawiązać połączenie

    W tym momencie możesz przejść na adres IP maszyny dostępnej w Twojej sieci lokalnej z każdego miejsca na ziemi. Ja posłużę się przykładem mojego serwera Proxmox:

    Podsumowanie

    Cloudflare WARP to klient VPN/tunel od Cloudflare, który szyfruje ruch urządzenia i kieruje go przez globalną sieć operatora. Rozwiązanie nie służy do zmiany geolokalizacji ani wyboru kraju serwera, lecz do zwiększenia prywatności DNS i bezpieczeństwa transmisji. Może działać jako prosty VPN dla użytkownika indywidualnego lub jako element architektury Zero Trust w środowisku firmowym, z kontrolą dostępu i politykami bezpieczeństwa.

    Do wdrożenia wymagane jest aktywne konto Cloudflare, dostęp do panelu Zero Trust oraz domena dodana do konta z poprawnie ustawionymi serwerami DNS (NS) i statusem Active. Bez podpiętej domeny nie jest możliwe skonfigurowanie Access, aplikacji self-hosted ani pełnych funkcji Tunnel.

    Po stronie infrastruktury wymagany jest serwer (np. VM/VPS/Proxmox) z systemem Linux lub Windows, dostępem administracyjnym, stałym połączeniem z Internetem oraz możliwością instalacji narzędzia cloudflared. W przypadku użycia Cloudflare Tunnel należy zainstalować klienta, zalogować tunel do domeny, utworzyć rekord DNS (CNAME) oraz uruchomić usługę jako serwis systemowy.

    Konfiguracja obejmuje instalację klienta WARP, aktywację profilu urządzenia w Zero Trust, włączenie WireGuard oraz captive portal detection, a także odpowiednią konfigurację Split Tunnel (np. usunięcie lokalnej puli adresów, aby umożliwić dostęp do sieci LAN). Następnie tworzy się politykę dostępu (np. ograniczoną do konkretnego adresu e-mail), dodaje aplikację typu self-hosted z przypisaną domeną i włącza uwierzytelnianie WARP.

    Kolejny etap to nadanie uprawnień do rejestracji urządzeń, sprawdzenie nazwy organizacji (Team name) oraz dodanie trasy (Private CIDR) do tunelu, aby umożliwić dostęp do prywatnej sieci. Po zalogowaniu klienta WARP do organizacji i poprawnej autoryzacji połączenie zostaje zestawione, co umożliwia bezpieczny dostęp do zasobów lokalnych (np. serwera Proxmox) z dowolnej lokalizacji, bez konieczności wystawiania portów na publiczny adres IP.

    Bezpłatne warsztaty: NMAP – Skanowanie Urządzeń i Portów w Sieci

    Dowiedz się, jak wykrywać urządzenia w sieci, skanować porty i identyfikować usługi przy użyciu narzędzia NMAP. Poznasz podstawy skanowania, analizę wyników oraz praktyczne zastosowania w audycie bezpieczeństwa i testach penetracyjnych.

    Środa, 18 marca o 14:00

    Sprawdź szczegóły: https://asdevops.pl/warsztaty/

     

     

     

     

    Darmowe warsztaty NMAP - Skanowanie Urządzeń i Portów W Sieci

    Dołącz!
    X