Вопрос или проблема
Я пытаюсь использовать удаленный рабочий стол с туннелем Cloudflare и клиентом WARP, следуя инструкциям на этой странице:
Подключение к удаленному рабочему столу через туннель Cloudflare
(Конкретно, раздел Подключение к серверу RDP с WARP через туннель)
Вот что я сделал:
- Создал туннель Cloudflare. На странице “Настройки” Zero Trust в разделе “Общее” “Домен команды” установлен как (что-то вроде) “myteam.cloudflareaccess.com”. Я также установил частную сеть на 192.168.1.0/24, что является моей домашней сетью.
- Установил cloudflared на своем домашнем ПК с Windows 11, который будет сервером RDP. Туннель в Zero Trust показывает, что Коннектор на ПК подключен, и туннель имеет статус “Здоровый”.
- Установил клиент WARP на ноутбук с Windows 11, который будет клиентом RDP. В настройках учетной записи клиента WARP я вошел в Cloudflare Zero Trust, используя то же имя команды, которое я использовал при настройке туннеля (т.е. “myteam”). Аутентификация была выполнена через одноразовый PIN, отправленный по электронной почте. Клиент WARP показывает, что все подключено нормально на вкладке Подключение окна Настроек. Я также вижу ноутбук в списке Устройств в команде Zero Trust.
Когда ноутбук подключен к отдельному сотовому соединению и НЕ находится в частной сети, любые попытки подключиться к внутреннему IP-адресу ПК (192.168.1.2) истекают по времени. Однако это работает нормально, если ноутбук находится в той же частной сети, что и ПК (так что RDP обычно работает нормально).
Я понимаю из вышеуказанного документа, что после запуска cloudflared на ПК-сервере RDP я должен иметь возможность использовать только клиент WARP на ноутбуке, не устанавливая cloudflared на ноутбук и не создавая никаких публичных имен хостов для туннеля.
От безысходности я также попробовал установить cloudflared на ноутбук, а также установить клиент WARP на ПК-сервере RDP и создать публичное имя хоста для RDP-сервиса. Ничто из этого не помогло, и, я думаю, это не должно быть необходимо.
Спасибо за любые подсказки,
Рассл
Я автор вопроса, и вот решение, которое мне дал кто-то из сообщества Cloudflare:
- В панели управления Zero Trust перейдите в Настройки > Клиент WARP > Настройки устройства > Настройки профиля > настройте Профиль по умолчанию > Разделенные туннели > убедитесь, что ваша частная сеть либо в включенных IP и доменах, либо не в исключенных IP и доменах.
- В панели управления Zero Trust перейдите в Настройки > Сеть > Брандмауэр > включите прокси для TCP*.
Я обнаружил, что изменения, внесенные в диапазоны IP/доменов, происходят немедленно, без необходимости повторного подключения клиента WARP.
* На 2023-02-23, Microsoft говорит, что текущая версия удаленного рабочего стола использует только TCP, поэтому, вероятно, UDP не нужно включать в прокси.
С тех пор как был задан вопрос, многое изменилось. Теперь по умолчанию WARP исключает диапазоны IP локальной сети, такие как 192…
Эта статья объясняет, как исправить доступ к локальному RDP. Так как мои настройки раздельного туннеля исключали локальную сеть, мне нужно было только удалить эти исключения, которые начинались с 192.
https://developers.cloudflare.com/cloudflare-one/connections/connect-networks/use-cases/rdp/
Ответ или решение
Использование Cloudflare Tunnel и Remote Desktop с клиентом WARP
Введение
В последние годы технологии удаленного доступа и безопасности значительно эволюционировали. Одним из решений, которое привлекает внимание, является использование Cloudflare Tunnel в комбинации с клиентом WARP для безопасного доступа к удаленному рабочему столу (RDP). В данном руководстве мы подробно рассмотрим решение проблем, возникающих при настройке этой конфигурации, и предложим оптимизированные шаги для правильной настройки.
Ситуация
Пользователь по имени Рассел описывает, что он настроил Cloudflare Tunnel на своем домашнем компьютере под управлением Windows 11, который будет служить RDP сервером. Он также установил клиент WARP на ноутбук, который будет выступать в роли клиента RDP. Однако, при попытке подключения к внутреннему IP-адресу RDP сервера со второго устройства через мобильную сеть, у него возникли проблемы с таймаутом подключений.
Шаги, предпринятые пользователем
- Создание Cloudflare Tunnel. Пользователь настроил туннель в Cloudflare Zero Trust и установил соответствующие параметры сети.
- Установка cloudflared на сервере. На домашнем ПК установили программу cloudflared для подключения к Cloudflare Tunnel.
- Настройка WARP клиента на ноутбуке. Пользователь вошел в свою учетную запись Cloudflare Zero Trust через клиент WARP и подтвердил подключение.
Несмотря на эти шаги, при подключении через мобильную сеть, проблема сохранялась.
Решение
После обращения в сообщество Cloudflare, пользователь получил полезные советы, которые позволили ему устранить возникшие проблемы:
-
Настройки WARP клиента. В панели управления Zero Trust нужно было перейти в настройки WARP клиента и убедиться, что private network (например, 192.168.1.0/24) не находится в списке исключений. Это позволяет клиенту WARP правильно маршрутизировать трафик на локальную сеть.
-
Включение проксирования для TCP. Необходимо активировать опцию проксирования для TCP в разделе настроек сети в Zero Trust. Это особенно важно, так как RDP работает по протоколу TCP.
Почему это важно
Проблема с доступом к локальной сети через Cloudflare Tunnel возникает из-за того, что WARP по умолчанию исключает локальные диапазоны IP-адресов, такие как 192. Это может привести к тому, что любые попытки подключиться к RDP серверу снаружи будут приводить к таймаутам.
Заключение
Теперь, когда настройки сети и проксирования корректны, у пользователя не возникнет проблем с подключением к RDP серверу через WARP Client. Это решение демонстрирует, как современные инструменты безопасности, такие как Cloudflare Tunnel и WARP, могут эффективно использоваться для обеспечения безопасного доступа к удаленным системам, обеспечивая поддержку бизнеса и пользователей в условиях постоянных изменений в сфере киберугроз.
Полезные ссылки
Этот опыт подчеркивает важность тщательной настройки сетевой безопасности и понимания работы всех компонентов системы для обеспечения надежного и безопасного удаленного доступа.