<h2 id="%E3%82%A4%E3%83%B3%E3%83%88%E3%83%AD%E3%83%80%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3">
<a class="header-anchor-link" href="#%E3%82%A4%E3%83%B3%E3%83%88%E3%83%AD%E3%83%80%E3%82%AF%E3%82%B7%E3%83%A7%E3%83%B3" aria-hidden="true"></a> イントロダクション</h2>
<p>最近自宅のネットワークが極端に遅かったため、IPv4 PPPoEからIPv6 IPoEに構成変更しました。<br>
IPv4時代は固定グローバルIPを購入して外出先から自宅にVPNを張れるようにしていましたが、IPv6では残念ながらL2TP/IPSecが使えない。<br>
(参考:<a href="https://zenn.dev/apple_nktn/articles/80acf34cf0634b" target="_blank">https://zenn.dev/apple_nktn/articles/80acf34cf0634b</a>)</p>
<p>そもそもVPNで拠点接続するという構成自体が最近のトレンドではないよね、ということもありZTNA(Zero Trust Network Access)サービスであるCloudflare Zero Trustを試してみることにしました。</p>
<h2 id="%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%A8%E3%81%AF(%E5%80%8B%E4%BA%BA%E7%9A%84%E3%81%AA%E7%90%86%E8%A7%A3)">
<a class="header-anchor-link" href="#%E3%82%BC%E3%83%AD%E3%83%88%E3%83%A9%E3%82%B9%E3%83%88%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%A8%E3%81%AF(%E5%80%8B%E4%BA%BA%E7%9A%84%E3%81%AA%E7%90%86%E8%A7%A3)" aria-hidden="true"></a> ゼロトラストネットワークとは(個人的な理解)</h2>
<p>ネットワーク上のあらゆるアクセスを信頼せず全て検査するという概念。<br>
従来のDMZを用いた境界型防御は境界の内側は「暗黙的に信頼」されている状態と言えます。<br>
<a href="https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf" target="_blank" rel="nofollow noopener noreferrer">詳細はNIST SP800-207</a></p>
<p>また、境界型防御はアプリケーション等の「守るべきもの」が境界の中にあることが前提として構築・運用されます。<br>
しかし、クラウドシフトによるSaaS/PaaSの利用増加により境界の外にアプリケーションがあることも少なくなりました。リモートワークも絡むとユーザ端末-SaaS間で境界の外でアクセスが完結することもあります。</p>
<p>これらの潮流に対応するために境界の内か外かで信頼するのではなく、そもそも全てのアクセスが信頼されないものとしてユーザやデバイス、コンテキストによってアクセスを検証・認証認可しアプリケーションのセキュリティを保つという考え方がゼロトラストです。</p>
<h2 id="cloudflare-zero-trust">
<a class="header-anchor-link" href="#cloudflare-zero-trust" aria-hidden="true"></a> Cloudflare Zero Trust</h2>
<p>Cloudflare Zero TrustはCDNで有名なCloudflareが提供するゼロトラスト製品群です。<br>
ガートナーが提唱するIT戦略であるSASE(Secure Access Service Edge: サッシー)を実現するプラットフォームとして提供されています。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__00ff3cc71649" src="https://embed.zenn.studio/card#zenn-embedded__00ff3cc71649" data-content="https%3A%2F%2Fwww.cloudflare.com%2Fja-jp%2Fzero-trust%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.cloudflare.com/ja-jp/zero-trust/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.cloudflare.com/ja-jp/zero-trust/</a></p>
<p>とても有難いことにFreeプランが用意されていること、インターネット上で構築やってみた系の記事があることから今回は上記プラットフォームを利用することに決めました。</p>
<h2 id="%E7%94%A8%E6%84%8F%E3%81%97%E3%81%9F%E3%82%82%E3%81%AE">
<a class="header-anchor-link" href="#%E7%94%A8%E6%84%8F%E3%81%97%E3%81%9F%E3%82%82%E3%81%AE" aria-hidden="true"></a> 用意したもの</h2>
<ul>
<li>Raspberry Pi 2 ModebB</li>
<li>iPad</li>
<li>ドメイン</li>
<li>Cloudflareアカウント</li>
<li>Googleアカウント(GoogleをIdPとして使用)</li>
</ul>
<h2 id="%E6%A7%8B%E6%88%90%E5%9B%B3">
<a class="header-anchor-link" href="#%E6%A7%8B%E6%88%90%E5%9B%B3" aria-hidden="true"></a> 構成図</h2>
<p><img src="https://storage.googleapis.com/zenn-user-upload/13b479ddd2d8-20240121.png" loading="lazy" class="md-img"></p>
<h2 id="raspberry-pi%E3%81%AE%E3%82%BB%E3%83%83%E3%83%88%E3%82%A2%E3%83%83%E3%83%97">
<a class="header-anchor-link" href="#raspberry-pi%E3%81%AE%E3%82%BB%E3%83%83%E3%83%88%E3%82%A2%E3%83%83%E3%83%97" aria-hidden="true"></a> Raspberry Piのセットアップ</h2>
<p>Cloudflare Tunnelを稼働させるためにデーモンが必要になるのでラズパイをセットアップ。<br>
(Windowsにもインストールできるようですが、強制再起動等で繋がらなくなるのが嫌なのでラズパイを使用)</p>
<p>以下を参考にしました。<br>
今ってあれこれ使ってISOを焼く必要がなく、公式が素敵ツールを出していると知って驚愕、、、<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__022e3ad2fed23" src="https://embed.zenn.studio/card#zenn-embedded__022e3ad2fed23" data-content="https%3A%2F%2Fqiita.com%2Fyamasaki1ma%2Fitems%2Fecffddaa2c12ec4671c5" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/yamasaki1ma/items/ecffddaa2c12ec4671c5" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/yamasaki1ma/items/ecffddaa2c12ec4671c5</a></p>
<p>32G以上のmicroSDカードをFAT32にフォーマットするのもツールがやってくれる。<br>
shhdの起動と公開鍵の配置もツールのオプションで可能なため最初からsshでアクセス可能。</p>
<h2 id="cloudflare%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AE%E5%8F%96%E5%BE%97%EF%BD%9Etunnel%E3%81%AE%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#cloudflare%E3%82%A2%E3%82%AB%E3%82%A6%E3%83%B3%E3%83%88%E3%81%AE%E5%8F%96%E5%BE%97%EF%BD%9Etunnel%E3%81%AE%E4%BD%9C%E6%88%90" aria-hidden="true"></a> cloudflareアカウントの取得～Tunnelの作成</h2>
<p>cloudflareにサインアップします。<br>
URL: <a href="https://dash.cloudflare.com/" target="_blank" rel="nofollow noopener noreferrer">https://dash.cloudflare.com/</a></p>
<p>サインアップするとドメイン登録のガイダンスが出るので、そのまま登録に移ります。<br>
今回は元々持っていたドメインを登録し権威DNSを移管しました。</p>
<p>DNSの移管後Zero Trustダッシュボードに移動します。<br>
ドメインの詳細画面→Accessの順に遷移し「Zero Trustを起動する」をクリックします。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/203a226af5a0-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
Zero Trustのチーム名(テナントのようなもの)の作成と支払い手段の登録を求められるので登録するとダッシュボードに到達しました。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/dea2fb000221-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
Access→Tunnelsの順に遷移し「Add a tunnel」ボタンをクリックします。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/d3dd51fc6bd6-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
Tunnel名を指定して「Save Tunnel」をクリック。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/2e2eb440506a-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
cloudflaredのインストール指示が出るので環境を選択します。<br>
Raspberry Pi OSはDebianベースで32ビットなのでそれぞれ選択するとコマンドが表示されます。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/0ffcb44ce736-20240114.png" loading="lazy" class="md-img"></p>
<h2 id="clooudflared%E3%81%AE%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB">
<a class="header-anchor-link" href="#clooudflared%E3%81%AE%E3%82%A4%E3%83%B3%E3%82%B9%E3%83%88%E3%83%BC%E3%83%AB" aria-hidden="true"></a> clooudflaredのインストール</h2>
<p>ラズパイにSSH接続し、まずはapt updateします</p>
<div class="code-block-container"><pre><code>$ apt update
$ apt upgrade
</code></pre></div><p>先程ポータルで表示されたコマンドをコピペで実行します(画像再掲)<br>
<img src="https://storage.googleapis.com/zenn-user-upload/0ffcb44ce736-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
ここで問題発生。以下のエラーが出ました。</p>
<blockquote>
<p>dpkg: error processing archive cloudflared.deb (--install):<br>
package architecture (386) does not match system (armhf)<br>
Errors were encountered while processing:<br>
cloudflared.deb</p>
</blockquote>
<p>調べたところ同じエラーに遭遇している人を発見したので、この記事の方法でのインストールに切り替えました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__607c52c55aab7" src="https://embed.zenn.studio/card#zenn-embedded__607c52c55aab7" data-content="https%3A%2F%2Fnote.com%2Fhitoshiarakawa%2Fn%2Fna9c42996c923" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://note.com/hitoshiarakawa/n/na9c42996c923" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://note.com/hitoshiarakawa/n/na9c42996c923</a></p>
<p><br><br>
インストール後サービスの起動状態がactive(running)になっていることを確認します。</p>
<div class="code-block-container"><pre><code>$ systemctl status cloudflared
</code></pre></div><p><img src="https://storage.googleapis.com/zenn-user-upload/3dc46ee169d9-20240127.png" loading="lazy" class="md-img"></p>
<h2 id="cloudflare%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E3%81%AE%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#cloudflare%E3%83%9D%E3%83%BC%E3%82%BF%E3%83%AB%E3%81%A7%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> cloudflareポータルでの設定</h2>
<p>ラズパイの設定が終わったらポータルに戻ります。<br>
cloudflaredのインストール指示画面で「Next」をクリックして次の画面に進みます。</p>
<p>ルーティング設定を求められます。<br>
今回はVPNの代替として使用したいので「Private Network」タブで自宅NWのCIDRを入力し「Save Tunnel」をクリックします。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/48d2095a227a-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
続いてIdPを登録するためにSettings→Authentication→Login methodsの「Add new」の順にクリックして登録画面に遷移します。<br>
IdPを選択すると登録指示画面に遷移するので指示通り登録します。<br>
今回はGoogleをIdPとしました。</p>
<p>次にデバイス許可設定を追加します。<br>
Settings→Warp Client→Manageの順にクリックし、Device Enrollmentの「Manage」画面でGoogleをIdPに設定したためルールとして自分のGoogleアカウントを許可する設定を追加。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/632c7ef1ce6f-20240114.png" loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/74e7b6bc3b97-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
最後にSplit Tunnelsの設定を行います。<br>
デフォルト設定だとローカルIPのセグメントはcloudflareへのルーティング対象外となっています。解決するにはデフォルトルールに存在するルーティングの除外ルールから使用するIPレンジを削除するか、新規にルールを定義しルーティング対象のIPレンジを指定するかから選択可能です。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__5dd6667f087eb" src="https://embed.zenn.studio/card#zenn-embedded__5dd6667f087eb" data-content="https%3A%2F%2Fdevelopers.cloudflare.com%2Fcloudflare-one%2Fconnections%2Fconnect-devices%2Fwarp%2Fconfigure-warp%2Froute-traffic%2Fsplit-tunnels%2F%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/configure-warp/route-traffic/split-tunnels//" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://developers.cloudflare.com/cloudflare-one/connections/connect-devices/warp/configure-warp/route-traffic/split-tunnels//</a><br style="display:none">
今回は後者で設定を行いました。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/0cf1449cee1a-20240114.png" loading="lazy" class="md-img"></p>
<h2 id="%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D">
<a class="header-anchor-link" href="#%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D" aria-hidden="true"></a> 疎通確認</h2>
<p>エッジ端末として使用するiPadの設定を行います。<br>
App Storeで「Warp」アプリを検索しインストールします。</p>
<p>初回起動時にVPNプロファイルのインストールを求められるので実行します。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/2fd608398c3d-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
続いてZero Trustにログインします。<br>
ハンバーガーメニュー→アカウント→「Cloudflare Zero Trustにログイン」をクリックします。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/9bd599e67a27-20240114.png" loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/ebb8cba6fca9-20240114.png" loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/06d7eb618f70-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
チーム名の入力が求められるので、ポータルでZero Trust初回起動時に設定したチーム名を入力します。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/57328257c42d-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
SSO設定したGoogleアカウントを入力します。<br>
cloudflareからパスコードが届くので入力するとログインが完了します。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/46756aee9870-20240114.png" loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/ef576ac783b1-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
トグルをオンにしてトンネルを確立します。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/33ad96e3267b-20240114.png" loading="lazy" class="md-img"></p>
<p><br><br>
自宅PCにRDPして接続が確認できました(祝)<br>
<img src="https://storage.googleapis.com/zenn-user-upload/ac789ba2ba0e-20240114.png" loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/927129b8854f-20240114.png" loading="lazy" class="md-img"></p>
<h2 id="%E5%B5%8C%E3%81%A3%E3%81%9F%E3%81%93%E3%81%A8">
<a class="header-anchor-link" href="#%E5%B5%8C%E3%81%A3%E3%81%9F%E3%81%93%E3%81%A8" aria-hidden="true"></a> 嵌ったこと</h2>
<ul>
<li>
<p>Split Tunnelの設定もれ<br>
ルーティング設定がPrivate Networkの場合ポータルの指示通りに設定を行っただけだと接続できませんでした。<br>
同じ事象に嵌った方が記事を出していたので追加設定を実施して解決。</p>
</li>
<li>
<p>Pingが通らない<br>
正直これが一番嵌りました。<br>
Split Tunnel設定もれで自宅PCにRDPできなかったので、疎通確認と思いPingを打つが通らなかった。<br>
Split Tunnel設定後Pingを打って確認をするが通らない(実はもう疎通はできている)→なぜ？？？となり、あれこれ設定を調べたり投入→Pingを打って通らないのループ。。。</p>
</li>
</ul>
<p>そもそも「Ping(ICMP)は通らない」ようです。<br>
※通す方法はあるかもですが、そこまで調べませんでした</p>
<h2 id="p.s.">
<a class="header-anchor-link" href="#p.s." aria-hidden="true"></a> P.S.</h2>
<p>今回の構成をすべて終え、長らく使っていたYAMAHA RTX1200はお役御免となりました。<br>
ありがとう、お疲れ様。</p>


Cloudflare Zero Trustで自宅PCにアクセスする

ゼロトラストネットワークとは(個人的な理解)

cloudflareアカウントの取得～Tunnelの作成

Discussion