Cloudflare Zero Trust - Tailsacale etc... helyett

Közösségi kerekasztal

Par napja neztem a cimben emlitett szolgaltatasnak utana, mert eddig nekem a Cloudflare ugy volt a felyemben mint ilyen weboldalak ele rakhato "proxy" ami noveli a sebesseget, a biztonsagot, etc... Aztan kiderult , h az csak a jeghegy csucsa :) 

 

Megneztem a free verziot (50 userig ingyenes) es van itt minden! Site to Site VPN (Warp), a fentebb emlitett weboldal optimalizalas, route optimalizalas sajat kilepesi pontokkal,  meg meg rengeteg dolog... Igazabol 3 kulon szolgaltatasbol sikerult a segitsegevel azt megoldani, hogy egyetlen okoszisztea kezeli ezeket. (amit en nagyon szeretek, utalaom ha mindenre mast mast kell hasznalni)

 

- Tavoli eleres, eddig Tailscale-t hasznaltam

- Telekom este jelentkezo nemzetkozi peering problemajanak a kivedese , eddig protonVPN-t hasznaltam

- otthoni dolgaim (par site) kirakasa a netre. Eddig HAproxy/lLet's Encrypt komboval oldottam meg.

 

Kulon jo, hogy a Warp kliensukbol vissza lehet fejteni a Wireguard configot (amit hasznalnak a hatterben) es az beirhato kb barmilyen WG supportalo eszkozbe ezzel barmit cloudflare "kepesse" lehet tenni. (en az opnsense-re raktam igy, mert BSD-re nincs kliens):

https://github.com/rany2/warp.sh

 

Lelkesedesemben a domain nevem is athoztam hozzajuk, ami eddig a goDaddy nel volt (akiknek a supportjuk vallalhatatlanul xar...)

 

Szoval eleg jo kis cucc, foleg ingyen... Plusz raadas, hogy az amugy penzert adott Warp+ -ot teljesen ingyen megkapod, ha a Zero Trust-ot hasznalod (tobb serverhez valo hozzaferes, optimalizalt route) sajna viszont ha Proxy-zol (ami kell a Warp to Warp VPN-hez) akkor vissza all sima Warp-ra...

  • 514 megtekintés

( gelei v | 2025. 02. 06., cs – 08:55 )

Aha, elég jó. Ez összes privát cuccom így van már megoldva.

Akkor csak nekem esett le a tantusz ilyen sokara :)  Mondjuk nem tudom miota van ez nekik... Azt lattam, h a standalone Warp 2020 koruli, de a Zero trust ba beepitese, illetve a Warp to Warp sztm nem lehet annyira regi... changelog alapjan valami 2023 van.

( Vamp | 2025. 02. 06., cs – 20:12 )

Szerkesztve: 2025. 02. 07., p – 00:15

Ha mar hasznaljatok , akkor lenne is egy kerdesem.

 

Szoval eddig bealliottam azt, hogy a subnetembol indulo forgalom belemenjen a VPN-be, a kilepesi pont egy cloudflare server.  Beallitottam azt is, hogy el tudom erni az otthoni subnetem (192.168.31.0/24) barmilyen olyan kliensrol amire warp van telepitve.

 

Amit most szeretnek:

A tuzfalam webes feluletet a zero truston keresztul applikaciokent kitenni a netre. jelenleg a tuzfalnak van egy lan cime (192.168.31.1) meg egy wireguard interfesz cime (100.96.0.1) Van egy WAN cime is de azt monst nem fontos. Szoval letrehozom az applicationt, kirakom a domainem 433-as portjara, de mind1 hogy a 192.168.31.1-et, vagy  a 100.96.0.1 et allitom be mint internal accesst, akkor sem erem el a webes feluletet kintrol. A tunnelen belul a LAN cimen termeszetesen siman bejon... 

 

Kozben rajottem, h nekem nem is ez kell... 

Generaltam egy cloudflare origin server certet, azt ratoltottem az Opnsense-re, beallitottam cloudflare oldalon a Full (strict) encryption-t,  a WAN porton pedig egy alias segitsegevel csak a cloudflare ip cimeit engedem be (https://www.cloudflare.com/ips-v4). A DNS recordok pedig proxyzva. Igy azt gyanitom folosleges a plusz reteg VPN, biztonsag szempontjabol.

( Darkfish | 2025. 02. 07., p – 03:57 )

"Telekom este jelentkezo nemzetkozi peering problemajanak a kivedese , eddig protonVPN-t hasznaltam"

Ami kimondottan a Cloudflare felé szokott fennálni. Mivel a VPN is nyilván az ő hálózatuk felé megy valszeg az is lassú lesz.

Én leglábbis ezt tapasztalatam. Néha minden frankó volt, néha minden borzasztó lassú. 

ui.: pulsz van fasza (szűrhető, managelhető) DNS szerverük, ami több kevesebb sikerrel véd a csaló oldalaktól.