|
公司前段时间花大价钱采购了 CF Zero Trust ,可以看作 CF Warp 的企业版。因为和 CF Warp 共用接入点,在国内被墙,并且 Warp 客户端和所有其他翻墙软件都冲突,于是公司又花大价钱采购了 CF 提供的中国专线。国内员工在 Warp 客户端配置接入点后,不需要开其他任何翻墙软件,就可以顺畅访问国外资源。
开通中国专线后,CF 会提供一个国内接入点 IP ,员工在自己电脑安装 Warp 客户端后,运行 warp-cli tunnel endpoint set <ip> 配置接入点。当然实际部署过程是 IT 通过 MDM 下发策略统一安装的,并不需要每个人手动运行命令。
经查询,这个国内接入点 IP 位于深圳,AS4816 ,三网 BGP 。开放了 2408 端口(运行 WireGuard 协议)和 443 端口(反代了 1.1.1.1 DoH 和 CF API )。有鉴权机制,非本组织下账号,即使配置这个接入点,也无法连上。
通过国内接入点启用 Warp 后,电脑的所有流量全部经过 Cloudflare ,包括国内流量( CF Warp 有分流功能,可以指定哪些 IP/域名 不走隧道,理论上可以实现国内外分流)。公司 IT 可以在后台配置流量出口区域。尽管接入点在国内,但 CF 在国内没有出口,最近只能从香港。因为 OpenAI 等在香港不能使用,对于有需要使用这些 AI 服务的员工,IT 可以单独配置从新加坡、美国等地出口。
Warp 海外段是不限速的。国内专线段公司买了 300M 带宽。Warp 底层 WireGuard 属于 UDP 协议,从我在高峰期测试来看,国内段并没有遇到运营商 UDP QoS ,在任何时段都能跑满 300M 。丢包率在我买过的所有机场里是最好的。
通过 rany2/warp.sh 把 WireGuard 凭据提取出来后,就可以在 Surge 等工具里使用。凭据有效期很短,需要定时续期,每次续期后,原来的 private key / client id 都可以继续使用,所以配置维护起来不算麻烦。使用 Surge 测速,延迟比我买的机场 (dlercloud) 略高( 10ms 以内)。
Warp 客户端会收集上报很多设备信息,只有满足公司 IT 设定的策略后,才允许访问公司内网资源。自行提取 WireGuard 配置,因为缺少上报设备信息,无法访问公司内网资源,但是可以正常访问其他所有普通网站。
使用 Warp 客户端,访问公司内网资源,会在 CF 后台留下审计日志。访问非公司内网资源,因为 Warp 客户端会使用特定的 DNS ,有域名屏蔽策略,会劫持被屏蔽网站的解析( Warp 客户端安装了 MitM 证书),跳出拦截页面,并留下审计日志。
根据从公司外不可靠来源听到的消息,CF 国内专线采购价在 160 元/M 左右。这个价在 IPLC 专线里算是正常水平吧。当然 CF Zero Trust 本身就不便宜了,中国专线是附加付费服务,如果只是为了合规翻墙,那么性价比不高。但如果企业本身想买 Zero Trust 方案,顺便加钱搞个合规翻墙,那看起来还是不错的选择。
| 
