随笔一百篇之 Windows服务器上启用了warp/warp+ 导致外部网络无法通过RDP远程连接

1.1.1.1是Cloudflare与APNIC合作提供的免费DNS服务。该服务充当递归名称服务器,为Internet上的任何主机提供域名解析。2018 年 11 月 11 日,Cloudflare 宣布推出适用于 Android 和 iOS 的 1.1.1.1 服务的移动应用程序。2019 年 9 月 25 日,Cloudflare 发布了 WARP,这是其原始 1.1.1.1 移动应用程序的升级版本……

以上搬运自wiki,而当初次使用warp时,特别是Windows平台的机器上,多多少少还是会出现一些问题,比如本文所记录的。

问题简述

当RDP的机器启用了warp/warp+服务时,你会发现:

  1. RDP会话直接中断,并且无法连接。
  2. 通过VNC等方式连接到机器内部时,测试发现在机器内部是能够访问到Internet,说获取到的warp/warp+网络地址是正常的。
  3. 通过外部网络tcping RDP端口,发现它没有对外连通,而当停止warp/warp+时,则恢复正常。

解决方式

通过上面的问题,可以很明确的判断出是warp/warp+接管了所有的流量请求,那么这时候对外的ip应该为warp/warp+,而不是机器原版的网络地址。其实通过Windows上的网卡,也能看到相关的信息。所以我们需要对机器的来源地址进行分析,允许一小部分网络地址绕过warp/warp+。

参考方法

打开warp/warp+,任务栏选中它,点击右下角齿轮图标,选择“偏好设置”,左侧列表切换到“高级”,选择“排除拆分隧道”,点击加号,输入来源ip/ip段即可。

  • 如果只需要ipv6,那么就添加0.0.0.0/0
  • 反之,如果只需要ipv4,那么就添加::/0
  • 如果需要其中一者或者两者,又不希望让warp/warp+失效,那么就需要仅小范围的放行来源,这就需要添加自己的CIDR块,或者具体的IP地址,又或者中间的固定的公网IP网络地址。

当然也可以使用其它的方法,比如“手动修改路由表”(上面的也差不多是做了这么一个事情),“使用那啥”……这里就不详细展开记录了,毕竟大部分默认情况下warp/warp+可能就是个减速的玩意……也没什么值得学习的主要是。

碎碎念

建议不熟悉网络相关知识的前提下,还是使用软件自带的“排除”功能来解决遇到的问题。如果不清楚自己常用的CIDR信息,那么可以考虑搭配一台有固定公网IP的机器来使用,排除填它的就可以了。

这样能最简单的,相对warp/warp+而言影响较小的,同时又能使得RDP,HTTP,HTTPS等对外的服务,允许被放行的外部网络所访问。

About Cloudflare WARP

The Cloudflare WARP client allows you to protect corporate devices by securely and privately sending traffic from those devices to Cloudflare’s global network, where Cloudflare Gateway can apply advanced web filtering. The WARP client also makes it possible to apply advanced Zero Trust policies that check for a device’s health before it connects to corporate applications.

Downloading and deploying the WARP client to your devices enhances the protection Cloudflare Zero Trust can provide to your users and data, wherever they are.

Here are a few ways in which the WARP client provides in-depth protection for your organization:

  • WARP lets you enforce security policies anywhere.
    With the WARP client deployed in the Gateway with WARP mode, Gateway policies are not location-dependent — they can be enforced anywhere.
  • WARP lets you enforce HTTP filtering and user-based policies.
    Download and install the WARP client to enable Gateway features such as Anti-Virus scanning, HTTP filtering, Browser Isolation, and identity-based policies.
  • WARP lets you have in-depth, application-specific insights.
    With WARP installed on your corporate devices, you can populate the Zero Trust Shadow IT Discovery page with visibility down to the application and user level. This makes it easy to discover, analyze, and take action on any shadow IT your users may be using every day.
  • WARP allows you to build rich device posture rules.
    The WARP client provides advanced Zero Trust protection by making it possible to check for device posture. By setting up device posture checks, you can build Zero Trust policies that check for a device’s location, disk encryption status, OS version, and more.
阅读剩余
THE END