cloudflare zero trust에 tunnel, warp 연결하기
개요
zero trust가 무엇인지는 우리 keiminem님께서 자세히 설명해주셨습니다.
오늘 설명 드리려는 것은 Cloudflare가 제공해주는 zero trust에 대한 설명입니다.
이 글에서 "zero trust"라고 쓴 단어는 zero trust를 지칭하는 것이 아니라 Cloudflare에서 제공해주는 서비스의 이름입니다.
따라서 일부 기능은 zero trust라면 당연히 갖춰야 하는 기능이 아니라
cloudflare의 zero trust에서만 되는 기능/서비스 일수 있다는 점은 인지해주세요.
또한.. 제가 쓰려는 글이 이미 우리 포럼에도 있더군요.
제가 가입하기 이전 글이라서 몰랐는데, 지금 글을 쓰기 전에 찾아보려고 하니 있네요.
오늘 제가 설명 드리려는 것도 이것과 완전히 같습니다.
왜 Cloudflared를?
제가 cloudflared에의 장점으로 보는 것은 다음과 같습니다.
- DNS와 달리 server의 IP를 알수 없다.
- cloudflare proxied DNS의 모든 기능을 갖추고 있다.
- cloudflare proxied dns와 달리 인천ICN CDN을 서버로 사용한다.
cloudflare proxied dns는 나리타NRT를 기본으로 합니다.
지연이 줄어든 것이 상당히 체감이 많이 되고 있어요.ㅎㅎ
- cloudflare proxied DNS와 달리 TCP 프로토콜을 모두 지원한다. http가 아닌 서비스도 제공한다.
cloudflare proxied DNS는 http가 아닌 서비스를 하려면 어쩔수 없이 DNS 모드를 사용해야 했습니다
ssh, vnc, smb 다 됩니다!
- cloudflare proxied DNS와 달리 port에 제한이 없다.
proxied DNS에서 사용할 수 있는 포트: developers.cloudflare.com/fundamentals/get-started/reference/network-ports
- tunnel로 ssh, http등을 서비스하기 때문에 모든 포트를 다 막아버려도 접근 가능하다
proxied DNS 쓸 때도 www.cloudflare.com/ko-kr/ips/ 에 해당하지 않는 IP는 다 막아두긴 했습니다.
이제는 저 IP까지 다 차단 박아도 됩니다. 방화벽에서 TCP는 모든 public ip, 모든 port를 막아뒀습니다.
- docker로도 제공합니다.
docker로 network mode를 host모드로 하나, bridge 모드로 하나 실행해두면 모든 서비스에 대해 reverse proxy가 가능합니다.
- 단말기에서 WARP에 연결하면 모든 tunnel에 private IP로 접근 가능하다.
예를 들어 집의 NAS는 10.1.1.1, 집의 데스크탑은 10.1.1.2, oracle cloud 인스턴스는 10.1.1.3, azure는 10.255.255.254라면 다 접근 됩니다.
다른 VPN으로 연결할 필요도 없고, 동시에 smb로 연결해서 10.1.1.1에서 10.255.255.254로 복사하는 것도 가능합니다.
- 자체적으로 ssh, vnc 렌더러를 제공합니다.
guacamole이 없어도 됩니다..!!
글 하나가 너무 길어지는 것 같아서.. 먼저 간략하게 왜 cloudflared를 사용하는지 정리해봤습니다.
다음 글에서는 cloudflare tunnel 구성하는 방법 설명드릴께요.
앞서 sayaro님이 설명해주신 것과 달라진 점이 많더라구요.
deb, rpm repository도 제공하고 있고, 또 synology나 qnap, alpine 등
rpm이나 deb가 아닌 경우 설치/사용 방법에 대해서도 설명 드리려고 합니다.
나중에 헤놀 갈아서 해봐야겠습니다..
한참 있다가 뜬다면 timeout일 가능성이 높겠네요..
NPM : 프록시 설정한 Public Hostname + 5001 조합으로 웹 브라우저에서 입력하면 DSM 화면이 정상 출력됨
Cloudflare Tunnel : 설정한 Public Hostname + 5001 조합으로 웹 브라우저에서 입력하면 DSM 화면 표시 안됨.
일전 인터넷에 찾아보니 DS File과 DS Get 같은 어플은 HTTP의 경우 5000번, HTTPS의 경우 5001을 고정으로 사용한다고 본거 같아서 테스트 해보니까 위와 같은 결론이 나오는군요.
즉, DS Get 앱에서 로그인 버튼을 누르면 해당 호스트 주소로 HTTP인 경우 5000번, HTTPS인 경우 5001번으로 세션 연결을 시도 하는 것으로 보여지네요.
다만 NPM의 경우 제가 공유기에 5001번 포트 포워딩을 해놔서 그런지 웹 브라우저에 "https://{프록시 주소}:5001을 입력하면 DSM 화면이 나오는데, Cloudflare Tunnel은 "https://{터널 도메인}:5001"을 입력해도 웹 브라우저 상에서 DSM 화면이 나오질 않고 페이지를 표시할 수 없습니다라고 나오더군요.
이 차이로 인해 Cloudflare Tunnel로는 시놀 앱을 사용할 수 없는 것으로 보여지네요.
아. 터널의 퍼블릭 호스트 네임을 사용하면 포트는 따로 지정 못합니다.
서브 도메인 하나에 포트 하나씩이예요.
웹브라우저에서는 https://[터널플
퍼블릭호스트네임]을 입력하시고
터벌 퍼블릭호스트네임에서 포트를 입력해야해요.
npm도 똑같습니다.
여러 서브 도메인을 한 IP:port로 프록시할수 있으나
한 서브도메인을 여러 포트로는 못해요.
npm은 고급 설정에서 nginx설정을 하지 않았다면 80, 443만 수신 가능하므로 브라우저에서 5001을 입력했다면 지금까지 npm을 거치지 않았을 가능성이 높아요.
고급설정에서 npm 수신 포트를 바꾸시지 않았다면 말이죠.
말씀 하신 부분은 충분히 이해했습니다.
현재 DS Get의 문제점은 DS Get에서 설정한 서버로 80 또는 443으로 연결 요청 하는 것이 아닌 5000 또는 5001로 연결을 요청한다는게 문제로 보여지는군요.
Cloudflare Tunnel은 "Public Host:443"에 대한 응답만 지원하다보니 "Public Host:5001" 요청에 대한 처리를 하지 못하는 것으로 보여지네요.
만일 Cloudflare Tunnel에서 Public Hostname 설정할 때 Public Hostname에 포트를 설정 할 수 있다면 이 문제는 해결되지 않을까 싶네요.
허나 지금은 Cloudflare 자체에 Custom 포트를 설정하는 기능이 지원되지 않기 때문에 이건 당장은 불가능해 보이는군요...
그냥 해당 서브 도메인을 전부 5000으로 보내버리는게 해결책이 될듯 싶습니다.ㅠㅠ
앱에서 주소 입력할 때 {Tunnel 도메인}:443 이렇게 설정해 주니까 Cloudflare Tunnel로 앱도 잘 연결 되는군요...
cmt alert
신고
"님의 댓글"
이 댓글을 신고하시겠습니까?
