Debian 安装 Cloudflare Zero Trust(Cloudflare WARP client)可以做流量分流的那种! - 技术宅银魂 - 科技改变生活 - 万事屋

Debian 安装 Cloudflare Zero Trust(Cloudflare WARP client)可以做流量分流的那种!

之前介绍过利用Cloudflare Tunnel搭建Discourse,这个其实足够安全了。但Cloudflare Zero Trust属于内网穿透,需要一些随机端口,而遇到被防护墙封杀了所有端口的服务器,只能靠Cloudflare WARP 了。

但是呢,现在24PB流量不太好申请,还好有Cloudflare Zero Trust

三者关系大致如下:

  • Cloudflare Tunnel 内网穿透,可做异地组网;
  • Cloudflare WARP 负责安全网络,免费1G,但链接里有申请24PB的方法;
  • Cloudflare Zero Trust 本身就是WARP高阶版,无限流量(免费的),需要在CF帮顶信用卡(只验证不收费)

最近WARP的24PB流量申请太麻烦,正巧公司有免费又无限流量的 Cloudflare Zero Trust,不用白不用对吧?

之所以单独搞一台低配Debian,原因么,之后再说。

硬件配置:

  • 1核CPU;
  • 2G内存;
  • 10G以上硬盘存储

一、注册Cloudflare Zero Trust

二、安装WARP所需的组件

sudo apt update && apt install curl wget gnupg dpkg apt-transport-https lsb-release ca-certificates

三、安装Cloudflare WARP

可以在这里查找不同系统的安装包地址:

我用的是Debian12:

吐槽一下debian,本来想更省资源装debian9,结果官方源都淘汰了大半,考虑兼容和后期更新维护,只能弃用了。

# Add cloudflare gpg key
curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg


# Add this repo to your apt repositories
echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list


# Install
sudo apt-get update && sudo apt-get install cloudflare-warp

 

安装后输入:

warp-cli teams-enroll <your-team-name>

<your-team-name> 是你申请Cloudflare Zero Trust的team名字,就是<your-team-name>.cloudflareaccess.com 中的 <your-team-name>。

由于在命令行不会弹出浏览器,需要手动使用浏览器访问下面链接

https://<your-team-name>.cloudflareaccess.com/warp

在浏览器输入以上网址后,输入登录的邮箱地址并输入验证码,这里很重要,记得不要关闭页面:

图片[1] - Debian 安装 Cloudflare Zero Trust(Cloudflare WARP client)可以做流量分流的那种! - 技术宅银魂 - 科技改变生活 - 万事屋

此时查看页面源代码,查找:

.cloudflareaccess.com/auth?token=

把 token= 后面的所有代码都复制下来,最后的引号不要

在debian执行带以上代码的命令,最好快点,几分钟内会失效:

warp-cli teams-enroll-token com.cloudflare.warp://<your-team-name>.cloudflareaccess.com/auth?token=<your-token>

记得把<your-team-name><your-token>换掉。

完成后测试:

curl https://www.cloudflare.com/cdn-cgi/trace/
warp-cli account

如果你有Cloudflare WARP 24PB的license只要输入以下代码:

warp-cli set-license <YOUR-ACCOUNT-ID>

四、Debian 设置Cloudflare WARP

在开启 Cloudflare WARP前先绑定内网IP段或者指定某个固定IP访问,否则等下就连不上了。

warp-cli add-excluded-route 192.168.1.0/16

有人说上面指令将要被弃用,下面这个也行?有空试试:

warp-cli tunnel ip add 192.168.1.0

开启WARP

warp-cli connect

检查开启状态:

curl https://www.cloudflare.com/cdn-cgi/trace/

以下是几个 warp 的命令

# 查看当前状态
warp-cli status
# 查看设置,包括例外 IP
warp-cli settings
# 关闭 warp 连接
warp-cli disconnect

如果不想让 warp 接管所有流量,则需要开启本地代理,默认端口是 40000(我个人认为没必要就没操作)

# 不指定的话默认端口是 40000
warp-cli set-mode proxy

# 将端口指定为 30000
warp-cli set-proxy-port 30000

测试本地代理是否配置完成。返回的 IP 就是 cloudflare 分配的 IP

curl -4 ip.gs -x socks5://127.0.0.1:40000
# 104.66.110.125

五、其他

之所以用这个方案是折中,毕竟某些企业云把大部分端口都干了,影响了随机端口;

某些功能需要用到,不多说了,链接都不需要外网,直接设置内网IP就行;

有人说可以用Openclash链接,不需要额外装一台。殊不知为了在OpenClash使用,需要联网第三方暴露你的密钥,WARP还行,大不了再申请个,Cloudflare Zero Trust就不一样了,相当于将你异地组网的整个网络暴露出去,谁知道三方会不会拿来干什么坏事。

以上,第五点属于早上起床思路不清醒的胡言乱语。

万事屋新帖