Agora finalmente entendi os túneis do Cloudflare Zero Trust

• Explicação da arquitetura que usa Cloudflare Zero Trust e WARP para conectar redes privadas e controlar o acesso a serviços sem problemas de NAT ou firewall
• Com os túneis Argo, é possível expor uma rede privada ou um serviço local em um domínio público, ou montar uma rede privada acessível apenas quando houver conexão via WARP
• O Tailscale é rápido por ser baseado em P2P, mas tem limitações em ambientes com NAT; já a Cloudflare roteia todo o tráfego pela rede de borda, oferecendo conexão estável
• O cloudflared cuida da criação dos túneis, e o WARP Client é responsável pela conexão de rede e pela aplicação das políticas; o fluxo de tráfego e o controle de acesso são definidos com Tunnels, Routes e Targets
• É possível configurar Access Policies detalhadas com login por e-mail ou GitHub, criando um ambiente de rede seguro que pula ou restringe o processo de login dependendo de a conexão WARP estar ativa ou não

Visão geral do Cloudflare Zero Trust e do WARP

• O aprendizado de Cloudflare Zero Trust + WARP começou depois que o Tailscale falhou em atravessar NAT
• Com túneis Zero Trust, é possível conectar redes privadas, publicar serviços, montar redes com IP privado e expor temporariamente serviços locais, entre outras possibilidades
• Todo o tráfego é entregue pela rede da Cloudflare sem problemas de NAT, e políticas de acesso granulares permitem controlar o acesso entre usuários, bots e servidores
• Em conexões SSH, há suporte a login baseado em autenticação Zero Trust sem precisar abrir portas públicas

Cloudflare Zero Trust vs Tailscale

• O Tailscale tenta estabelecer conexões P2P contornando NAT e firewall; quando isso não é possível, usa um servidor de retransmissão
• Na Cloudflare, com exceção de conexões Warp-to-Warp, todo o tráfego passa pelos servidores de borda da Cloudflare, eliminando problemas de NAT ao custo de um pequeno aumento de latência

Diferença entre cloudflared e WARP

• WARP Client: ferramenta que conecta o cliente à rede da Cloudflare e aplica políticas
  • Normalmente roda no cliente, mas também pode ser usado em servidores
  • Suporta conexão P2P com roteamento Warp-to-Warp
• cloudflared: ferramenta que cria túneis e os adiciona à rede Zero Trust
  • Roda no servidor para fornecer um ponto de entrada para a rede
  • Pode se conectar a outros recursos Zero Trust com o comando cloudflared access
  • Permite criar túneis temporários para testes pontuais

Estrutura de Tunnels, Routes e Targets

• Tunnels: pontos de saída de tráfego implantados com cloudflared
  • Exemplo: instalação em um equipamento sempre ligado dentro da rede doméstica (192.168.1.1/24)
  • O arquivo de configuração (/etc/cloudflared/config.yml) define para onde rotear quando uma requisição chega
  • Exemplo: gitlab.widgetcorp.tech → localhost:80, gitlab-ssh → localhost:22
• Exemplo de exposição pública:
  • homeassistant.mydomain.com → roteado para 192.168.1.3
  • Se no DNS da Cloudflare o CNAME apontar para o endereço do túnel, o acesso funciona mesmo sem WARP
• Routes: definem para qual túnel enviar um intervalo específico de IPs
  • Exemplo: a rede inteira 192.168.1.1/24 ou um IP único 192.168.1.3/32
  • Ao conectar via WARP, requisições para esses IPs são enviadas pela rede da Cloudflare até o túnel
  • Também é possível rotear IPs virtuais inexistentes, como 10.128.1.1
• Targets: definem as unidades de infraestrutura a serem protegidas
  • Exemplo: homeassistant.mydomain.com → 192.168.1.3/32
  • É possível atribuir políticas de acesso ao destino para permitir acesso apenas a usuários específicos

Access Policies: controle de acesso

• Depois de configurar túneis, rotas e alvos, as permissões são definidas com Access Policy
• Componentes da política
  • Include: condição para permitir acesso (OR)
  • Require: condição que deve ser obrigatoriamente atendida (AND)
  • Action: Allow / Deny / Bypass / Service Auth
• Exemplo 1 – controle de acesso baseado em e-mail
  • Permitir acesso apenas para endereços de e-mail específicos
  • Também é possível restringir a autenticação ao login via GitHub
• Exemplo 2 – pular login quando houver conexão WARP
  • Usando o seletor Gateway, é possível pular a tela de login quando há conexão Zero Trust via WARP
  • Sem conexão WARP, o login via GitHub é exigido

Implantação e registro do cliente WARP

• Em Settings → Warp Client, é possível definir a política de registro
  • Permitir autenticação via GitHub e registro apenas para determinados e-mails
  • Ao configurar um ID de autenticação do WARP, o seletor Gateway pode ser usado
• Em Profile Settings, define-se o comportamento do cliente
  • É possível configurar protocolo (MASQUE/WireGuard), modo de serviço, IPs excluídos do roteamento e mais
  • Também dá para ativar instalação automática da CA da Cloudflare, atribuição de um IP CGNAT exclusivo e verificação de estado do dispositivo (Device Posture)
• Após o login no cliente WARP, a conexão com a rede Zero Trust fica concluída
  • A partir daí, requisições para 192.168.1.3 são roteadas pelo túnel

Resumo do resultado da implementação

• Registro do cliente WARP com política de login baseada em GitHub e e-mail
• Um túnel dentro da rede privada encaminha requisições para homeassistant.mydomain.com até 192.168.1.3
• O tráfego para 192.168.1.3 só pode ser acessado pelo túnel quando há conexão WARP
• São oferecidas duas formas de acesso: pública via DNS e privada via WARP
• Com WARP conectado, o login é pulado; sem conexão, é exigida autenticação via GitHub

Itens não abordados adicionalmente

• Roteamento Warp-to-Warp
• Criação de IP privado exclusivo para uso interno no Zero Trust
• Configuração de política de autenticação SSH
• Tipos de aplicação além de Self-Hosted

Não há informações adicionais no texto original