Debian 安装 Cloudflare Zero Trust（Cloudflare WARP client）可以做流量分流的那种！

之前介绍过利用Cloudflare Tunnel搭建Discourse，这个其实足够安全了。但Cloudflare Zero Trust属于内网穿透，需要一些随机端口，而遇到被防护墙封杀了所有端口的服务器，只能靠Cloudflare WARP 了。

但是呢，现在24PB流量不太好申请，还好有Cloudflare Zero Trust。

三者关系大致如下：

• Cloudflare Tunnel 内网穿透，可做异地组网；
• Cloudflare WARP 负责安全网络，免费1G，但链接里有申请24PB的方法；
• Cloudflare Zero Trust 本身就是WARP高阶版，无限流量（免费的），需要在CF帮顶信用卡（只验证不收费）

最近WARP的24PB流量申请太麻烦，正巧公司有免费又无限流量的 Cloudflare Zero Trust，不用白不用对吧？

之所以单独搞一台低配Debian，原因么，之后再说。

硬件配置：

• 1核CPU；
• 2G内存；
• 10G以上硬盘存储

一、注册Cloudflare Zero Trust

二、安装WARP所需的组件

sudo apt update && apt install curl wget gnupg dpkg apt-transport-https lsb-release ca-certificates

三、安装Cloudflare WARP

可以在这里查找不同系统的安装包地址：

• macOS（我是在app store上装的iOS版）
• Windows
• iOS（好像国区木有）
• Android
• Linux

我用的是Debian12：

吐槽一下debian，本来想更省资源装debian9，结果官方源都淘汰了大半，考虑兼容和后期更新维护，只能弃用了。

# Add cloudflare gpg key
curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor --output /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg


# Add this repo to your apt repositories
echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(lsb_release -cs) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list


# Install
sudo apt-get update && sudo apt-get install cloudflare-warp

安装后输入：

warp-cli teams-enroll <your-team-name>

<your-team-name> 是你申请Cloudflare Zero Trust的team名字，就是<your-team-name>.cloudflareaccess.com 中的 <your-team-name>。

由于在命令行不会弹出浏览器，需要手动使用浏览器访问下面链接

https://<your-team-name>.cloudflareaccess.com/warp

在浏览器输入以上网址后，输入登录的邮箱地址并输入验证码，这里很重要，记得不要关闭页面：

此时查看页面源代码，查找：

.cloudflareaccess.com/auth?token=

把 token= 后面的所有代码都复制下来，最后的引号不要

在debian执行带以上代码的命令，最好快点，几分钟内会失效：

warp-cli teams-enroll-token com.cloudflare.warp://<your-team-name>.cloudflareaccess.com/auth?token=<your-token>

记得把<your-team-name> 和 <your-token>换掉。

完成后测试：

curl https://www.cloudflare.com/cdn-cgi/trace/
warp-cli account

如果你有Cloudflare WARP 24PB的license只要输入以下代码：

warp-cli set-license <YOUR-ACCOUNT-ID>

四、Debian 设置Cloudflare WARP

在开启 Cloudflare WARP前先绑定内网IP段或者指定某个固定IP访问，否则等下就连不上了。

warp-cli add-excluded-route 192.168.1.0/16

有人说上面指令将要被弃用，下面这个也行？有空试试：

warp-cli tunnel ip add 192.168.1.0

开启WARP

warp-cli connect

检查开启状态：

curl https://www.cloudflare.com/cdn-cgi/trace/

以下是几个 warp 的命令

# 查看当前状态
warp-cli status
# 查看设置，包括例外 IP
warp-cli settings
# 关闭 warp 连接
warp-cli disconnect

如果不想让 warp 接管所有流量，则需要开启本地代理，默认端口是 40000（我个人认为没必要就没操作）

# 不指定的话默认端口是 40000
warp-cli set-mode proxy

# 将端口指定为 30000
warp-cli set-proxy-port 30000

测试本地代理是否配置完成。返回的 IP 就是 cloudflare 分配的 IP

curl -4 ip.gs -x socks5://127.0.0.1:40000
# 104.66.110.125

五、其他

之所以用这个方案是折中，毕竟某些企业云把大部分端口都干了，影响了随机端口；

某些功能需要用到，不多说了，链接都不需要外网，直接设置内网IP就行；

有人说可以用Openclash链接，不需要额外装一台。殊不知为了在OpenClash使用，需要联网第三方暴露你的密钥，WARP还行，大不了再申请个，Cloudflare Zero Trust就不一样了，相当于将你异地组网的整个网络暴露出去，谁知道三方会不会拿来干什么坏事。

以上，第五点属于早上起床思路不清醒的胡言乱语。