公司前段时间花大价钱采购了 CF Zero Trust ,可以看作 CF Warp 的企业版。因为和 CF Warp 共用接入点,在国内被墙,并且 Warp 客户端和所有其他翻墙软件都冲突,于是公司又花大价钱采购了 CF 提供的中国专线。国内员工在 Warp 客户端配置接入点后,不需要开其他任何翻墙软件,就可以顺畅访问国外资源。
开通中国专线后,CF 会提供一个国内接入点 IP ,员工在自己电脑安装 Warp 客户端后,运行 warp-cli tunnel endpoint set <ip> 配置接入点。当然实际部署过程是 IT 通过 MDM 下发策略统一安装的,并不需要每个人手动运行命令。
经查询,这个国内接入点 IP 位于深圳,AS4816 ,三网 BGP 。开放了 2408 端口(运行 WireGuard 协议)和 443 端口(反代了 1.1.1.1 DoH 和 CF API )。有鉴权机制,非本组织下账号,即使配置这个接入点,也无法连上。
通过国内接入点启用 Warp 后,电脑的所有流量全部经过 Cloudflare ,包括国内流量( CF Warp 有分流功能,可以指定哪些 IP/域名 不走隧道,理论上可以实现国内外分流)。公司 IT 可以在后台配置流量出口区域。尽管接入点在国内,但 CF 在国内没有出口,最近只能从香港。因为 OpenAI 等在香港不能使用,对于有需要使用这些 AI 服务的员工,IT 可以单独配置从新加坡、美国等地出口。
Warp 海外段是不限速的。国内专线段公司买了 300M 带宽。Warp 底层 WireGuard 属于 UDP 协议,从我在高峰期测试来看,国内段并没有遇到运营商 UDP QoS ,在任何时段都能跑满 300M 。丢包率在我买过的所有机场里是最好的。
通过 rany2/warp.sh 把 WireGuard 凭据提取出来后,就可以在 Surge 等工具里使用。凭据有效期很短,需要定时续期,每次续期后,原来的 private key / client id 都可以继续使用,所以配置维护起来不算麻烦。使用 Surge 测速,延迟比我买的机场 (dlercloud) 略高( 10ms 以内)。
Warp 客户端会收集上报很多设备信息,只有满足公司 IT 设定的策略后,才允许访问公司内网资源。自行提取 WireGuard 配置,因为缺少上报设备信息,无法访问公司内网资源,但是可以正常访问其他所有普通网站。
使用 Warp 客户端,访问公司内网资源,会在 CF 后台留下审计日志。访问非公司内网资源,因为 Warp 客户端会使用特定的 DNS ,有域名屏蔽策略,会劫持被屏蔽网站的解析( Warp 客户端安装了 MitM 证书),跳出拦截页面,并留下审计日志。
根据从公司外不可靠来源听到的消息,CF 国内专线采购价在 160 元/M 左右。这个价在 IPLC 专线里算是正常水平吧。当然 CF Zero Trust 本身就不便宜了,中国专线是附加付费服务,如果只是为了合规翻墙,那么性价比不高。但如果企业本身想买 Zero Trust 方案,顺便加钱搞个合规翻墙,那看起来还是不错的选择。
54 条回复 • 2025-04-16 13:06:20 +08:00
 |
1
basncy 2 天前
AS4816 ,Mark
|
 |
2
youx 2 天前
CF 国内专线采购价在 160 元/M 左右
|
 |
3
ranaanna 2 天前
可不可以向有关部门举报 cloudflare ,因为“任何单位和个人不得自行建立或者使用其他信道进行国际联网”?有没有 ISP/ICP 经营许可证?被封的同时又“合规翻墙”,凭什么
|
 |
5
JensenQian 2 天前
|
|
6
JensenQian 2 天前
|
 |
7
iijboom 2 天前
你这确实是大价钱了,直白的说就是冤大头... 160/M 这个价格是三段到公司了吗?讲真 50/M 他们都已经赚一半以上了,就是小带宽可能确实要 50/M ,大带宽根本不用
|
 |
8
JoeSmith 2 天前 via Android
这价格不如买国外 sim 卡了吧
|
 |
9
dream7758522 2 天前 via Android
300m 一个月不得 4.8 万吗?公司规模应该很大。
|
 |
10
Yserver 2 天前
iplc 成本 20 ~ 30 也差不多了吧?
|
 |
14
yyzh 2 天前 via Android
又一家冤大头公司
|
 |
15
yinmin 2 天前 via iPhone
@jsq2627 cloudflare zero trust 的 ios app 没在国区 appstore 吧? 很好奇企业是如何部署 iphone 客户端,是国外 appstore 下载安装?还是有一个企业级 app 自行部署的(不从 appstore 下载)?
|
 |
16
jsq2627 OP @iijboom
@yyzh @Yserver 这个价格不知道是刊例还是成交价,我只是普通员工,不是 IT 更没有参与采购,不对真实性负责哈... @dream7758522 作为对比,公司每年要在 AWS 上要花掉几千万美元;每年花几十 w RMB 解决中国员工网络问题,我觉得已经算抠了。 |
 |
17
dwb938 2 天前 via Android
|
 |
19
MFWT 1 天前
估计价格大头还是在 ZeroTrust 上了
|
 |
21
huihuilang 1 天前 via Android
@iijboom 人家是合规大公司,怎么可能用那种不合规的线路
|
 |
25
Citrus 1 天前 via iPhone
|
 |
26
ersic 1 天前  6
什么人的第一反应是举报?
|
|
27
ranaanna 1 天前
@Citrus warp 及 zero trust 是 cloudflare 于 2019 年推出的 VPN 服务,不是其传统的、在国内与京东云合作的基于反向代理的分布式 CDN 和 DNS 服务,更不是所谓的“合规跨境专线”。你以为是啥🥲
|
|
28
iijboom 1 天前
@huihuilang 我说的就是合规的
|
 |
29
yorkyoung 1 天前
其实你公司应该把服务切割购买,CF Zero Trust 和 跨境这一段。
理论上会增加不稳定因素,其实差别不大。 一个独立 IP 的 300M 跨境三网 BGP 应该会便宜不少 |
 |
30
SenLief 1 天前 via iPhone
103.44 网段的嘛?
cf 中国专线是合规的,但不是和京东云,而是和运营商或者二级合作的,as4816 是电信的,那应该是 Niaoyun 的线,它还有 cmi 和 CBC tech 。我记得官网就有写,好几年了。 |
 |
33
woodchen 1 天前
涨见识了,主要还是购买 CF 服务附带的, 不然一般合规需要还是办个国际专线简单些.
|
 |
34
x86 1 天前
换我掏钱就 IEPL 了
|
 |
35
hackroad 1 天前
我给你做只要 60 块 1M ,架构比这个简单,方便。
|
 |
37
sublimevsatom 1 天前 via iPad
感谢分享,长见识了
|
 |
38
a2213108 1 天前
cloudfront 也有类似的服务,只不过没有 cloudflare 的结构这么丝滑
|
|
41
jsq2627 OP @yorkyoung > 其实你公司应该把服务切割购买,CF Zero Trust 和 跨境这一段。
本身 Zero Trust / VPN 就是面向 remote worker 的,网络环境不可控,不像 site 能在网关上做跨境分流。Warp 客户端又和目前任何其他代理软件都冲突(抢默认路由,监听 53 ),所以很难做到切割。 |
|
46
ranaanna 1 天前
@Yuanlaoer 那 ExpressVPN, Surfshark, NordVPN, Proton VPN, PIA, IPVanish, Mullvad 为什么“没有跟联通和移动合作”,这些还大多不是“邪恶的”美国公司。难道真的认为会去举报?只是吐槽一下 internet 诸多怪现象的一个而已
|
|
48
huihuilang 1 天前
@iijboom 人家公司有钱,买贵的又能怎么样了。。。有本事你当人家老板呗,什么冤不冤大头的
|
 |
50
S179276SP 1 天前
所以说这玩意就是为了解决其他国家开公司本身不存在的问题而设立的?
|
 |
51
destine 13 小时 56 分钟前
看起来和微软的 global secure access 差不多
|
|
52
yorkyoung 13 小时 55 分钟前
|
Select Language