Cloudflare Zero Trust の Hostname Routes（β）を利用して Tunnel 経由での通信を行ってみた

Posted at 2025-12-21

本記事は QualiArts Advent Calendar 2025 の21日目の記事になります。

株式会社QualiArtsでバックエンドエンジニアをしているjaganikumanです。

この記事では 2025年9月頃にベータ版として発表された Hostname Routes を利用して Cloudflare Tunnel 経由での通信を行ってみたいと思います。

Hostname Routes （β）

今回発表された Hostname Routes は、特定のホストへのアクセスをどこのトンネル経由で行うかという設定を行えるようになる機能になります。

任意のホストに対して Cloudflare Tunnel 経由でのアクセスを行う手法は今までいろいろありましたが、 Hostname Routes を用いることによって、ダッシュボードから設定を追加するだけでより簡単に Tunnel 経由の通信を行えるようになる点が魅力的です。

また、アクセス元のIPアドレスが cloudflared が起動しているマシンの IPアドレスになるため、対象ホストがIPアドレスによる制限を行っている場合に対応する構成を組みやすくなるかと思います。

今回の記事では、Hostname Routesを使用する場合のdocsを参考に Hostname Routes を設定し、実際に出口のIPが変わるところまでを検証してみます。

まず、100.64.0.0/10 を WARP に吸ってもらう設定を行います。
100.64.0.0/10 のIPアドレスは今回の Hostname Routes を利用する際に、指定したホストへの通信を Cloudflare 側でハンドリングするために使用されます。

Zero Trust Dashboard > チームとリソース > デバイス > デバイスプロファイルへ移動
使用しているプロファイルの設定を開く
スプリットトンネルの設定を変更
- モードが IP とドメインを除外する の場合、100.64.0.0/10 をリストから削除
- モードが IP とドメインを含める の場合、100.64.0.0/10 がリストに追加

今回はデフォルトの IP とドメインを除外する を使用し、リストを以下の状態に変更しました。

Hostname Routes を利用するために、Secure Web Gatewayの設定でプロキシとホストベースのポリシー を有効にする設定を行います。

再ログインを行わないと設定が反映されないので要注意です。
WARPのON/OFFやRe-Authentication では反映されず、再ログインまで行う必要があるようです。

検証していた当初は正常にルーティングされず試行錯誤していたところ、この機能を有効化することで正常に疎通することが確認できました。

そのため、ドキュメントには記載がないですが Hostname Routes を利用する場合には Secure Web Gatewayの設定でプロキシとホストベースのポリシー の有効化は前提として設定したほうが良さそうです。

どのホストをどの Tunnel 経由のルーティングにするか、を設定します。

以上で設定は全て終了です。
WARPを有効にしたデバイスから対象のホストにアクセスして、アクセス元のIPアドレスが Tunnel が設置されているマシンのIPアドレスになっていたら正常に動作しています。

今まで手間をかけて行ってきた Tunnel 経由で通信を行う手法が、今回の Hostname Routes の登場によりかなり簡易化され、より気軽に利用できるようになりました。

実際に設定を行い、対象ホストへの通信が Tunnel が設置されたマシンのIPアドレスから行われることも確認できました。

現在はまだベータとしての提供ですが、GA を待ちつつ引き続き注視していきたい機能だと思います。

まだまだ QualiArts Advent Calendar 2025 は続きますので、ご覧いただけると幸いです。