KAIYO
← Back to Blog
CloudflareZero TrustWARPTunnelSMB内网远程访问

Cloudflare Zero Trust,能把异地两台电脑变成一个内网吗?

This article was written in Chinese and auto-translated via Google Translate.
View Chinese Original →

Cloudflare Zero Trust,能把异地两台电脑变成一个内网吗?

这个问题我一开始也很感兴趣,因为它比“Cloudflare 好不好用”具体得多。

真正的需求通常不是:

  • 我要不要搭一个 VPN?
  • 我要不要折腾翻墙?

而是更朴素也更实用的问题:

  • 我能不能在外面访问家里电脑上的文件?
  • 我能不能安全地连到 NAS?
  • 我能不能让东京和福冈的两台电脑,像在同一个私有网络里一样协作?
  • 我能不能不开端口、不暴露公网 IP,也把这些事情做成?

如果把这些问题合在一起,其实就变成了:

Cloudflare Zero Trust,能不能把异地两台电脑“变成一个内网”?

短答案是:

可以做到“像在一个内网里工作”,但它不等于传统意义上的二层局域网。

这个差别非常关键。

如果先用一句最实用的话概括,那就是:

  • 想远程访问家里的文件、NAS、SSH、内网页面:Cloudflare 很适合
  • 想多地点设备像私有网络那样互通:可以做,但要理解它不是传统 LAN
  • 想获得最像“虚拟局域网交换机”的体验:还应该一起比较 Tailscale / Zerotier

一、先说结论:能,但不要把它理解成“远程交换机”

很多人说“把两台异地电脑组成局域网”,脑中默认想象的是:

  • 两台机器互相都能看到
  • 广播发现正常工作
  • 所有老协议都像在同一台路由器下面那样跑
  • 完全复刻家里交换机那套体验

这其实更接近传统意义上的 Layer 2 局域网 想象。

而 Cloudflare Zero Trust 更接近的是:

一个基于身份认证、设备策略、私有地址路由的覆盖网络(overlay network)。

它的思路不是“先把你粗暴地接进一个网”,而是:

  • 先确认你是谁
  • 再确认你的设备是不是可信设备
  • 再决定你能访问哪个服务、哪个子网、哪台机器

所以从结果上看,你会得到一种体验:

  • 可以远程访问内网 IP
  • 可以访问 SMB 文件共享
  • 可以 SSH / RDP / 访问内网页面
  • 可以让远程设备像在私有网络里一样工作

但从网络语义上,它又不是“传统路由器下面那种原汁原味的 LAN”。

二、Cloudflare 这套东西里,到底谁负责什么?

如果刚接触 Cloudflare,很容易被名词搞晕。

这里先用人话解释一下:

1. Cloudflare Tunnel

你可以把它理解成:

让你内网里的服务主动连到 Cloudflare,而不是把公网入口直接暴露出来。

特点:

  • 服务端发起出站连接
  • 不需要开公网端口
  • 很适合“用户去访问某台服务器上的服务”
  • 适合 Web、SSH、RDP、SMB 这类访问型场景

2. WARP / Cloudflare One Client

这是客户端。

你电脑上装了它之后,相当于你这台设备成了 Cloudflare Zero Trust 网络的一部分。

特点:

  • 可以把你设备的流量接入 Zero Trust 组织
  • 可以访问被授权的私有网络资源
  • 很适合远程员工、个人多设备、异地访问内网

3. Private Network Routing

这是最关键的能力之一。

简单说就是:

告诉 Cloudflare:某个私有 IP / 某个子网在我这边,请把访问这些地址的流量转给我。

这样,远程设备装了 WARP 之后,就能把去往这些内网地址的流量通过 Cloudflare 送过去。

4. Mesh(以前叫 WARP Connector 的一部分能力)

这是 Cloudflare 近一步的玩法。

官方现在把它描述成一种更像“设备—设备 / 节点—节点”私有网络连接能力。

特点:

  • 每个参与设备都会获得一个私有 Mesh IP
  • 支持设备到设备、设备到节点、节点到节点通信
  • 更接近“多地点私网互通”
  • 比单纯 Tunnel 更像真正的覆盖网络

如果你的目标是“多个地点像一个私网那样互通”,Mesh 的方向会比单纯 Tunnel 更对题。

三、如果我只是想远程访问另一台电脑的文件,Cloudflare 能做到吗?

可以。

而且这个场景在官方文档里就有明确用例:SMB

这件事之所以值得写,是因为传统上 SMB 文件共享很少直接暴露到公网:

  • 风险大
  • 运营商和防火墙经常会拦
  • 445 端口直接暴露非常不优雅
  • 很容易变成安全事故

Cloudflare 的做法更像是:

  1. 在有文件共享的那一端,跑一个 Tunnel / 私有网络连接
  2. 在远程客户端装 WARP
  3. 把文件服务器所在的私有 IP / 子网接入 Zero Trust
  4. 通过身份和设备策略决定谁能访问

这样一来,远程访问体验就很像:

“虽然我在外地,但我像在同一个私有网络里一样访问共享文件夹。”

这对于 NAS、家庭文件机、小型办公室共享盘都非常有价值。

四、它能不能做到“像局域网一样共享文件”?

可以做到的部分

如果你的目标是这些:

  • 映射远程 SMB 共享
  • 访问 NAS 上的共享目录
  • 在异地打开家里电脑上的文件仓库
  • 多地点办公时访问同一套共享资源

那么答案是:可以,而且是 Cloudflare Zero Trust 很合理的用法。

不能直接等同的部分

但如果你期待的是这些:

  • 所有广播发现都天然正常
  • 像本地交换机一样二层透明
  • 所有古老协议都无脑通
  • 网络里的所有设备互相自然自动发现彼此

那就不能简单说“Zero Trust = 局域网”。

更准确的说法应该是:

它提供的是一种“可控的私有网络访问能力”,而不是把互联网真的折叠成了一条远程网线。

这个差别听起来有点抽象,但实际体验里会决定你选什么方案。

五、什么时候用 Tunnel + WARP,什么时候看 Mesh?

这里给一个非常实用的判断表。

场景 A:我只想从笔记本访问家里的某台服务器 / NAS

推荐:Tunnel + WARP + Private Network Routing

适合:

  • 文件访问
  • SSH
  • RDP
  • 内网页面
  • 单点资源访问

这是大多数个人用户最先能跑起来的方案。

场景 B:我有两个地点,想让多个设备都像在一个私有网络里互通

优先研究:Mesh

适合:

  • 多地点设备互联
  • 节点与节点之间双向通信
  • 更像“覆盖私网”而不是“单点穿透”

如果你的目标是“东京家里一组设备 + 公司附近另一组设备 + 云上一台节点,三边私有互通”,那 Mesh 思路会更自然。

场景 C:我想要的是最像“虚拟局域网”的体验

这个时候 Cloudflare Zero Trust 不是唯一选项。

如果你的优先级是“越像传统虚拟局域网越好”,那就不要把问题问成“Cloudflare 能不能干”,而应该问成:

我的核心诉求到底是身份控制,还是纯粹的设备互联体验?

如果你更看重:

  • 精细访问策略
  • 设备可信校验
  • 和 Cloudflare 平台整合
  • 给服务加门禁

那 Cloudflare 很有优势。

如果你更看重:

  • 设备彼此直接可见
  • 更接近传统虚拟局域网体验
  • 更少企业化概念

那就值得把 Tailscale / Zerotier 一起纳入对比。

你还应该一起比较:

  • Tailscale
  • Zerotier
  • 传统 VPN(WireGuard / OpenVPN)

Cloudflare 的优势更偏:

  • 身份控制
  • 访问策略
  • 和 Cloudflare 整个平台整合
  • 企业化 Zero Trust 逻辑

而不是“我就是要一个最像交换机的虚拟 LAN 产品”。

六、如果你只想快速选型:Cloudflare、Tailscale、Zerotier 大概怎么选?

如果把这个问题再压缩一下,其实很多人真正想问的是:

我到底该用 Cloudflare,还是该去看 Tailscale / Zerotier?

可以先用一个非常粗糙但实用的判断表:

方案更擅长什么更适合谁
Cloudflare Zero Trust身份控制、访问策略、把“服务”安全地接出来已经在用 Cloudflare、想顺手把 NAS / SSH / 内网页面纳入统一门禁的人
Tailscale设备互联体验自然、上手快、虚拟局域网感更强想快速把几台设备拉到一个私网里的人
Zerotier更偏虚拟网络和自定义网络结构对网络拓扑有更多控制欲的人
WireGuard / OpenVPN最传统、最底层、自己掌控最多能接受自己维护整套 VPN 的人

如果你最在意的是:

  • 谁能访问
  • 哪台设备能访问
  • 某个服务是否需要门禁
  • 是否能和 Cloudflare 现有体系整合

那 Cloudflare 会很顺手。

如果你最在意的是:

  • 几台设备赶紧互通
  • 尽量接近“虚拟局域网”的体感
  • 少一点企业化概念,多一点直接连起来的爽感

那 Tailscale 往往会更直觉。

所以它们不是单纯的谁强谁弱,而是默认思维方式不同:

  • Cloudflare 更像“给服务加身份化网络壳”
  • Tailscale / Zerotier 更像“先把设备连成一个私网”

七、Zero Trust 最有意思的地方,不是“能连上”,而是“能精细控制”

这恰恰是它和很多传统 VPN 最大的差别。

传统 VPN 更像:

  • 先放你进来
  • 再看你自己别乱跑

Zero Trust 更像:

  • 你是谁?
  • 你的设备是不是可信?
  • 你可以访问哪些服务?
  • 你是不是只能访问这一台 NAS,而不能碰别的系统?

这个思路一旦理解了,你就会发现它最有意思的应用不只是“远程办公”。

比如:

1. 私有 SSH 网络

只允许你自己的账号和设备访问某台 Linux 主机。

2. 家庭实验室统一门禁

Home Assistant、NAS、下载器、监控面板,统一挂到 Zero Trust 后面。

3. 给朋友临时开放某个资源

不是给整网权限,而是只给一个具体服务。

4. 异地文件访问

不是把 SMB 暴露到公网,而是让它存在于受控私网里。

5. 小团队内部工具访问

不给公网注册登录,直接通过 Cloudflare Access 做身份门禁。

所以 Zero Trust 更像一种“网络层权限设计工具”,不是单纯 VPN 替代品。

八、如果你想写博客,这个题为什么有传播性?

因为它同时满足三个条件:

1. 问题非常具体

“能不能把两台异地电脑变成一个内网?” 比“Cloudflare Zero Trust 是什么”更像真实用户会搜的问题。

2. 答案不是简单的 yes / no

它不是一句“可以”就结束,而是:

  • 可以做成哪些事
  • 哪些事不等于传统 LAN
  • 哪个模块适合哪个目标

这正是适合写技术博客的地方。

3. 它天然能带出更多后续文章

比如:

  • Tunnel 和 Zero Trust 的区别
  • Mesh 到底适合谁
  • SMB / NAS 远程访问的正确姿势
  • Tailscale vs Cloudflare 的思路差异

九、我对这个问题的实际建议

如果你只想要一个简明决策,我会这样建议:

你的目标优先方案
远程访问 NAS / 文件共享Tunnel + WARP + Private Network Routing
远程访问 SSH / RDP / 内网页面Tunnel + WARP
多地点多设备私网互通Mesh
想要最像传统虚拟局域网的体验同时评估 Tailscale / Zerotier

如果你的真实目标是:

“我想在外面访问家里的文件共享 / NAS”

先从这个最实用的路线开始:

  • 家里有一台 Linux 机器 / NAS / 小主机
  • 接入 Cloudflare Tunnel / Private Network
  • 客户端设备安装 WARP
  • 跑通 SMB / 内网访问

这个路线足够有实用价值,也足够能写出好文章。

如果你的目标再进一步:

“我想让多地点设备组成一个私有覆盖网络”

那就把研究重点放到:

  • Mesh
  • 多节点互联
  • 设备间私有 IP 通信
  • 以及和 Tailscale 的对比

这会是下一层玩法。

结语

Cloudflare Zero Trust 能不能把异地两台电脑变成一个内网?

最准确的回答不是简单的“能”或者“不能”,而是:

它能让异地设备获得“像在同一个私有网络里工作”的体验,但它的本质不是远程交换机,而是一套基于身份、设备与路由控制的覆盖网络。

这听起来不像一句营销文案,但却更接近真实世界。

也是从这里开始,我觉得 Cloudflare 真正有意思的地方并不是 CDN,而是它让“安全地连接设备、服务和人”这件事,变得比传统网络时代轻了很多。

下一步如果继续往下写,我最想展开的是:

Cloudflare Tunnel 为什么比“开端口 + DDNS”更像现代玩法?