Cloudflare Mesh 完整教程：私有组网快速上手

Cloudflare Mesh 是 Cloudflare 于 2026 年 4 月推出的私有组网解决方案。它帮助企业和个人把设备、服务器、AI 智能体以及 Cloudflare Workers 统一到一个安全、双向、无需公网 IP 的私有网络中。所有流量都走 Cloudflare 全球 330+ 城市的边缘网络，使用后量子加密，让你告别传统 VPN 的端口暴露和复杂配置，几分钟即可上手，快速解决跨地域、跨平台的内网访问难题。

Cloudflare Mesh 核心概念

• Mesh IP：每个加入 Mesh 的设备或节点都会获得私有 IP（范围 100.96.0.0/12），可直接互相通信，支持 TCP、UDP、ICMP。
• Mesh Node（节点）：运行在 Linux 服务器上的无头 Cloudflare One Client（warp‑cli），用于暴露服务器或整个子网。
• Client（客户端）：笔记本、手机等终端设备，运行带图形界面的 Cloudflare One Client。
• 路由（Routes）：节点可通告 CIDR 子网，让 Mesh 内其他设备访问子网内的资源（如数据库、打印机）。

优势

• 双向通信，源 IP 保留。
• 继承 Cloudflare Zero Trust 全部安全策略（Gateway、Access、Posture 等）。
• 部署简单，几分钟上手。
• 免费层支持最多 50 个节点 + 50 个用户。

前置条件

• 一个 Cloudflare 账号（免费即可）。
• 一台 Linux 服务器（推荐 Ubuntu 22.04/24.04、Debian 12，支持 AMD64/ARM64）。
• 客户端设备（Windows、macOS、Linux、iOS、Android）。
• 服务器基本要求：75 MB 磁盘、35 MB 内存、能够连通 Cloudflare。

快速上手（推荐使用向导）

运行设置向导（Dashboard）

• 登录 Cloudflare Dashboard（https://dash.cloudflare.com/）。
• 前往 Networking（网络） > Mesh。
• 点击 Add a node（添加节点）。
• 输入节点名称（如 web-server 或 staging-db）。
• 点击 Create node（创建节点）。
• 向导会自动配置设备注册策略、Device Profile 等（首次使用最方便）。
• 若已有 Linux 服务器，复制页面上的安装命令并立即运行；否则点击 I’ll connect later，稍后配置。

在 Linux 服务器上安装 Mesh Node

运行以下命令（向导页面会提供最新版本）：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10

# 添加仓库并安装
curl -fsSL https://pkg.cloudflareclient.com/pubkey.gpg | sudo gpg --yes --dearmor -o /usr/share/keyrings/cloudflare-warp-archive-keyring.gpg && \
echo "deb [signed-by=/usr/share/keyrings/cloudflare-warp-archive-keyring.gpg] https://pkg.cloudflareclient.com/ $(. /etc/os-release && echo $VERSION_CODENAME) main" | sudo tee /etc/apt/sources.list.d/cloudflare-client.list && \
sudo apt-get update -qq && sudo apt-get install -y -qq cloudflare-warp

# 启用 IP 转发（重要！）
echo 'net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.accept_ra = 2' | sudo tee /etc/sysctl.d/99-zzz-cloudflare-warp-connector.conf && \
sudo sysctl --system

注册并连接：

1
2

sudo warp-cli connector new <YOUR_TOKEN>   # Token 来自 Dashboard
sudo warp-cli connect

检查状态：

1

sudo warp-cli status

节点上线后，可在 Dashboard 的 Mesh 概览页看到其 Mesh IP 与 Online 状态。

连接客户端设备

Windows / macOS / Linux（桌面版）

• 下载并安装 Cloudflare One Client（https://developers.cloudflare.com/cloudflare-one/team-and-resources/devices/cloudflare-one-client/download/）。
• 打开客户端，选择 Zero Trust security。
• 输入 Team Name（通常是你的账号子域，如 yourteam.cloudflareaccess.com）。
• 完成登录认证并连接。
• 连接成功后，设备会获得 Mesh IP。

iOS / Android

• 下载 Cloudflare One Agent App。
• 打开 App，同意隐私政策，输入 Team Name 并登录。
• 安装 VPN Profile 并连接。

连接成功后，客户端即可通过 Mesh IP 访问其他节点或设备。

测试连通性

在客户端终端运行：

1

ping <其他设备的Mesh-IP>

亦可尝试 SSH、数据库连接、API 调用等，只要是 TCP、UDP、ICMP 均受支持。

添加子网路由（Routes）—— 访问整个内网

默认只能访问节点自身 IP。若要访问节点背后的服务器或数据库：

• 在 Dashboard Networking > Mesh 中选择对应节点。
• 切换到 Routes 标签页。
• 点击 Add route，输入 CIDR（如 10.0.0.0/24），可选填写描述。
• 保存。

注意

• 在节点和客户端的 Split Tunnel 配置中，确保该 CIDR 通过 Cloudflare 路由（推荐 Include 模式）。
• 子网设备需有返回路由指向 Mesh Node；若 Node 不是默认网关，需要在路由器上添加指向 Mesh IP 范围 100.96.0.0/12 的静态路由。

高级功能

• 高可用（HA）：为重要节点部署多个副本，实现故障切换。
• Workers / AI Agents 集成：通过 Workers VPC + Mesh，让运行在 Cloudflare 上的智能体安全访问私有资源。
• 安全策略：所有 Mesh 流量自动应用 Gateway 网络策略、设备态势检查等。
• 与 Tunnel 区别：Mesh 适合双向 IP 通信；Tunnel 适合单向发布服务。

常见问题排查

• 节点 Offline：运行 warp-cli connect，检查防火墙是否放行 Cloudflare WARP 端口或 IP，并查看日志。
• 无法 Ping Mesh IP：检查 Split Tunnel 配置，确保 100.96.0.0/12 走 Cloudflare。
• Windows 入站流量被阻：在 Windows 防火墙中允许来自 100.96.0.0/12 的流量。
• 子网返回流量问题：确保子网路由器有指向 Mesh Node 的静态路由。

资源与官方文档

• Get Started with Cloudflare Mesh
• Mesh 主页