A Hailbytes VPN beállítása az AWS-környezethez
Bevezetés
Ebben a cikkben áttekintjük, hogyan állíthat be hálózatán a HailBytes VPN-t, amely egy egyszerű és biztonságos VPN és tűzfal a hálózatához. További részletek és konkrét specifikációk a linkelt fejlesztői dokumentációnkban találhatók itt.
Előkészítés
1. Erőforrásigény:
- Javasoljuk, hogy a bővítés előtt kezdje 1 vCPU-val és 1 GB RAM-mal.
- Az 1 GB-nál kevesebb memóriával rendelkező kiszolgálókon Omnibus-alapú telepítések esetén be kell kapcsolnia a swap funkciót, hogy elkerülje a Linux-kernel váratlan leállítását a Firezone-folyamatokról.
- 1 vCPU-nak elegendőnek kell lennie egy 1 Gbps-os kapcsolat telítéséhez a VPN számára.
2. DNS-rekord létrehozása: A Firezone-nak megfelelő domain névre van szüksége az éles használatra, pl. firezone.company.com. Megfelelő DNS-rekord, például A, CNAME vagy AAAA rekord létrehozása szükséges.
3. SSL beállítása: A Firezone termelési kapacitásban való használatához érvényes SSL-tanúsítványra lesz szüksége. A Firezone támogatja az ACME-t az SSL-tanúsítványok automatikus kiépítéséhez Docker- és Omnibus-alapú telepítésekhez.
4. Nyitott tűzfalportok: A Firezone az 51820/udp és a 443/tcp portokat használja a HTTPS és a WireGuard forgalomhoz. Ezeket a portokat később módosíthatja a konfigurációs fájlban.
Telepítés a Dockeren (ajánlott)
1. Előfeltételek:
- Győződjön meg arról, hogy támogatott platformon van, amelyen a docker-compose 2-es vagy újabb verziója van telepítve.
- Győződjön meg arról, hogy a porttovábbítás engedélyezve van a tűzfalon. Az alapértelmezések megkövetelik, hogy a következő portok legyenek nyitva:
o 80/tcp (opcionális): SSL tanúsítványok automatikus kiadása
o 443/tcp: Hozzáférés a webes felhasználói felülethez
o 51820/udp: VPN forgalom figyelő port
2. Szerver telepítése I. lehetőség: Automatikus telepítés (ajánlott)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- A minta docker-compose.yml fájl letöltése előtt feltesz néhány kérdést a kezdeti konfigurációval kapcsolatban. Konfigurálnia kell a válaszaival, és ki kell nyomtatnia a webes felhasználói felület eléréséhez szükséges utasításokat.
- Firezone alapértelmezett címe: $HOME/.firezone.
2. Szerver telepítése II. lehetőség: Kézi telepítés
- Töltse le a docker-írási sablont egy helyi munkakönyvtárba
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS vagy Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- A szükséges titkok létrehozása: docker run –rm firezone/firezone bin/gen-env > .env
- Módosítsa a DEFAULT_ADMIN_EMAIL és az EXTERNAL_URL változókat. Szükség szerint módosítsa a többi titkot.
- Az adatbázis áttelepítése: docker compose run –rm firezone bin/migrate
- Adminisztrátori fiók létrehozása: docker compose run –rm firezone bin/create-or-reset-admin
- Hozd fel a szolgáltatásokat: docker compose up -d
- A Firezome felhasználói felületét a fent meghatározott EXTERNAL_URL változón keresztül kell elérnie.
3. Engedélyezze rendszerindításkor (opcionális):
- Győződjön meg arról, hogy a Docker engedélyezve van az indításkor: sudo systemctl enable docker
- A Firezone-szolgáltatások újraindítása: mindig vagy újraindítás: kivéve, ha a docker-compose.yml fájlban megadott-stop beállítással rendelkeznie kell.
4. Az IPv6 nyilvános útválasztásának engedélyezése (opcionális):
- Adja hozzá a következőket az /etc/docker/daemon.json fájlhoz az IPv6 NAT engedélyezéséhez és az IPv6 továbbítás konfigurálásához a Docker-tárolókhoz.
- A router értesítéseinek engedélyezése rendszerindításkor az alapértelmezett kilépési felületen: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Indítsa újra és tesztelje a Google-nak a docker-tárolón belüli pingelésével: docker run –rm -t busybox ping6 -c 4 google.com
- Nincs szükség iptables-szabályok hozzáadására az IPv6 SNAT/masquerading engedélyezéséhez az alagút forgalom számára. A Firezone megoldja ezt.
5. Telepítse az ügyfélalkalmazásokat
Mostantól felhasználókat vehet fel a hálózatába, és konfigurálhatja a VPN-munkamenet létrehozására vonatkozó utasításokat.
Hozzászólás beállítása
Gratulálunk, befejezte a beállítást! A további konfigurációkat, biztonsági szempontokat és speciális funkciókat a fejlesztői dokumentációban találhatja meg: https://www.firezone.dev/docs/