Як наладзіць Hailbytes VPN для вашага асяроддзя AWS
Увядзенне
У гэтым артыкуле мы разгледзім, як наладзіць HailBytes VPN у вашай сетцы, просты і бяспечны VPN і брандмаўэр для вашай сеткі. Дадатковую інфармацыю і спецыфікацыі можна знайсці ў нашай дакументацыі для распрацоўшчыкаў па спасылках тут.
падрыхтоўка
1. Патрабаванні да рэсурсаў:
- Мы рэкамендуем пачынаць з 1 vCPU і 1 ГБ аператыўнай памяці перад павелічэннем.
- Для разгортвання на аснове Omnibus на серверах з менш чым 1 ГБ памяці вам варта ўключыць своп, каб пазбегнуць нечаканага спынення працэсаў Firezone ядром Linux.
- 1 vCPU павінна быць дастаткова, каб насыціць спасылку 1 Гбіт/с для VPN.
2. Стварыць запіс DNS: Firezone патрабуе належнага даменнага імя для выкарыстання ў вытворчасці, напрыклад firezone.company.com. Спатрэбіцца стварэнне адпаведнага запісу DNS, напрыклад запісу A, CNAME або AAAA.
3. Наладзьце SSL: вам спатрэбіцца сапраўдны сертыфікат SSL, каб выкарыстоўваць Firezone у вытворчых магутнасцях. Firezone падтрымлівае ACME для аўтаматычнага забеспячэння сертыфікатаў SSL для ўстаноўкі на аснове Docker і Omnibus.
4. Адкрытыя парты брандмаўэра: Firezone выкарыстоўвае парты 51820/udp і 443/tcp для трафіку HTTPS і WireGuard адпаведна. Вы можаце змяніць гэтыя парты пазней у файле канфігурацыі.
Разгарнуць на Docker (рэкамендуецца)
1. Перадумовы:
- Пераканайцеся, што вы карыстаецеся падтрымліваемай платформай з усталяванай версіяй docker-compose 2 або вышэй.
- Пераканайцеся, што пераадрасацыя партоў уключана на брандмаўэры. Па змаўчанні патрабуецца, каб былі адкрыты наступныя парты:
o 80/tcp (неабавязкова): аўтаматычная выдача сертыфікатаў SSL
o 443/tcp: доступ да вэб-інтэрфейсу
o 51820/udp: порт праслухоўвання трафіку VPN
2. Варыянт I ўстаноўкі сервера: аўтаматычная ўстаноўка (рэкамендуецца)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Ён задасць вам некалькі пытанняў адносна першапачатковай канфігурацыі перад загрузкай файла docker-compose.yml. Вы захочаце наладзіць яго з вашымі адказамі і раздрукаваць інструкцыі для доступу да вэб-інтэрфейсу.
- Адрас Firezone па змаўчанні: $HOME/.firezone.
2. Усталяваць сервер Варыянт II: Ручная ўстаноўка
- Спампуйце шаблон складання докераў у лакальны працоўны каталог
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS або Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Стварыце неабходныя сакрэты: docker run –rm firezone/firezone bin/gen-env > .env
- Змяніце зменныя DEFAULT_ADMIN_EMAIL і EXTERNAL_URL. Пры неабходнасці змяніце іншыя сакрэты.
- Перанос базы даных: docker compose run –rm firezone bin/migrate
- Стварыце ўліковы запіс адміністратара: docker compose run –rm firezone bin/create-or-reset-admin
- Адкрыйце паслугі: docker compose up -d
- Вы павінны мець доступ да інтэрфейсу Firezome праз зменную EXTERNAL_URL, вызначаную вышэй.
3. Уключыць пры загрузцы (неабавязкова):
- Пераканайцеся, што Docker уключаны пры запуску: sudo systemctl enable docker
- У службах Firezone у файле docker-compose.yml павінна быць указана опцыя restart: always або restart: unless-stopped.
4. Уключыце публічную маршрутызацыю IPv6 (неабавязкова):
- Дадайце наступнае ў /etc/docker/daemon.json, каб уключыць IPv6 NAT і наладзіць пераадрасацыю IPv6 для кантэйнераў Docker.
- Уключыць апавяшчэнні маршрутызатара пры загрузцы для выхаднога інтэрфейсу па змаўчанні: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev).*' | выразаць -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Перазагрузіце і праверце, адправіўшы ping у Google з кантэйнера докераў: docker run –rm -t busybox ping6 -c 4 google.com
- Няма неабходнасці дадаваць правілы iptables, каб уключыць IPv6 SNAT/маскіраванне для тунэляванага трафіку. Firezone справіцца з гэтым.
5. Усталюйце кліенцкія праграмы
Цяпер вы можаце дадаваць карыстальнікаў у сваю сетку і наладжваць інструкцыі для ўстанаўлення сеансу VPN.
Налада паведамлення
Віншуем, вы завяршылі наладку! Вы можаце праверыць нашу дакументацыю для распрацоўшчыкаў, каб даведацца пра дадатковыя канфігурацыі, меркаванні па бяспецы і дадатковыя функцыі: https://www.firezone.dev/docs/
