Ako nastaviť Hailbytes VPN pre vaše prostredie AWS
úvod
V tomto článku si prejdeme, ako nastaviť HailBytes VPN vo vašej sieti, jednoduchú a bezpečnú VPN a firewall pre vašu sieť. Ďalšie podrobnosti a špecifické špecifikácie nájdete v našej prepojenej dokumentácii pre vývojárov tu.
Príprava
1. Požiadavky na zdroje:
- Pred zväčšením odporúčame začať s 1 vCPU a 1 GB RAM.
- Pre nasadenia založené na Omnibuse na serveroch s menej ako 1 GB pamäte by ste mali zapnúť swap, aby ste predišli tomu, že jadro Linuxu neočakávane zabije procesy Firezone.
- 1 vCPU by malo postačovať na nasýtenie 1 Gbps spojenia pre VPN.
2. Vytvorenie DNS záznamu: Firezone vyžaduje na produkčné použitie správny názov domény, napr. firezone.company.com. Bude potrebné vytvoriť vhodný záznam DNS, ako je záznam A, CNAME alebo AAAA.
3. Nastavenie SSL: Na používanie Firezone v produkčnej kapacite budete potrebovať platný certifikát SSL. Firezone podporuje ACME na automatické poskytovanie certifikátov SSL pre inštalácie založené na Docker a Omnibus.
4. Otvorené porty brány firewall: Firezone používa porty 51820/udp a 443/tcp pre prenos HTTPS a WireGuard. Tieto porty môžete neskôr zmeniť v konfiguračnom súbore.
Nasadiť na Docker (odporúča sa)
1. Predpoklady:
- Uistite sa, že ste na podporovanej platforme s nainštalovaným docker-compose verzie 2 alebo vyššej.
- Skontrolujte, či je na bráne firewall povolené presmerovanie portov. Predvolené nastavenia vyžadujú, aby boli otvorené nasledujúce porty:
o 80/tcp (voliteľné): Automatické vydávanie certifikátov SSL
o 443/tcp: Prístup k webovému používateľskému rozhraniu
o 51820/udp: Port na počúvanie prevádzky VPN
2. Inštalácia servera Možnosť I: Automatická inštalácia (odporúča sa)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Pred stiahnutím vzorového súboru docker-compose.yml vám položí niekoľko otázok týkajúcich sa počiatočnej konfigurácie. Budete ho chcieť nakonfigurovať pomocou svojich odpovedí a vytlačiť pokyny na prístup k webovému používateľskému rozhraniu.
- Predvolená adresa Firezone: $HOME/.firezone.
2. Nainštalujte server Možnosť II: Manuálna inštalácia
- Stiahnite si šablónu zostavy docker do miestneho pracovného adresára
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS alebo Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Vygenerujte požadované tajomstvá: docker run –rm firezone/firezone bin/gen-env > .env
- Zmeňte premenné DEFAULT_ADMIN_EMAIL a EXTERNAL_URL. Podľa potreby upravte ďalšie tajomstvá.
- Migrujte databázu: docker compose spustite –rm firezone bin/migrate
- Vytvorte si účet správcu: docker compose run –rm firezone bin/create-or-reset-admin
- Vyvolajte služby: docker compose up -d
- Mali by ste mať prístup k používateľskému rozhraniu Firezome prostredníctvom premennej EXTERNAL_URL definovanej vyššie.
3. Povoliť pri zavádzaní (voliteľné):
- Uistite sa, že je Docker povolený pri spustení: sudo systemctl enable docker
- Služby Firezone by mali mať v súbore docker-compose.yml špecifikovanú možnosť reštart: vždy alebo reštart: bez zastavenia.
4. Povoliť verejné smerovanie IPv6 (voliteľné):
- Pridajte nasledujúce do súboru /etc/docker/daemon.json, aby ste povolili IPv6 NAT a nakonfigurovali presmerovanie IPv6 pre kontajnery Docker.
- Povoľte upozornenia smerovača pri zavádzaní vášho predvoleného výstupného rozhrania: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Reštartujte a otestujte pomocou príkazu ping na Google z kontajnera docker: docker run –rm -t busybox ping6 -c 4 google.com
- Nie je potrebné pridávať žiadne pravidlá iptables na povolenie IPv6 SNAT/masquerading pre tunelovanú prevádzku. Firezone to zvládne.
5. Nainštalujte klientske aplikácie
Teraz môžete do svojej siete pridať používateľov a nakonfigurovať pokyny na vytvorenie relácie VPN.
Nastavenie príspevku
Gratulujeme, dokončili ste nastavenie! Ďalšie konfigurácie, bezpečnostné aspekty a pokročilé funkcie nájdete v našej dokumentácii pre vývojárov: https://www.firezone.dev/docs/