Kako postaviti Hailbytes VPN za vaše AWS okruženje
Uvod
U ovom članku ćemo govoriti o tome kako postaviti HailBytes VPN na vašoj mreži, jednostavan i siguran VPN i firewall za vašu mrežu. Više detalja i specifične specifikacije možete pronaći u našoj dokumentaciji za programere na poveznici OVDJE.
priprema
1. Zahtjevi za resurse:
- Preporučujemo da počnete s 1 vCPU i 1 GB RAM-a prije povećanja.
- Za implementacije zasnovane na Omnibusu na serverima s manje od 1 GB memorije, trebali biste uključiti swap kako biste izbjegli da Linux kernel neočekivano ubije Firezone procese.
- 1 vCPU bi trebao biti dovoljan za zasićenje veze od 1 Gbps za VPN.
2. Kreirajte DNS zapis: Firezone zahtijeva odgovarajuće ime domene za proizvodnu upotrebu, npr. firezone.company.com. Bit će potrebno kreiranje odgovarajućeg DNS zapisa poput A, CNAME ili AAAA zapisa.
3. Postavite SSL: Trebat će vam važeći SSL certifikat za korištenje Firezone u proizvodnom kapacitetu. Firezone podržava ACME za automatsko obezbjeđivanje SSL certifikata za Docker i Omnibus instalacije.
4. Otvoreni portovi zaštitnog zida: Firezone koristi portove 51820/udp i 443/tcp za HTTPS i WireGuard saobraćaj. Ove portove možete promijeniti kasnije u konfiguracijskoj datoteci.
Postavite na Docker (preporučeno)
1. Preduslovi:
- Provjerite jeste li na podržanoj platformi s instaliranom docker-compose verzijom 2 ili novijom.
- Provjerite je li prosljeđivanje portova omogućeno na zaštitnom zidu. Zadane postavke zahtijevaju da sljedeći portovi budu otvoreni:
o 80/tcp (opciono): Automatsko izdavanje SSL sertifikata
o 443/tcp: Pristupite web korisničkom sučelju
o 51820/udp: port za slušanje VPN prometa
2. Instalirajte server, opcija I: automatska instalacija (preporučeno)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Postavit će vam nekoliko pitanja u vezi s početnom konfiguracijom prije preuzimanja uzorka datoteke docker-compose.yml. Željećete da ga konfigurišete sa svojim odgovorima i odštampate uputstva za pristup veb korisničkom sučelju.
- Zadana adresa Firezone: $HOME/.firezone.
2. Instaliraj server Opcija II: Ručna instalacija
- Preuzmite docker compose predložak u lokalni radni direktorij
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS ili Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Generirajte potrebne tajne: docker run –rm firezone/firezone bin/gen-env > .env
- Promijenite varijable DEFAULT_ADMIN_EMAIL i EXTERNAL_URL. Izmijenite druge tajne po potrebi.
- Migrirajte bazu podataka: docker compose run –rm firezone bin/migrate
- Kreirajte administratorski račun: docker compose run –rm firezone bin/create-or-reset-admin
- Podignite usluge: docker compose up -d
- Trebali biste moći pristupiti Firezome korisničkom sučelju preko EXTERNAL_URL varijable definirane gore.
3. Omogući pri pokretanju (opciono):
- Uvjerite se da je Docker omogućen pri pokretanju: sudo systemctl omogući docker
- Firezone usluge bi trebale imati opciju restart: always ili restart: unless stopped specificiranu u datoteci docker-compose.yml.
4. Omogućite IPv6 javnu rutabilnost (opcionalno):
- Dodajte sljedeće u /etc/docker/daemon.json da omogućite IPv6 NAT i konfigurirate IPv6 prosljeđivanje za Docker kontejnere.
- Omogućite obavještenja rutera pri pokretanju za vaš podrazumevani izlazni interfejs: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | rez -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Ponovo pokrenite i testirajte pingom na Google iz docker kontejnera: docker run –rm -t busybox ping6 -c 4 google.com
- Nema potrebe za dodavanjem iptables pravila da biste omogućili IPv6 SNAT/maskiranje za tunelirani promet. Firezone će ovo riješiti.
5. Instalirajte klijentske aplikacije
Sada možete dodati korisnike u svoju mrežu i konfigurirati upute za uspostavljanje VPN sesije.
Post Setup
Čestitamo, završili ste postavljanje! Možda biste željeli provjeriti našu dokumentaciju za programere za dodatne konfiguracije, sigurnosna razmatranja i napredne funkcije: https://www.firezone.dev/docs/