Πώς να ρυθμίσετε το Hailbytes VPN για το περιβάλλον AWS σας
Εισαγωγή
Σε αυτό το άρθρο, θα δούμε πώς να ρυθμίσετε το HailBytes VPN στο δίκτυό σας, ένα απλό και ασφαλές VPN και τείχος προστασίας για το δίκτυό σας. Περισσότερες λεπτομέρειες και συγκεκριμένες προδιαγραφές μπορείτε να βρείτε στην τεκμηρίωση προγραμματιστή που συνδέεται εδώ.
Προετοιμασία
1. Απαιτήσεις πόρων:
- Συνιστούμε να ξεκινήσετε με 1 vCPU και 1 GB μνήμης RAM πριν την κλιμάκωση.
- Για αναπτύξεις που βασίζονται σε Omnibus σε διακομιστές με λιγότερο από 1 GB μνήμης, θα πρέπει να ενεργοποιήσετε το swap για να αποφύγετε τον απροσδόκητο θάνατο του πυρήνα του Linux στις διεργασίες του Firezone.
- 1 vCPU θα πρέπει να επαρκεί για τον κορεσμό μιας σύνδεσης 1 Gbps για το VPN.
2. Δημιουργία εγγραφής DNS: Το Firezone απαιτεί ένα κατάλληλο όνομα τομέα για χρήση στην παραγωγή, π.χ. firezone.company.com. Απαιτείται η δημιουργία κατάλληλης εγγραφής DNS όπως εγγραφή A, CNAME ή AAAA.
3. Ρύθμιση SSL: Θα χρειαστείτε ένα έγκυρο πιστοποιητικό SSL για να χρησιμοποιήσετε το Firezone σε παραγωγική ικανότητα. Το Firezone υποστηρίζει το ACME για αυτόματη παροχή πιστοποιητικών SSL για εγκαταστάσεις που βασίζονται σε Docker και Omnibus.
4. Ανοιχτές θύρες τείχους προστασίας: Το Firezone χρησιμοποιεί τις θύρες 51820/udp και 443/tcp για την κυκλοφορία HTTPS και WireGuard αντίστοιχα. Μπορείτε να αλλάξετε αυτές τις θύρες αργότερα στο αρχείο διαμόρφωσης.
Ανάπτυξη στο Docker (Συνιστάται)
1. Προαπαιτούμενα:
- Βεβαιωθείτε ότι βρίσκεστε σε μια υποστηριζόμενη πλατφόρμα με εγκατεστημένη το docker-compose έκδοση 2 ή νεότερη.
- Βεβαιωθείτε ότι η προώθηση θύρας είναι ενεργοποιημένη στο τείχος προστασίας. Οι προεπιλογές απαιτούν να είναι ανοιχτές οι ακόλουθες θύρες:
o 80/tcp (προαιρετικό): Αυτόματη έκδοση πιστοποιητικών SSL
o 443/tcp: Πρόσβαση στη διεπαφή ιστού
o 51820/udp: Θύρα ακρόασης κίνησης VPN
2. Install Server Option I: Αυτόματη εγκατάσταση (Συνιστάται)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Θα σας κάνει μερικές ερωτήσεις σχετικά με την αρχική διαμόρφωση πριν από τη λήψη ενός δείγματος αρχείου docker-compose.yml. Θα θελήσετε να το διαμορφώσετε με τις απαντήσεις σας και να εκτυπώσετε οδηγίες για πρόσβαση στη διεπαφή χρήστη Web.
- Προεπιλεγμένη διεύθυνση Firezone: $HOME/.firezone.
2. Εγκατάσταση διακομιστή Επιλογή II: Χειροκίνητη εγκατάσταση
- Κάντε λήψη του προτύπου σύνθεσης docker σε έναν τοπικό κατάλογο εργασίας
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS ή Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Δημιουργήστε τα απαιτούμενα μυστικά: docker run –rm firezone/firezone bin/gen-env > .env
- Αλλάξτε τις μεταβλητές DEFAULT_ADMIN_EMAIL και EXTERNAL_URL. Τροποποιήστε άλλα μυστικά όπως χρειάζεται.
- Μεταφορά της βάσης δεδομένων: docker compose run –rm firezone bin/migrate
- Δημιουργία λογαριασμού διαχειριστή: docker compose run –rm firezone bin/create-or-reset-admin
- Ανεβάστε τις υπηρεσίες: docker compose up -d
- Θα πρέπει να έχετε πρόσβαση στη διεπαφή χρήστη Firezome μέσω της μεταβλητής EXTERNAL_URL που ορίζεται παραπάνω.
3. Ενεργοποίηση κατά την εκκίνηση (προαιρετικό):
- Βεβαιωθείτε ότι το Docker είναι ενεργοποιημένο κατά την εκκίνηση: sudo systemctl enable docker
- Οι υπηρεσίες Firezone θα πρέπει να έχουν την επανεκκίνηση: πάντα ή επανεκκίνηση: εκτός αν έχει διακοπεί η επιλογή που καθορίζεται στο αρχείο docker-compose.yml.
4. Ενεργοποιήστε τη δημόσια δρομολόγηση IPv6 (προαιρετικό):
- Προσθέστε τα ακόλουθα στο /etc/docker/daemon.json για να ενεργοποιήσετε το IPv6 NAT και να διαμορφώσετε την προώθηση IPv6 για κοντέινερ Docker.
- Ενεργοποίηση ειδοποιήσεων δρομολογητή κατά την εκκίνηση για την προεπιλεγμένη διεπαφή εξόδου: egress=` ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | αποκοπή -f1 -d' ' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Επανεκκινήστε και δοκιμάστε κάνοντας ping στο Google από το κοντέινερ docker: docker run –rm -t busybox ping6 -c 4 google.com
- Δεν χρειάζεται να προσθέσετε κανόνες iptables για να ενεργοποιήσετε το IPv6 SNAT/masquerading για κυκλοφορία με σήραγγες. Η Firezone θα το χειριστεί αυτό.
5. Εγκαταστήστε εφαρμογές πελάτη
Τώρα μπορείτε να προσθέσετε χρήστες στο δίκτυό σας και να διαμορφώσετε οδηγίες για τη δημιουργία μιας περιόδου λειτουργίας VPN.
Ρύθμιση ανάρτησης
Συγχαρητήρια, ολοκληρώσατε τη ρύθμιση! Ίσως θελήσετε να ελέγξετε την τεκμηρίωση προγραμματιστή μας για πρόσθετες διαμορφώσεις, ζητήματα ασφαλείας και προηγμένες λειτουργίες: https://www.firezone.dev/docs/
