Jak nastavit Hailbytes VPN pro vaše prostředí AWS

Úvod

V tomto článku se podíváme na to, jak nastavit HailBytes VPN ve vaší síti, jednoduchou a bezpečnou VPN a firewall pro vaši síť. Další podrobnosti a konkrétní specifikace naleznete v odkazované dokumentaci pro vývojáře zde.

Začněte nyní na AWS

PŘÍPRAVA

   1. Požadavky na zdroje:

  • Před rozšířením doporučujeme začít s 1 vCPU a 1 GB RAM.
  • Pro nasazení založené na Omnibusu na serverech s méně než 1 GB paměti byste měli zapnout swap, abyste zabránili linuxovému jádru neočekávanému zabití procesů Firezone.
  • 1 vCPU by mělo stačit k nasycení 1 Gbps spojení pro VPN.
 

   2.  Vytvořte DNS záznam: Firezone vyžaduje správný název domény pro produkční použití, např. firezone.company.com. Bude vyžadováno vytvoření vhodného záznamu DNS, jako je záznam A, CNAME nebo AAAA.

   3.  Nastavení SSL: K použití Firezone v produkční kapacitě budete potřebovat platný certifikát SSL. Firezone podporuje ACME pro automatické poskytování certifikátů SSL pro instalace založené na Dockeru a Omnibusu.

   4.  Otevřené porty brány firewall: Firezone používá porty 51820/udp a 443/tcp pro provoz HTTPS a WireGuard. Tyto porty můžete později změnit v konfiguračním souboru.

Nasadit na Docker (doporučeno)

   1. Předpoklady:

  • Ujistěte se, že jste na podporované platformě s nainstalovaným docker-compose verze 2 nebo vyšší.

 

  • Ujistěte se, že je na bráně firewall povoleno přesměrování portů. Výchozí nastavení vyžaduje, aby byly otevřeny následující porty:

         o 80/tcp (volitelné): Automatické vydávání certifikátů SSL

         o 443/tcp: Přístup k webovému uživatelskému rozhraní

         o 51820/udp: Port pro naslouchání provozu VPN

  2.  Instalace serveru Možnost I: Automatická instalace (doporučeno)

  • Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c

 

  • Před stažením ukázkového souboru docker-compose.yml se vás zeptá na několik otázek týkajících se počáteční konfigurace. Budete jej chtít nakonfigurovat pomocí svých odpovědí a vytisknout pokyny pro přístup k webovému uživatelskému rozhraní.

 

  • Výchozí adresa Firezone: $HOME/.firezone.
 

  2.  Nainstalujte server Možnost II: Ruční instalace

  • Stáhněte si šablonu pro vytvoření dockeru do místního pracovního adresáře

          – Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml

          – macOS nebo Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml

  • Vygenerujte požadovaná tajemství: spuštění dockeru –rm firezone/firezone bin/gen-env > .env

 

  • Změňte proměnné DEFAULT_ADMIN_EMAIL a EXTERNAL_URL. Podle potřeby upravte další tajemství.

 

  • Migrujte databázi: docker compose spustit –rm firezone bin/migrate

 

  • Vytvořte účet správce: docker compose run –rm firezone bin/create-or-reset-admin

 

  • Vyvolejte služby: docker compose up -d

 

  • Měli byste mít přístup k uživatelskému rozhraní Firezome prostřednictvím proměnné EXTERNAL_URL definované výše.
 

   3. Povolit při spuštění (volitelné):

  • Ujistěte se, že je Docker povolen při spuštění: sudo systemctl enable docker

 

  • Služby Firezone by měly mít v souboru docker-compose.yml uvedenou možnost restart: always nebo restart: when-stoppped.

   4. Povolte veřejné směrování IPv6 (volitelné):

  • Chcete-li povolit IPv6 NAT a nakonfigurovat předávání IPv6 pro kontejnery Docker, přidejte následující do souboru /etc/docker/daemon.json.

 

  • Povolte upozornění routeru při spouštění pro vaše výchozí výstupní rozhraní: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | řez -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”

 

  • Restartujte a otestujte pomocí příkazu ping na Google z kontejneru docker: docker run –rm -t busybox ping6 -c 4 google.com

 

  • Není třeba přidávat žádná pravidla iptables, abyste povolili IPv6 SNAT/masquerading pro tunelovaný provoz. Firezone si s tím poradí.
 

   5. Nainstalujte klientské aplikace

        Nyní můžete do své sítě přidávat uživatele a konfigurovat pokyny pro vytvoření relace VPN.

Nastavení příspěvku

Gratulujeme, dokončili jste nastavení! Další konfigurace, bezpečnostní aspekty a pokročilé funkce naleznete v naší dokumentaci pro vývojáře: https://www.firezone.dev/docs/

Přehled zpráv o kybernetické bezpečnosti s nejnovějšími aktualizacemi

Trojanizovaná kontrola přihlašovacích údajů WordPress ukradne 390,000 XNUMX přihlašovacích údajů, kritická zranitelnost odhalená v Microsoft Azure MFA: Váš souhrn kybernetické bezpečnosti

16. prosince 2024 Bez komentáře

Trojanizovaná kontrola přihlašovacích údajů WordPress ukradne 390,000 390,000 přihlašovacích údajů, kritická zranitelnost odhalena v Microsoft Azure MFA: Vaše shrnutí kybernetické bezpečnosti Trojanizovaná kontrola přihlašovacích údajů WordPress ukradne XNUMX XNUMX přihlašovacích údajů

Čtěte více »

Řešení

Partner AWS
AWS-Qualified-Software

Naše společnost

Naše adresa

Hailbytes

9511 Queens Guard Ct.

Laurel, MD 20723

Telefon: (732) 771-9995

E-mail: info@hailbytes.com

Zůstaňte informováni; zůstaňte v bezpečí!

Přihlaste se k odběru našeho týdenního zpravodaje

Získejte nejnovější zprávy o kybernetické bezpečnosti přímo do vaší schránky.