Jak nastavit Hailbytes VPN pro vaše prostředí AWS
Úvod
V tomto článku se podíváme na to, jak nastavit HailBytes VPN ve vaší síti, jednoduchou a bezpečnou VPN a firewall pro vaši síť. Další podrobnosti a konkrétní specifikace naleznete v odkazované dokumentaci pro vývojáře zde.
PŘÍPRAVA
1. Požadavky na zdroje:
- Před rozšířením doporučujeme začít s 1 vCPU a 1 GB RAM.
- Pro nasazení založené na Omnibusu na serverech s méně než 1 GB paměti byste měli zapnout swap, abyste zabránili linuxovému jádru neočekávanému zabití procesů Firezone.
- 1 vCPU by mělo stačit k nasycení 1 Gbps spojení pro VPN.
2. Vytvořte DNS záznam: Firezone vyžaduje správný název domény pro produkční použití, např. firezone.company.com. Bude vyžadováno vytvoření vhodného záznamu DNS, jako je záznam A, CNAME nebo AAAA.
3. Nastavení SSL: K použití Firezone v produkční kapacitě budete potřebovat platný certifikát SSL. Firezone podporuje ACME pro automatické poskytování certifikátů SSL pro instalace založené na Dockeru a Omnibusu.
4. Otevřené porty brány firewall: Firezone používá porty 51820/udp a 443/tcp pro provoz HTTPS a WireGuard. Tyto porty můžete později změnit v konfiguračním souboru.
Nasadit na Docker (doporučeno)
1. Předpoklady:
- Ujistěte se, že jste na podporované platformě s nainstalovaným docker-compose verze 2 nebo vyšší.
- Ujistěte se, že je na bráně firewall povoleno přesměrování portů. Výchozí nastavení vyžaduje, aby byly otevřeny následující porty:
o 80/tcp (volitelné): Automatické vydávání certifikátů SSL
o 443/tcp: Přístup k webovému uživatelskému rozhraní
o 51820/udp: Port pro naslouchání provozu VPN
2. Instalace serveru Možnost I: Automatická instalace (doporučeno)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Před stažením ukázkového souboru docker-compose.yml se vás zeptá na několik otázek týkajících se počáteční konfigurace. Budete jej chtít nakonfigurovat pomocí svých odpovědí a vytisknout pokyny pro přístup k webovému uživatelskému rozhraní.
- Výchozí adresa Firezone: $HOME/.firezone.
2. Nainstalujte server Možnost II: Ruční instalace
- Stáhněte si šablonu pro vytvoření dockeru do místního pracovního adresáře
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS nebo Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Vygenerujte požadovaná tajemství: spuštění dockeru –rm firezone/firezone bin/gen-env > .env
- Změňte proměnné DEFAULT_ADMIN_EMAIL a EXTERNAL_URL. Podle potřeby upravte další tajemství.
- Migrujte databázi: docker compose spustit –rm firezone bin/migrate
- Vytvořte účet správce: docker compose run –rm firezone bin/create-or-reset-admin
- Vyvolejte služby: docker compose up -d
- Měli byste mít přístup k uživatelskému rozhraní Firezome prostřednictvím proměnné EXTERNAL_URL definované výše.
3. Povolit při spuštění (volitelné):
- Ujistěte se, že je Docker povolen při spuštění: sudo systemctl enable docker
- Služby Firezone by měly mít v souboru docker-compose.yml uvedenou možnost restart: always nebo restart: when-stoppped.
4. Povolte veřejné směrování IPv6 (volitelné):
- Chcete-li povolit IPv6 NAT a nakonfigurovat předávání IPv6 pro kontejnery Docker, přidejte následující do souboru /etc/docker/daemon.json.
- Povolte upozornění routeru při spouštění pro vaše výchozí výstupní rozhraní: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | řez -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Restartujte a otestujte pomocí příkazu ping na Google z kontejneru docker: docker run –rm -t busybox ping6 -c 4 google.com
- Není třeba přidávat žádná pravidla iptables, abyste povolili IPv6 SNAT/masquerading pro tunelovaný provoz. Firezone si s tím poradí.
5. Nainstalujte klientské aplikace
Nyní můžete do své sítě přidávat uživatele a konfigurovat pokyny pro vytvoření relace VPN.
Nastavení příspěvku
Gratulujeme, dokončili jste nastavení! Další konfigurace, bezpečnostní aspekty a pokročilé funkce naleznete v naší dokumentaci pro vývojáře: https://www.firezone.dev/docs/
