Kako postaviti Hailbytes VPN za vaše AWS okruženje
Uvod
U ovom ćemo članku opisati kako postaviti HailBytes VPN na vašoj mreži, jednostavan i siguran VPN i vatrozid za vašu mrežu. Daljnje pojedinosti i specifične specifikacije mogu se pronaći u našoj dokumentaciji za razvojne programere s poveznicama ovdje.
Priprema
1. Zahtjevi za resurse:
- Preporučujemo da počnete s 1 vCPU-om i 1 GB RAM-a prije povećanja.
- Za implementacije koje se temelje na Omnibusu na poslužiteljima s manje od 1 GB memorije, trebali biste uključiti swap kako biste izbjegli da Linux kernel neočekivano prekine Firezone procese.
- 1 vCPU trebao bi biti dovoljan za zasićenje veze od 1 Gbps za VPN.
2. Stvorite DNS zapis: Firezone zahtijeva ispravan naziv domene za proizvodnu upotrebu, npr. firezone.company.com. Bit će potrebno stvaranje odgovarajućeg DNS zapisa kao što je A, CNAME ili AAAA zapis.
3. Postavite SSL: Trebat će vam važeći SSL certifikat za korištenje Firezone u proizvodnom kapacitetu. Firezone podržava ACME za automatsku dodjelu SSL certifikata za Docker i Omnibus instalacije.
4. Otvoreni portovi vatrozida: Firezone koristi portove 51820/udp i 443/tcp za HTTPS odnosno WireGuard promet. Ove priključke možete promijeniti kasnije u konfiguracijskoj datoteci.
Implementacija na Dockeru (preporučeno)
1. Preduvjeti:
- Provjerite jeste li na podržanoj platformi s instaliranom docker-compose verzijom 2 ili novijom.
- Provjerite je li prosljeđivanje priključka omogućeno na vatrozidu. Zadane postavke zahtijevaju da sljedeći priključci budu otvoreni:
o 80/tcp (izborno): Automatsko izdavanje SSL certifikata
o 443/tcp: Pristup web sučelju
o 51820/udp: port za slušanje VPN prometa
2. Instalacija poslužitelja Opcija I: Automatska instalacija (preporučeno)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Prije preuzimanja uzorka datoteke docker-compose.yml postavit će vam nekoliko pitanja o početnoj konfiguraciji. Htjet ćete ga konfigurirati svojim odgovorima i ispisati upute za pristup web sučelju.
- Firezone zadana adresa: $HOME/.firezone.
2. Instalirajte poslužitelj Opcija II: Ručna instalacija
- Preuzmite predložak za sastavljanje dockera u lokalni radni direktorij
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS ili Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Generirajte potrebne tajne: docker run –rm firezone/firezone bin/gen-env > .env
- Promijenite varijable DEFAULT_ADMIN_EMAIL i EXTERNAL_URL. Po potrebi izmijenite ostale tajne.
- Preseli bazu podataka: docker compose run –rm firezone bin/migrate
- Napravite administratorski račun: docker compose run –rm firezone bin/create-or-reset-admin
- Pokrenite usluge: docker compose up -d
- Trebali biste moći pristupiti korisničkom sučelju Firezomea putem varijable EXTERNAL_URL definirane gore.
3. Omogući prilikom pokretanja (izborno):
- Provjerite je li Docker omogućen pri pokretanju: sudo systemctl enable docker
- Usluge Firezone trebale bi imati opciju ponovno pokretanje: uvijek ili ponovno pokretanje: osim ako nije zaustavljeno u datoteci docker-compose.yml.
4. Omogućite IPv6 javnu mogućnost usmjeravanja (izborno):
- Dodajte sljedeće u /etc/docker/daemon.json kako biste omogućili IPv6 NAT i konfigurirali IPv6 prosljeđivanje za Docker spremnike.
- Omogućite obavijesti usmjerivača pri pokretanju za vaše zadano izlazno sučelje: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | rez -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Ponovno pokrenite i testirajte pingom Googleu iz docker spremnika: docker run –rm -t busybox ping6 -c 4 google.com
- Nema potrebe za dodavanjem iptables pravila za omogućavanje IPv6 SNAT/maskiranja za tunelirani promet. Firezone će to riješiti.
5. Instalirajte klijentske aplikacije
Sada možete dodati korisnike svojoj mreži i konfigurirati upute za uspostavljanje VPN sesije.
Nakon postavljanja
Čestitamo, dovršili ste postavljanje! Možda ćete htjeti provjeriti našu dokumentaciju za razvojne programere za dodatne konfiguracije, sigurnosna razmatranja i napredne značajke: https://www.firezone.dev/docs/