Kā iestatīt Hailbytes VPN savai AWS videi
Ievads
Šajā rakstā mēs apskatīsim, kā jūsu tīklā iestatīt HailBytes VPN — vienkāršu un drošu VPN un ugunsmūri jūsu tīklam. Sīkāka informācija un specifiskas specifikācijas ir atrodamas mūsu izstrādātāja dokumentācijā, kas ir saistīta ar saiti šeit.
Sagatavošana
1. Resursu prasības:
- Pirms mērogošanas ieteicams sākt ar 1 vCPU un 1 GB RAM.
- Uz Omnibus balstītām izvietošanām serveros, kuru atmiņa ir mazāka par 1 GB, ir jāieslēdz mijmaiņas funkcija, lai izvairītos no tā, ka Linux kodols negaidīti iznīcina Firezone procesus.
- Ar 1 vCPU vajadzētu būt pietiekamam, lai piesātinātu 1 Gbps saiti VPN.
2. Izveidot DNS ierakstu: Firezone ražošanas lietošanai ir nepieciešams pareizs domēna nosaukums, piemēram, firezone.company.com. Būs nepieciešams izveidot atbilstošu DNS ierakstu, piemēram, A, CNAME vai AAAA ierakstu.
3. Iestatīt SSL: lai izmantotu Firezone ražošanas jaudā, būs nepieciešams derīgs SSL sertifikāts. Firezone atbalsta ACME automātiskai SSL sertifikātu nodrošināšanai uz Docker un Omnibus balstītām instalācijām.
4. Atvērtie ugunsmūra porti: Firezone izmanto portus 51820/udp un 443/tcp attiecīgi HTTPS un WireGuard trafikam. Šos portus varat mainīt vēlāk konfigurācijas failā.
Izvietot Docker (ieteicams)
1. Priekšnosacījumi:
- Pārliecinieties, vai izmantojat atbalstītu platformu, kurā ir instalēta 2. vai jaunāka docker-compose versija.
- Pārliecinieties, vai ugunsmūrī ir iespējota portu pāradresācija. Pēc noklusējuma ir jāatver šādi porti:
o 80/tcp (pēc izvēles): automātiska SSL sertifikātu izsniegšana
o 443/tcp: piekļūstiet tīmekļa lietotāja saskarnei
o 51820/udp: VPN trafika klausīšanās ports
2. Servera instalēšanas iespēja XNUMX: automātiskā instalēšana (ieteicams)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Pirms docker-compose.yml faila parauga lejupielādes tas uzdos jums dažus jautājumus par sākotnējo konfigurāciju. Jūs vēlaties to konfigurēt ar savām atbildēm un izdrukāt instrukcijas, lai piekļūtu tīmekļa lietotāja saskarnei.
- Firezone noklusējuma adrese: $HOME/.firezone.
2. Instalējiet serveri II iespēja: manuāla instalēšana
- Lejupielādējiet docker rakstīšanas veidni vietējā darba direktorijā
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS vai Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Ģenerējiet nepieciešamos noslēpumus: docker run –rm firezone/firezone bin/gen-env > .env
- Mainiet mainīgos DEFAULT_ADMIN_EMAIL un EXTERNAL_URL. Ja nepieciešams, mainiet citus noslēpumus.
- Migrējiet datu bāzi: docker compose run –rm firezone bin/migrate
- Izveidojiet administratora kontu: docker compose run –rm firezone bin/create-or-reset-admin
- Pakalpojumu izveide: docker compose up -d
- Jums vajadzētu būt iespējai piekļūt Firezome lietotāja saskarnei, izmantojot iepriekš definēto mainīgo EXTERNAL_URL.
3. Iespējot sāknēšanas laikā (neobligāti):
- Pārliecinieties, vai Docker ir iespējots startēšanas laikā: sudo systemctl enable docker
- Firezone pakalpojumiem ir jābūt restartētai: vienmēr vai restartēšanai: ja vien failā docker-compose.yml nav norādīta opcija-stopped.
4. Iespējojiet IPv6 publisko maršrutēšanu (neobligāti):
- Pievienojiet tālāk norādīto failu /etc/docker/daemon.json, lai iespējotu IPv6 NAT un konfigurētu IPv6 pārsūtīšanu Docker konteineriem.
- Iespējot maršrutētāja paziņojumus sāknēšanas laikā noklusējuma izejas interfeisam: egress=`ip maršruts rādīt noklusējuma vērtību 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d'' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Atsāknējiet un pārbaudiet, piesūtot ping uz Google no docker konteinera: docker run –rm -t busybox ping6 -c 4 google.com
- Nav nepieciešams pievienot iptables kārtulas, lai iespējotu IPv6 SNAT/masquerading tuneļu satiksmei. Firezone ar to tiks galā.
5. Instalējiet klienta lietotnes
Tagad savam tīklam varat pievienot lietotājus un konfigurēt norādījumus, lai izveidotu VPN sesiju.
Ziņas iestatīšana
Apsveicam! Jūs esat pabeidzis iestatīšanu! Varat skatīt mūsu izstrādātāja dokumentāciju, lai uzzinātu par papildu konfigurācijām, drošības apsvērumiem un papildu funkcijām: https://www.firezone.dev/docs/
