Kuinka määrittää Hailbytes VPN AWS-ympäristöäsi varten
esittely
Tässä artikkelissa käymme läpi, kuinka HailBytes VPN määritetään verkkoosi, yksinkertainen ja turvallinen VPN ja palomuuri verkkollesi. Lisätietoja ja erityiset tiedot löytyvät kehittäjädokumentaatiostamme, johon on linkki tätä.
Valmistelu
1. Resurssivaatimukset:
- Suosittelemme aloittamaan 1 vCPU:lla ja 1 Gt RAM-muistilla ennen skaalausta.
- Omnibus-pohjaisissa käyttöönottoissa palvelimilla, joissa on alle 1 Gt muistia, sinun tulee ottaa swap käyttöön, jotta Linux-ydin ei tuhoa Firezone-prosesseja odottamatta.
- 1 vCPU:n pitäisi riittää kyllästämään 1 Gbps:n linkki VPN:ää varten.
2. Luo DNS-tietue: Firezone vaatii oikean verkkotunnuksen tuotantokäyttöä varten, esim. firezone.company.com. Asianmukainen DNS-tietue, kuten A-, CNAME- tai AAAA-tietue, on luotava.
3. SSL:n määrittäminen: Tarvitset voimassa olevan SSL-sertifikaatin käyttääksesi Firezonea tuotantokapasiteetissa. Firezone tukee ACME:tä SSL-sertifikaattien automaattiseen provisiointiin Docker- ja Omnibus-pohjaisissa asennuksissa.
4. Avoimet palomuuriportit: Firezone käyttää portteja 51820/udp ja 443/tcp HTTPS- ja WireGuard-liikenteeseen. Voit muuttaa näitä portteja myöhemmin asetustiedostossa.
Ota käyttöön Dockerissa (suositus)
1. Edellytykset:
- Varmista, että käytät tuettua alustaa, johon on asennettu docker-compose-versio 2 tai uudempi.
- Varmista, että portin edelleenlähetys on käytössä palomuurissa. Oletusasetukset edellyttävät, että seuraavat portit ovat avoinna:
o 80/tcp (valinnainen): SSL-varmenteiden automaattinen myöntäminen
o 443/tcp: Pääsy verkkokäyttöliittymään
o 51820/udp: VPN-liikenteen kuunteluportti
2. Asenna palvelin -vaihtoehto I: Automaattinen asennus (suositus)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Se kysyy sinulta muutaman kysymyksen alkumäärityksestä ennen docker-compose.yml-mallitiedoston lataamista. Haluat määrittää sen vastauksillasi ja tulostaa ohjeet verkkokäyttöliittymän käyttämiseksi.
- Firezonen oletusosoite: $HOME/.firezone.
2. Asenna palvelin Vaihtoehto II: Manuaalinen asennus
- Lataa Dockerin kirjoitusmalli paikalliseen työhakemistoon
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS tai Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Luo vaaditut salaisuudet: docker run –rm firezone/firezone bin/gen-env > .env
- Muuta muuttujia DEFAULT_ADMIN_EMAIL ja EXTERNAL_URL. Muokkaa muita salaisuuksia tarpeen mukaan.
- Siirrä tietokanta: docker compose run –rm firezone bin/migrate
- Luo järjestelmänvalvojan tili: Docker compose run –rm firezone bin/create-or-reset-admin
- Tuo palvelut ylös: docker compose up -d
- Sinun pitäisi päästä Firezomen käyttöliittymään yllä määritellyn EXTERNAL_URL-muuttujan kautta.
3. Ota käyttöön käynnistyksen yhteydessä (valinnainen):
- Varmista, että Docker on käytössä käynnistettäessä: sudo systemctl enable docker
- Firezone-palveluissa tulee olla uudelleenkäynnistys: aina tai uudelleenkäynnistys: ellei docker-compose.yml-tiedostossa määritetty-stop-vaihtoehto ole määritetty.
4. Ota IPv6:n julkinen reititys käyttöön (valinnainen):
- Lisää seuraava tiedosto /etc/docker/daemon.json ottaaksesi IPv6 NAT:n käyttöön ja määrittääksesi IPv6-edelleenlähetyksen Docker-säilöille.
- Ota käyttöön reitittimen ilmoitukset käynnistyksen yhteydessä oletuslähtöliittymässäsi: egress=`ip-reitti näytä oletusarvo 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d" | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Käynnistä uudelleen ja testaa pingamalla Googleen Docker-säiliöstä: docker run –rm -t busybox ping6 -c 4 google.com
- Ei tarvitse lisätä iptables-sääntöjä IPv6 SNAT:n/naamioitumisen mahdollistamiseksi tunneloidussa liikenteessä. Firezone hoitaa tämän.
5. Asenna asiakassovellukset
Voit nyt lisätä käyttäjiä verkkoosi ja määrittää ohjeet VPN-istunnon luomiseksi.
Viestiasetukset
Onnittelut, olet suorittanut asennuksen! Haluat ehkä tarkistaa kehittäjien dokumentaatiosta lisäkonfiguraatiot, turvallisuusnäkökohdat ja lisäominaisuudet: https://www.firezone.dev/docs/
