Kako nastaviti Hailbytes VPN za vaše okolje AWS
Predstavitev
V tem članku bomo preučili, kako nastaviti HailBytes VPN v vašem omrežju, preprost in varen VPN in požarni zid za vaše omrežje. Dodatne podrobnosti in posebne specifikacije najdete v naši dokumentaciji za razvijalce, ki je povezana tukaj.
Priprava
1. Zahteve glede virov:
- Priporočamo, da začnete z 1 vCPU in 1 GB RAM-a, preden povečate.
- Za uvedbe, ki temeljijo na Omnibusu, na strežnikih z manj kot 1 GB pomnilnika morate vklopiti zamenjavo, da preprečite, da bi jedro Linuxa nepričakovano uničilo procese Firezone.
- 1 vCPE bi moral zadostovati za nasičenje povezave 1 Gbps za VPN.
2. Ustvari DNS zapis: Firezone zahteva pravilno ime domene za produkcijsko uporabo, npr. firezone.company.com. Zahtevano bo ustvarjanje ustreznega zapisa DNS, kot je zapis A, CNAME ali AAAA.
3. Nastavite SSL: Za uporabo Firezone v produkcijski zmogljivosti boste potrebovali veljavno potrdilo SSL. Firezone podpira ACME za samodejno zagotavljanje potrdil SSL za namestitve, ki temeljijo na Docker in Omnibus.
4. Odprta vrata požarnega zidu: Firezone uporablja vrata 51820/udp in 443/tcp za promet HTTPS oziroma WireGuard. Ta vrata lahko pozneje spremenite v konfiguracijski datoteki.
Razmesti na Dockerju (priporočeno)
1. Predpogoji:
- Prepričajte se, da uporabljate podprto platformo z nameščeno različico docker-compose 2 ali novejšo.
- Prepričajte se, da je na požarnem zidu omogočeno posredovanje vrat. Privzete nastavitve zahtevajo, da so odprta naslednja vrata:
o 80/tcp (neobvezno): samodejno izdajanje SSL potrdil
o 443/tcp: spletni uporabniški vmesnik za dostop
o 51820/udp: vrata za poslušanje prometa VPN
2. Namestitev strežnika, možnost I: samodejna namestitev (priporočeno)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Pred prenosom vzorčne datoteke docker-compose.yml vam bo zastavil nekaj vprašanj glede začetne konfiguracije. Konfigurirajte ga s svojimi odgovori in natisnite navodila za dostop do spletnega uporabniškega vmesnika.
- Privzeti naslov Firezone: $HOME/.firezone.
2. Namestite strežnik Možnost II: Ročna namestitev
- Prenesite predlogo za sestavljanje dockerja v lokalni delovni imenik
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS ali Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Ustvari zahtevane skrivnosti: docker run –rm firezone/firezone bin/gen-env > .env
- Spremenite spremenljivki DEFAULT_ADMIN_EMAIL in EXTERNAL_URL. Po potrebi spremenite druge skrivnosti.
- Preseli bazo podatkov: docker compose run –rm firezone bin/migrate
- Ustvarite skrbniški račun: docker compose run –rm firezone bin/create-or-reset-admin
- Prikličite storitve: docker compose up -d
- Do uporabniškega vmesnika Firezome bi morali imeti dostop prek zgoraj definirane spremenljivke EXTERNAL_URL.
3. Omogoči ob zagonu (izbirno):
- Zagotovite, da je Docker omogočen ob zagonu: sudo systemctl enable docker
- Storitve Firezone bi morale imeti v datoteki docker-compose.yml določeno možnost ponovni zagon: vedno ali ponovni zagon: razen ustavljenega.
4. Omogočite javno usmerjanje IPv6 (neobvezno):
- Dodajte naslednje v /etc/docker/daemon.json, da omogočite IPv6 NAT in konfigurirate posredovanje IPv6 za vsebnike Docker.
- Omogoči obvestila usmerjevalnika ob zagonu za vaš privzeti izhodni vmesnik: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Znova zaženite in preizkusite s pinganjem Googlu iz vsebnika docker: docker run –rm -t busybox ping6 -c 4 google.com
- Ni vam treba dodati nobenih pravil iptables, da omogočite IPv6 SNAT/masquerading za promet v tunelih. Firezone bo poskrbel za to.
5. Namestite odjemalske aplikacije
Zdaj lahko dodate uporabnike v svoje omrežje in konfigurirate navodila za vzpostavitev seje VPN.
Post Setup
Čestitamo, dokončali ste nastavitev! Morda boste želeli preveriti našo dokumentacijo za razvijalce za dodatne konfiguracije, varnostne vidike in napredne funkcije: https://www.firezone.dev/docs/
