Hoe om Hailbytes VPN vir u AWS-omgewing op te stel
Inleiding
In hierdie artikel gaan ons oor hoe om HailBytes VPN op u netwerk op te stel, 'n eenvoudige en veilige VPN en firewall vir u netwerk. Verdere besonderhede en spesifieke spesifikasies kan gevind word in ons ontwikkelaar dokumentasie gekoppel na hierdie skakel.
Voorbereiding
1. Hulpbronvereistes:
- Ons beveel aan om met 1 vCPU en 1 GB RAM te begin voordat u opskaal.
- Vir Omnibus-gebaseerde ontplooiings op bedieners met minder as 1 GB geheue, moet jy ruil aanskakel om te verhoed dat die Linux-kern Firezone-prosesse onverwags doodmaak.
- 1 vCPU behoort voldoende te wees om 'n 1 Gbps-skakel vir die VPN te versadig.
2. Skep DNS-rekord: Firezone vereis 'n behoorlike domeinnaam vir produksiegebruik, bv. firezone.company.com. Dit sal vereis word om 'n toepaslike DNS-rekord soos A, CNAME of AAAA-rekord te skep.
3. Stel SSL op: Jy sal 'n geldige SSL-sertifikaat nodig hê om Firezone in 'n produksiekapasiteit te gebruik. Firezone ondersteun ACME vir outomatiese voorsiening van SSL-sertifikate vir Docker- en Omnibus-gebaseerde installasies.
4. Oop firewall-poorte: Firezone gebruik poorte 51820/udp en 443/tcp vir onderskeidelik HTTPS- en WireGuard-verkeer. U kan hierdie poorte later in die konfigurasielêer verander.
Ontplooi op Docker (aanbeveel)
1. Voorvereistes:
- Maak seker jy is op 'n ondersteunde platform met docker-compose weergawe 2 of hoër geïnstalleer.
- Maak seker dat poortaanstuur op die firewall geaktiveer is. Standaarde vereis dat die volgende poorte oop moet wees:
o 80/tcp (opsioneel): Reik outomaties SSL-sertifikate uit
o 443/tcp: Toegang tot web-UI
o 51820/udp: VPN-verkeerluisterpoort
2. Installeer Bediener Opsie I: Outomatiese installasie (aanbeveel)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Dit sal jou 'n paar vrae vra oor aanvanklike konfigurasie voordat 'n voorbeeld docker-compose.yml-lêer afgelaai word. U sal dit met u antwoorde wil opstel en instruksies vir toegang tot die web-UI wil druk.
- Firezone verstek adres: $HOME/.firezone.
2. Installeer bediener Opsie II: Handmatige installasie
- Laai die docker compose-sjabloon af na 'n plaaslike werkgids
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS of Windows: krul -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Genereer vereiste geheime: docker run –rm firezone/firezone bin/gen-env > .env
- Verander die DEFAULT_ADMIN_EMAIL en EXTERNAL_URL veranderlikes. Verander ander geheime soos nodig.
- Migreer die databasis: docker compose run –rm firezone bin/migreer
- Skep 'n admin-rekening: docker compose run –rm firezone bin/create-or-reset-admin
- Bring die dienste op: docker compose up -d
- Jy behoort toegang tot die Firezome UI te kry deur die EXTERNAL_URL veranderlike hierbo gedefinieer.
3. Aktiveer tydens selflaai (opsioneel):
- Maak seker dat Docker geaktiveer is by opstart: sudo systemctl aktiveer docker
- Firezone-dienste moet die herbegin: altyd of herbegin: tensy-gestop-opsie hê wat in die docker-compose.yml-lêer gespesifiseer is.
4. Aktiveer IPv6 Publieke Roeterbaarheid (opsioneel):
- Voeg die volgende by /etc/docker/daemon.json om IPv6 NAT te aktiveer en IPv6-aanstuur vir Docker-houers op te stel.
- Aktiveer roeteerderkennisgewings tydens selflaai vir jou verstekuitgangskoppelvlak: egress=`ip-roete wys verstek 0.0.0.0/0 | grep -oP '(?<=dev ).*' | sny -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Herlaai en toets deur na Google te ping vanuit die docker-houer: docker run –rm -t busybox ping6 -c 4 google.com
- Dit is nie nodig om enige iptables-reëls by te voeg om IPv6 SNAT/maskering vir tonnelverkeer moontlik te maak nie. Firezone sal dit hanteer.
5. Installeer kliënttoepassings
U kan nou gebruikers by u netwerk voeg en instruksies opstel om 'n VPN-sessie te vestig.
Post-opstelling
Baie geluk, jy het die opstelling voltooi! Jy sal dalk ons ontwikkelaardokumentasie wil nagaan vir bykomende konfigurasies, sekuriteitsoorwegings en gevorderde kenmerke: https://www.firezone.dev/docs/