Slik konfigurerer du Hailbytes VPN for AWS-miljøet ditt
Introduksjon
I denne artikkelen skal vi gå gjennom hvordan du setter opp HailBytes VPN på nettverket ditt, en enkel og sikker VPN og brannmur for nettverket ditt. Ytterligere detaljer og spesifikke spesifikasjoner finner du i utviklerdokumentasjonen vår her..
Forberedelse
1. Ressurskrav:
- Vi anbefaler å starte med 1 vCPU og 1 GB RAM før du skalerer opp.
- For Omnibus-baserte distribusjoner på servere med mindre enn 1 GB minne, bør du slå på swap for å unngå at Linux-kjernen uventet dreper Firezone-prosesser.
- 1 vCPU bør være tilstrekkelig til å mette en 1 Gbps-kobling for VPN.
2. Opprett DNS-post: Firezone krever et riktig domenenavn for produksjonsbruk, f.eks. firezone.company.com. Det er nødvendig å opprette en passende DNS-post som A, CNAME eller AAAA.
3. Sett opp SSL: Du trenger et gyldig SSL-sertifikat for å bruke Firezone i en produksjonskapasitet. Firezone støtter ACME for automatisk levering av SSL-sertifikater for Docker- og Omnibus-baserte installasjoner.
4. Åpne brannmurporter: Firezone bruker portene 51820/udp og 443/tcp for henholdsvis HTTPS- og WireGuard-trafikk. Du kan endre disse portene senere i konfigurasjonsfilen.
Distribuer på Docker (anbefalt)
1. Forutsetninger:
- Sørg for at du er på en støttet plattform med docker-compose versjon 2 eller høyere installert.
- Sørg for at portvideresending er aktivert på brannmuren. Standarder krever at følgende porter er åpne:
o 80/tcp (valgfritt): Automatisk utstedelse av SSL-sertifikater
o 443/tcp: Få tilgang til web-UI
o 51820/udp: VPN-trafikklytteport
2. Installer serveralternativ I: Automatisk installasjon (anbefalt)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Den vil stille deg noen spørsmål angående innledende konfigurasjon før du laster ned et eksempel på en docker-compose.yml-fil. Du vil konfigurere den med svarene dine og skrive ut instruksjoner for tilgang til nettgrensesnittet.
- Firezone standardadresse: $HOME/.firezone.
2. Installer server Alternativ II: Manuell installasjon
- Last ned docker compose-malen til en lokal arbeidskatalog
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS eller Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Generer nødvendige hemmeligheter: docker run –rm firezone/firezone bin/gen-env > .env
- Endre variablene DEFAULT_ADMIN_EMAIL og EXTERNAL_URL. Endre andre hemmeligheter etter behov.
- Migrer databasen: docker compose run –rm firezone bin/migrer
- Opprett en administratorkonto: docker compose run –rm firezone bin/create-or-reset-admin
- Ta opp tjenestene: docker compose up -d
- Du bør kunne få tilgang til Firezome-grensesnittet gjennom EXTERNAL_URL-variabelen definert ovenfor.
3. Aktiver ved oppstart (valgfritt):
- Sørg for at Docker er aktivert ved oppstart: sudo systemctl aktiver docker
- Firezone-tjenester bør ha alternativet omstart: alltid eller omstart: med mindre-stoppet angitt i filen docker-compose.yml.
4. Aktiver IPv6 offentlig ruterbarhet (valgfritt):
- Legg til følgende i /etc/docker/daemon.json for å aktivere IPv6 NAT og konfigurere IPv6-videresending for Docker-beholdere.
- Aktiver rutervarsler ved oppstart for ditt standard utgangsgrensesnitt: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Start på nytt og test ved å pinge til Google fra docker-beholderen: docker run –rm -t busybox ping6 -c 4 google.com
- Du trenger ikke å legge til noen iptables-regler for å aktivere IPv6 SNAT/maskering for tunnelert trafikk. Firezone vil håndtere dette.
5. Installer klientapper
Du kan nå legge til brukere i nettverket ditt og konfigurere instruksjoner for å opprette en VPN-økt.
Post oppsett
Gratulerer, du har fullført oppsettet! Det kan være lurt å sjekke utviklerdokumentasjonen vår for ytterligere konfigurasjoner, sikkerhetshensyn og avanserte funksjoner: https://www.firezone.dev/docs/
