Како да поставите Hailbytes VPN за вашата околина AWS
Вовед
Во оваа статија, ќе разгледаме како да поставите HailBytes VPN на вашата мрежа, едноставен и безбеден VPN и заштитен ѕид за вашата мрежа. Дополнителни детали и специфични спецификации може да се најдат во нашата документација за развивачи поврзана овде.
Подготовка
1. Барања за ресурси:
- Препорачуваме да започнете со 1 vCPU и 1 GB RAM пред да се зголеми.
- За распоредувања базирани на Omnibus на сервери со помалку од 1 GB меморија, треба да вклучите swap за да избегнете неочекувано уништување на процесите на Firezone од кернелот Linux.
- 1 vCPU треба да биде доволен за да се засити врската од 1 Gbps за VPN.
2. Креирајте запис за DNS: Firezone бара соодветно име на домен за производствена употреба, на пр. firezone.company.com. Ќе биде потребно создавање соодветен запис за DNS како запис A, CNAME или AAAA.
3. Поставете SSL: ќе ви треба валиден SSL сертификат за да го користите Firezone во производствен капацитет. Firezone поддржува ACME за автоматско обезбедување на SSL сертификати за инсталации базирани на Docker и Omnibus.
4. Отворете порти за заштитен ѕид: Firezone користи порти 51820/udp и 443/tcp за сообраќај HTTPS и WireGuard соодветно. Можете да ги промените овие порти подоцна во конфигурациската датотека.
Распоредување на Docker (препорачано)
1. Предуслови:
- Осигурете се дека сте на поддржана платформа со инсталирана верзија 2 или понова верзија на docker-compose.
- Проверете дали е овозможено пренасочувањето на портата на заштитниот ѕид. Стандардно бара следниве порти да бидат отворени:
o 80/tcp (опционално): Автоматско издавање SSL сертификати
o 443/tcp: Пристапете до веб-интерфејсот
o 51820/udp: ВПН порта за слушање сообраќај
2. Инсталирај сервер Опција I: автоматска инсталација (препорачано)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Ќе ви постави неколку прашања во врска со почетната конфигурација пред да преземете примерок од датотеката docker-compose.yml. Ќе сакате да го конфигурирате со вашите одговори и да печатите упатства за пристап до веб-интерфејсот.
- Стандардна адреса на Firezone: $HOME/.firezone.
2. Инсталирајте го серверот Опција II: Рачна инсталација
- Преземете го шаблонот за составување на докер во локален работен директориум
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS или Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Генерирајте ги потребните тајни: docker run –rm firezone/firezone bin/gen-env > .env
- Променете ги променливите DEFAULT_ADMIN_EMAIL и EXTERNAL_URL. Променете ги другите тајни по потреба.
- Мигрирање на базата на податоци: docker compose run –rm firezone bin/migrate
- Креирај административна сметка: docker compose run –rm firezone bin/create-or-reset-admin
- Поставете ги услугите: докер состави -г
- Треба да можете да пристапите до Firezome UI преку променливата EXTERNAL_URL дефинирана погоре.
3. Овозможи при подигање (опционално):
- Осигурете се дека Docker е овозможен при стартување: sudo systemctl enable docker
- Услугите на Firezone треба да ја имаат опцијата за рестартирање: секогаш или рестартирајте: освен ако не се запре, наведена во датотеката docker-compose.yml.
4. Овозможете јавна рутализација на IPv6 (опционално):
- Додајте го следново во /etc/docker/daemon.json за да овозможите IPv6 NAT и да го конфигурирате проследувањето IPv6 за контејнерите на Docker.
- Овозможете известувања за рутер при подигнување за вашиот стандарден интерфејс за излез: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | сече -f1 -d' ' | tr -d '\n'` sudo bash -c „echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf“
- Рестартирајте и тестирајте со пинг до Google од докерскиот контејнер: docker run –rm -t busybox ping6 -c 4 google.com
- Нема потреба да додавате правила на iptables за да се овозможи IPv6 SNAT/маскирање за тунелиран сообраќај. Firezone ќе се справи со ова.
5. Инсталирајте клиентски апликации
Сега можете да додавате корисници во вашата мрежа и да конфигурирате инструкции за воспоставување VPN сесија.
Поставување пост
Честитки, го завршивте поставувањето! Можеби ќе сакате да ја проверите нашата документација за програмери за дополнителни конфигурации, безбедносни размислувања и напредни функции: https://www.firezone.dev/docs/