כיצד להגדיר Hailbytes VPN עבור סביבת ה-AWS שלך
מבוא
במאמר זה נעבור על איך להגדיר HailBytes VPN ברשת שלך, VPN פשוט ומאובטח וחומת אש לרשת שלך. פרטים נוספים ומפרטים ספציפיים ניתן למצוא בתיעוד המפתחים שלנו המקושר כאן.
הכנה
1. דרישות משאבים:
- אנו ממליצים להתחיל עם 1 vCPU ו-1 GB של זיכרון RAM לפני הגדלה.
- עבור פריסות מבוססות אומניבוס בשרתים עם פחות מ-1 GB של זיכרון, עליך להפעיל את ההחלפה כדי למנוע מליבת לינוקס להרוג באופן בלתי צפוי תהליכי Firezone.
- 1 vCPU אמור להספיק כדי להרוות קישור של 1 Gbps עבור ה-VPN.
2. צור רשומת DNS: Firezone דורש שם דומיין מתאים לשימוש בייצור, למשל firezone.company.com. תידרש יצירת רשומת DNS מתאימה כמו רשומת A, CNAME או AAAA.
3. הגדר SSL: תזדקק לאישור SSL חוקי כדי להשתמש ב-Firezone בכושר ייצור. Firezone תומך ב-ACME להקצאה אוטומטית של אישורי SSL עבור התקנות מבוססות Docker ואומניבוס.
4. יציאות חומת אש פתוחות: Firezone משתמש ביציאות 51820/udp ו-443/tcp עבור תעבורת HTTPS ו-WireGuard בהתאמה. אתה יכול לשנות את היציאות האלה מאוחר יותר בקובץ התצורה.
פריסה ב-Docker (מומלץ)
1. דרישות קדם:
- ודא שאתה נמצא בפלטפורמה נתמכת עם docker-compose גרסה 2 ומעלה מותקנת.
- ודא שהעברת יציאות מופעלת בחומת האש. ברירת המחדל דורשת שהיציאות הבאות יהיו פתוחות:
o 80/tcp (אופציונלי): הנפקה אוטומטית של תעודות SSL
o 443/tcp: גישה לממשק משתמש אינטרנט
o 51820/udp: יציאת האזנה לתעבורת VPN
2. התקן שרת אפשרות I: התקנה אוטומטית (מומלץ)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- זה ישאל אותך כמה שאלות לגבי תצורה ראשונית לפני הורדת קובץ docker-compose.yml לדוגמה. תרצה להגדיר אותו עם התגובות שלך, ולהדפיס הוראות לגישה לממשק המשתמש באינטרנט.
- כתובת ברירת המחדל של Firezone: $HOME/.firezone.
2. התקן שרת אפשרות II: התקנה ידנית
- הורד את תבנית docker compose לספריית עבודה מקומית
– לינוקס: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS או Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- צור סודות נדרשים: docker run –rm firezone/firezone bin/gen-env > .env
- שנה את המשתנים DEFAULT_ADMIN_EMAIL ו-EXTERNAL_URL. שנה סודות אחרים לפי הצורך.
- העבר את מסד הנתונים: docker compose run –rm firezone bin/mirate
- צור חשבון אדמין: docker compose run –rm firezone bin/create-or-reset-admin
- העלו את השירותים: docker compose up -d
- אתה אמור להיות מסוגל לגשת לממשק המשתמש של Firezome דרך המשתנה EXTERNAL_URL שהוגדר לעיל.
3. הפעל באתחול (אופציונלי):
- ודא ש- Docker מופעל בעת ההפעלה: sudo systemctl הפעל את docker
- לשירותי Firezone צריכה להיות אפשרות הפעלה מחדש: תמיד או הפעל מחדש: אלא אם כן-הפסקה שצוינה בקובץ docker-compose.yml.
4. אפשר ניתוב ציבורי של IPv6 (אופציונלי):
- הוסף את הדברים הבאים ל-/etc/docer/daemon.json כדי להפעיל IPv6 NAT ולהגדיר העברת IPv6 עבור קונטיינרים של Docker.
- אפשר הודעות נתב באתחול עבור ממשק היציאה המוגדר כברירת מחדל: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | חתך -f1 -d' ' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- אתחול ובדוק על ידי פינג לגוגל מתוך קונטיינר docker: docker run –rm -t busybox ping6 -c 4 google.com
- אין צורך להוסיף כללים של iptables כדי לאפשר IPv6 SNAT/מסווה לתעבורה במנהור. Firezone יטפל בזה.
5. התקן אפליקציות לקוח
כעת תוכל להוסיף משתמשים לרשת שלך ולהגדיר הוראות ליצירת הפעלת VPN.
הגדרת פוסט
מזל טוב, השלמת את ההגדרה! ייתכן שתרצה לעיין בתיעוד המפתחים שלנו לקבלת תצורות נוספות, שיקולי אבטחה ותכונות מתקדמות: https://www.firezone.dev/docs/
