Com configurar Hailbytes VPN per al vostre entorn AWS
introducció
En aquest article, explicarem com configurar HailBytes VPN a la vostra xarxa, una VPN i un tallafoc senzills i segurs per a la vostra xarxa. Podeu trobar més detalls i especificacions específiques a la nostra documentació per a desenvolupadors enllaçada aquí.
Preparació
1. Requisits de recursos:
- Us recomanem començar amb 1 vCPU i 1 GB de RAM abans d'ampliar-lo.
- Per a les implementacions basades en Òmnibus en servidors amb menys d'1 GB de memòria, hauríeu d'activar l'intercanvi per evitar que el nucli de Linux mate els processos de Firezone de manera inesperada.
- 1 vCPU hauria de ser suficient per saturar un enllaç d'1 Gbps per a la VPN.
2. Crea un registre DNS: Firezone requereix un nom de domini adequat per a l'ús de producció, per exemple, firezone.company.com. Caldrà crear un registre DNS adequat com ara un registre A, CNAME o AAAA.
3. Configurar SSL: necessitareu un certificat SSL vàlid per utilitzar Firezone en capacitat de producció. Firezone admet ACME per al subministrament automàtic de certificats SSL per a instal·lacions basades en Docker i Omnibus.
4. Ports de tallafoc oberts: Firezone utilitza els ports 51820/udp i 443/tcp per al trànsit HTTPS i WireGuard respectivament. Podeu canviar aquests ports més endavant al fitxer de configuració.
Desplega a Docker (recomanat)
1. Requisits previs:
- Assegureu-vos que esteu en una plataforma compatible amb docker-compose versió 2 o superior instal·lada.
- Assegureu-vos que el reenviament de ports estigui habilitat al tallafoc. Els valors predeterminats requereixen que estiguin oberts els ports següents:
o 80/tcp (opcional): emissió automàtica de certificats SSL
o 443/tcp: Accés a la interfície d'usuari web
o 51820/udp: port d'escolta de trànsit VPN
2. Instal·leu l'opció del servidor I: instal·lació automàtica (recomanat)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Us farà algunes preguntes sobre la configuració inicial abans de descarregar un fitxer de mostra docker-compose.yml. Voleu configurar-lo amb les vostres respostes i imprimir les instruccions per accedir a la interfície d'usuari web.
- Adreça predeterminada de Firezone: $HOME/.firezone.
2. Instal·leu el servidor Opció II: Instal·lació manual
- Baixeu la plantilla de redacció de Docker a un directori de treball local
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS o Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Genereu els secrets necessaris: docker run –rm firezone/firezone bin/gen-env > .env
- Canvieu les variables DEFAULT_ADMIN_EMAIL i EXTERNAL_URL. Modifiqueu altres secrets segons sigui necessari.
- Migra la base de dades: docker compose run –rm firezone bin/migrate
- Creeu un compte d'administrador: docker compose run –rm firezone bin/create-or-reset-admin
- Augmenta els serveis: docker compose up -d
- Hauríeu de poder accedir a la interfície d'usuari de Firezome mitjançant la variable EXTERNAL_URL definida anteriorment.
3. Habilita a l'arrencada (opcional):
- Assegureu-vos que Docker estigui habilitat a l'inici: sudo systemctl enable docker
- Els serveis de Firezone haurien de tenir l'opció reiniciar: sempre o reiniciar: unless-stop especificada al fitxer docker-compose.yml.
4. Activa l'encaminació pública IPv6 (opcional):
- Afegiu el següent a /etc/docker/daemon.json per habilitar IPv6 NAT i configurar el reenviament IPv6 per als contenidors Docker.
- Activeu les notificacions de l'encaminador a l'arrencada per a la vostra interfície de sortida predeterminada: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | tallar -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Reinicieu i proveu fent ping a Google des del contenidor docker: docker run –rm -t busybox ping6 -c 4 google.com
- No cal afegir cap regla d'iptables per habilitar SNAT/masquerading d'IPv6 per al trànsit tunelitzat. Firezone s'encarregarà d'això.
5. Instal·leu aplicacions client
Ara podeu afegir usuaris a la vostra xarxa i configurar instruccions per establir una sessió VPN.
Post Configuració
Enhorabona, has completat la configuració! És possible que vulgueu consultar la nostra documentació per a desenvolupadors per obtenir configuracions addicionals, consideracions de seguretat i funcions avançades: https://www.firezone.dev/docs/
