Si të konfiguroni Hailbytes VPN për mjedisin tuaj AWS
Prezantimi
Në këtë artikull, ne do të shqyrtojmë se si të konfiguroni HailBytes VPN në rrjetin tuaj, një VPN dhe mur zjarri i thjeshtë dhe i sigurt për rrjetin tuaj. Detaje të mëtejshme dhe specifikime specifike mund të gjenden në dokumentacionin tonë të zhvilluesit të lidhur këtu.
Përgatitje
1. Kërkesat për burime:
- Rekomandojmë të filloni me 1 vCPU dhe 1 GB RAM përpara se të përshkallëzoni.
- Për vendosjet e bazuara në Omnibus në serverë me më pak se 1 GB memorie, duhet të aktivizoni shkëmbimin për të shmangur kernelin Linux nga vrasja e papritur e proceseve të Firezone.
- 1 vCPU duhet të jetë e mjaftueshme për të ngopur një lidhje 1 Gbps për VPN.
2. Krijo regjistrim DNS: Firezone kërkon një emër domaini të duhur për përdorim në prodhim, p.sh. firezone.company.com. Do të kërkohet krijimi i një regjistrimi të përshtatshëm DNS si regjistrimi A, CNAME ose AAAA.
3. Konfiguro SSL: Do t'ju duhet një certifikatë e vlefshme SSL për të përdorur Firezone në një kapacitet prodhimi. Firezone mbështet ACME për sigurimin automatik të certifikatave SSL për instalimet e bazuara në Docker dhe Omnibus.
4. Hapni portet e murit të zjarrit: Firezone përdor portet 51820/udp dhe 443/tcp për trafikun HTTPS dhe WireGuard përkatësisht. Ju mund t'i ndryshoni këto porte më vonë në skedarin e konfigurimit.
Vendosja në Docker (rekomandohet)
1. Kushtet paraprake:
- Sigurohuni që jeni në një platformë të mbështetur me docker-compose version 2 ose më të lartë të instaluar.
- Sigurohuni që përcjellja e portit të jetë e aktivizuar në murin e zjarrit. Parazgjedhjet kërkojnë që portet e mëposhtme të jenë të hapura:
o 80/tcp (opsionale): Lëshimi automatik i certifikatave SSL
o 443/tcp: Hyni në ndërfaqen e uebit
o 51820/udp: porta e dëgjimit të trafikut VPN
2. Instaloni opsionin I të serverit: Instalimi automatik (rekomandohet)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Do t'ju bëjë disa pyetje në lidhje me konfigurimin fillestar përpara se të shkarkoni një skedar mostër docker-compose.yml. Ju do të dëshironi ta konfiguroni atë me përgjigjet tuaja dhe të printoni udhëzime për të hyrë në ndërfaqen e internetit të uebit.
- Adresa e paracaktuar e Firezone: $HOME/.firezone.
2. Instaloni Serverin Opsioni II: Instalimi manual
- Shkarkoni shabllonin e kompozimit të docker në një drejtori lokale pune
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS ose Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Gjeneroni sekretet e kërkuara: docker run –rm firezone/firezone bin/gen-env > .env
- Ndryshoni variablat DEFAULT_ADMIN_EMAIL dhe EXTERNAL_URL. Ndryshoni sekretet e tjera sipas nevojës.
- Migroni bazën e të dhënave: docker compose run –rm firezone bin/migrate
- Krijo një llogari administratori: docker compose run –rm firezone bin/create-or-reset-admin
- Ngrini shërbimet: docker kompozoj lart -d
- Ju duhet të jeni në gjendje të përdorni ndërfaqen e ndërfaqes së Firezome përmes ndryshores EXTERNAL_URL të përcaktuar më sipër.
3. Aktivizo në nisje (opsionale):
- Sigurohuni që Docker të jetë i aktivizuar në nisje: sudo systemctl aktivizoni dokerin
- Shërbimet e Firezone duhet të kenë rinisjen: gjithmonë ose rinisni: opsionin nëse nuk ndalohet të specifikuar në skedarin docker-compose.yml.
4. Aktivizo kalueshmërinë publike IPv6 (opsionale):
- Shto sa vijon te /etc/docker/daemon.json për të aktivizuar IPv6 NAT dhe për të konfiguruar përcjelljen IPv6 për kontejnerët Docker.
- Aktivizo njoftimet e ruterit në nisje për ndërfaqen tuaj të paracaktuar të daljes: egress=`ip route tregon default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | prerë -f1 -d' ' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Rinisni dhe provoni duke bërë ping te Google nga brenda kontejnerit docker: docker run –rm -t busybox ping6 -c 4 google.com
- Nuk ka nevojë të shtoni ndonjë rregull iptables për të aktivizuar IPv6 SNAT/masquerading për trafikun e tunelit. Firezone do ta trajtojë këtë.
5. Instaloni aplikacionet e klientit
Tani mund të shtoni përdorues në rrjetin tuaj dhe të konfiguroni udhëzimet për të krijuar një sesion VPN.
Vendosja e postimit
Urime, keni përfunduar konfigurimin! Ju mund të dëshironi të kontrolloni dokumentacionin tonë të zhvilluesit për konfigurime shtesë, konsiderata sigurie dhe veçori të avancuara: https://www.firezone.dev/docs/