Como configurar Hailbytes VPN para o teu ambiente AWS
introdución
Neste artigo, explicaremos como configurar HailBytes VPN na túa rede, unha VPN sinxela e segura e un firewall para a túa rede. Podes atopar máis detalles e especificacións específicas na nosa documentación para desenvolvedores aquí.
Preparación
1. Requisitos dos recursos:
- Recomendamos comezar con 1 vCPU e 1 GB de RAM antes de ampliar.
- Para implementacións baseadas en Omnibus en servidores con menos de 1 GB de memoria, debes activar o intercambio para evitar que o núcleo de Linux mate inesperadamente os procesos de Firezone.
- 1 vCPU debería ser suficiente para saturar unha ligazón de 1 Gbps para a VPN.
2. Crear rexistro DNS: Firezone require un nome de dominio axeitado para o seu uso en produción, por exemplo, firezone.company.com. Será necesario crear un rexistro DNS adecuado como A, CNAME ou AAAA.
3. Configurar SSL: necesitarás un certificado SSL válido para usar Firezone nunha capacidade de produción. Firezone admite ACME para a subministración automática de certificados SSL para instalacións baseadas en Docker e Omnibus.
4. Portos de firewall abertos: Firezone usa os portos 51820/udp e 443/tcp para o tráfico HTTPS e WireGuard respectivamente. Podes cambiar estes portos máis tarde no ficheiro de configuración.
Implantar en Docker (recomendado)
1. Requisitos previos:
- Asegúrate de estar nunha plataforma compatible con docker-compose versión 2 ou superior instalada.
- Asegúrate de que o reenvío de portos estea activado no firewall. Os valores predeterminados requiren que estean abertos os seguintes portos:
o 80/tcp (opcional): Emisión automática de certificados SSL
o 443/tcp: acceder á IU web
o 51820/udp: porto de escoita de tráfico VPN
2. Instalar a opción de servidor I: instalación automática (recomendado)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Farache algunhas preguntas sobre a configuración inicial antes de descargar un ficheiro docker-compose.yml de mostra. Quererá configuralo coas súas respostas e imprimir instrucións para acceder á IU web.
- Enderezo predeterminado de Firezone: $HOME/.firezone.
2. Instalar servidor Opción II: Instalación manual
- Descarga o modelo de composición docker nun directorio de traballo local
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS ou Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Xera os segredos necesarios: docker run –rm firezone/firezone bin/gen-env > .env
- Cambia as variables DEFAULT_ADMIN_EMAIL e EXTERNAL_URL. Modifica outros segredos segundo sexa necesario.
- Migre a base de datos: docker compose run –rm firezone bin/migrate
- Crea unha conta de administrador: docker compose run –rm firezone bin/create-or-reset-admin
- Trae os servizos: docker compose up -d
- Deberías poder acceder á IU de Firezome a través da variable EXTERNAL_URL definida anteriormente.
3. Activar no arranque (opcional):
- Asegúrese de que Docker estea activado ao iniciar: sudo systemctl enable docker
- Os servizos de Firezone deberían ter a opción reiniciar: sempre ou reiniciar: unless-stop especificada no ficheiro docker-compose.yml.
4. Activar a enrutabilidade pública IPv6 (opcional):
- Engade o seguinte a /etc/docker/daemon.json para habilitar IPv6 NAT e configurar o reenvío IPv6 para contedores Docker.
- Activa as notificacións do enrutador ao arrancar para a túa interface de saída predeterminada: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cortar -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Reinicie e proba facendo ping a Google desde o contenedor docker: docker run –rm -t busybox ping6 -c 4 google.com
- Non é necesario engadir regras de iptables para activar o SNAT/masquerading de IPv6 para o tráfico tunelizado. Firezone xestionará isto.
5. Instala aplicacións cliente
Agora podes engadir usuarios á túa rede e configurar instrucións para establecer unha sesión VPN.
Posta configuración
Parabéns, completaches a configuración! Quizais queiras consultar a nosa documentación para desenvolvedores para coñecer configuracións adicionais, consideracións de seguranza e funcións avanzadas: https://www.firezone.dev/docs/