Sådan opsætter du Hailbytes VPN til dit AWS-miljø
Introduktion
I denne artikel vil vi gennemgå, hvordan du opsætter HailBytes VPN på dit netværk, en enkel og sikker VPN og firewall til dit netværk. Yderligere detaljer og specifikke specifikationer kan findes i vores udviklerdokumentation link..
Preparation (Forberedelse)
1. Ressourcekrav:
- Vi anbefaler at starte med 1 vCPU og 1 GB RAM, før du skalerer op.
- For Omnibus-baserede implementeringer på servere med mindre end 1 GB hukommelse, bør du slå swap til for at undgå, at Linux-kernen uventet dræber Firezone-processer.
- 1 vCPU burde være tilstrækkeligt til at mætte et 1 Gbps-link til VPN.
2. Opret DNS-record: Firezone kræver et korrekt domænenavn til produktionsbrug, f.eks. firezone.company.com. Det er nødvendigt at oprette en passende DNS-post som A, CNAME eller AAAA.
3. Konfigurer SSL: Du skal bruge et gyldigt SSL-certifikat for at bruge Firezone i en produktionskapacitet. Firezone understøtter ACME til automatisk levering af SSL-certifikater til Docker- og Omnibus-baserede installationer.
4. Åbne firewall-porte: Firezone bruger portene 51820/udp og 443/tcp til henholdsvis HTTPS- og WireGuard-trafik. Du kan ændre disse porte senere i konfigurationsfilen.
Implementer på Docker (anbefales)
1. Forudsætninger:
- Sørg for, at du er på en understøttet platform med docker-compose version 2 eller nyere installeret.
- Sørg for, at portvideresendelse er aktiveret på firewallen. Standarder kræver, at følgende porte er åbne:
o 80/tcp (valgfrit): Automatisk udstedelse af SSL-certifikater
o 443/tcp: Få adgang til web-UI
o 51820/udp: VPN-trafik lytteport
2. Installer servermulighed I: Automatisk installation (anbefales)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Det vil stille dig et par spørgsmål angående den indledende konfiguration, før du downloader en prøve docker-compose.yml fil. Du vil konfigurere det med dine svar og udskrive instruktioner til at få adgang til web-brugergrænsefladen.
- Firezone standardadresse: $HOME/.firezone.
2. Installer server Mulighed II: Manuel installation
- Download docker compose skabelonen til en lokal arbejdsmappe
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS eller Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Generer nødvendige hemmeligheder: docker run –rm firezone/firezone bin/gen-env > .env
- Skift variablerne DEFAULT_ADMIN_EMAIL og EXTERNAL_URL. Rediger andre hemmeligheder efter behov.
- Migrer databasen: docker compose run –rm firezone bin/migrer
- Opret en administratorkonto: docker compose run –rm firezone bin/create-or-reset-admin
- Bring tjenesterne op: docker compose up -d
- Du bør være i stand til at få adgang til Firezome UI gennem EXTERNAL_URL variabelen defineret ovenfor.
3. Aktiver ved opstart (valgfrit):
- Sørg for, at Docker er aktiveret ved opstart: sudo systemctl aktiver docker
- Firezone-tjenester bør have genstart: altid eller genstart: medmindre-stoppet mulighed angivet i filen docker-compose.yml.
4. Aktiver IPv6 offentlig routerbarhed (valgfrit):
- Tilføj følgende til /etc/docker/daemon.json for at aktivere IPv6 NAT og konfigurere IPv6-videresendelse til Docker-containere.
- Aktiver routermeddelelser ved opstart for din standard udgangsgrænseflade: egress=`ip-rute viser standard 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Genstart og test ved at pinge til Google fra docker-beholderen: docker run –rm -t busybox ping6 -c 4 google.com
- Ingen grund til at tilføje nogen iptables-regler for at aktivere IPv6 SNAT/maskering for tunneleret trafik. Firezone vil håndtere dette.
5. Installer klientapps
Du kan nu tilføje brugere til dit netværk og konfigurere instruktioner til at etablere en VPN-session.
Post opsætning
Tillykke, du har fuldført opsætningen! Du kan eventuelt tjekke vores udviklerdokumentation for yderligere konfigurationer, sikkerhedsovervejelser og avancerede funktioner: https://www.firezone.dev/docs/