Sut i Sefydlu Hailbytes VPN ar gyfer Eich Amgylchedd AWS
Cyflwyniad
Yn yr erthygl hon, byddwn yn mynd dros sut i sefydlu HailBytes VPN ar eich rhwydwaith, VPN syml a diogel a wal dân ar gyfer eich rhwydwaith. Ceir rhagor o fanylion a manylebau penodol yn ein dogfennaeth datblygwr cysylltiedig yma.
Paratoi
1. Gofynion Adnoddau:
- Rydym yn argymell dechrau gydag 1 vCPU ac 1 GB o RAM cyn cynyddu.
- Ar gyfer gosodiadau seiliedig ar Omnibws ar weinyddion sydd â llai nag 1 GB o gof, dylech droi cyfnewid ymlaen i osgoi'r cnewyllyn Linux rhag lladd prosesau Firezone yn annisgwyl.
- Dylai 1 vCPU fod yn ddigon i ddirlawn dolen 1 Gbps ar gyfer y VPN.
2. Creu cofnod DNS: Mae Firezone angen enw parth cywir ar gyfer defnydd cynhyrchu, ee firezone.company.com. Bydd angen creu cofnod DNS priodol fel cofnod A, CNAME, neu AAAA.
3. Sefydlu SSL: Bydd angen tystysgrif SSL ddilys arnoch i ddefnyddio Firezone mewn capasiti cynhyrchu. Mae Firezone yn cefnogi ACME ar gyfer darparu tystysgrifau SSL yn awtomatig ar gyfer gosodiadau Docker ac Omnibws.
4. Porthladdoedd wal dân agored: Mae Firezone yn defnyddio porthladdoedd 51820 / udp a 443 / tcp ar gyfer traffig HTTPS a WireGuard yn y drefn honno. Gallwch newid y pyrth hyn yn ddiweddarach yn y ffeil ffurfweddu.
Defnyddio ar Docker (Argymhellir)
1. Rhagofynion:
- Sicrhewch eich bod ar blatfform â chymorth gyda fersiwn cyfansoddi docwr 2 neu uwch wedi'i osod.
- Sicrhewch fod anfon porthladd ymlaen wedi'i alluogi ar y wal dân. Mae rhagosodiadau yn ei gwneud yn ofynnol i'r porthladdoedd canlynol fod ar agor:
o 80/tcp (dewisol): Rhoi tystysgrifau SSL yn awtomatig
o 443/tcp: Mynediad UI gwe
o 51820/udp: porthladd gwrando traffig VPN
2. Gosod Gweinyddwr Opsiwn I: Gosod Awtomatig (Argymhellir)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Bydd yn gofyn ychydig o gwestiynau i chi ynghylch cyfluniad cychwynnol cyn lawrlwytho ffeil sampl docker-compose.yml. Byddwch am ei ffurfweddu gyda'ch ymatebion, ac argraffu cyfarwyddiadau ar gyfer cyrchu'r We UI.
- Cyfeiriad rhagosodedig Firezone: $HOME/.firezone.
2. Gosod Gweinydd Opsiwn II: Gosod â Llaw
- Lawrlwythwch y templed cyfansoddi docwr i gyfeiriadur gweithio lleol
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS neu Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Cynhyrchu cyfrinachau gofynnol: rhediad docwyr – parth tân rm/bin firezone/gen-env> .env
- Newidiwch y newidynnau DEFAULT_ADMIN_EMAIL ac EXTERNAL_URL. Addasu cyfrinachau eraill yn ôl yr angen.
- Mudo'r gronfa ddata: docker compose run –rm firezone bin/migrate
- Creu cyfrif gweinyddol: dociwr cyfansoddi rhediad –rm firezone bin/create-or-reset-admin
- Dewch â'r gwasanaethau i fyny: docker compose up -d
- Dylech allu cyrchu'r UI Firezome trwy'r newidyn EXTERNAL_URL a ddiffinnir uchod.
3. Galluogi ar gist (dewisol):
- Sicrhewch fod Docker wedi'i alluogi wrth gychwyn: sudo systemctl galluogi docwr
- Dylai gwasanaethau Firezone gael yr ailgychwyn: bob amser neu ailgychwyn: oni bai-stopio opsiwn a nodir yn y ffeil docker-compose.yml.
4. Galluogi IPv6 Llwybradwyedd Cyhoeddus (dewisol):
- Ychwanegwch y canlynol i /etc/docker/daemon.json i alluogi IPv6 NAT a ffurfweddu anfon IPv6 ar gyfer cynwysyddion Docker.
- Galluogi hysbysiadau llwybrydd ar y cychwyn ar gyfer eich rhyngwyneb egress diofyn: egress = `llwybr IP yn dangos rhagosodiad 0.0.0.0/0 | grep -oP '(?<=dev).*' | torri -f1 -d'' | tr -d '\n'` sudo bash -c "adlais net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Ailgychwyn a phrofi trwy pingio i Google o'r tu mewn i gynhwysydd docwr: rhediad docwr -rm -t busybox ping6 -c 4 google.com
- Nid oes angen ychwanegu unrhyw reolau iptables i alluogi IPv6 SNAT/masquerading ar gyfer traffig twnelu. Bydd Firezone yn delio â hyn.
5. Gosod apps cleient
Gallwch nawr ychwanegu defnyddwyr at eich rhwydwaith a ffurfweddu cyfarwyddiadau i sefydlu sesiwn VPN.
Gosod Post
Llongyfarchiadau, rydych chi wedi cwblhau'r gosodiad! Efallai y byddwch am wirio ein dogfennaeth datblygwr am ffurfweddiadau ychwanegol, ystyriaethau diogelwch, a nodweddion uwch: https://www.firezone.dev/docs/