Ինչպես կարգավորել Hailbytes VPN-ը ձեր AWS միջավայրի համար
ներածություն
Այս հոդվածում մենք կքննարկենք, թե ինչպես կարգավորել HailBytes VPN-ը ձեր ցանցում՝ պարզ և անվտանգ VPN և firewall ձեր ցանցի համար: Լրացուցիչ մանրամասները և կոնկրետ բնութագրերը կարելի է գտնել մեր մշակողի փաստաթղթերում, որոնք կցված են այստեղ.
Պատրաստում
1. Ռեսուրսների պահանջները.
- Խորհուրդ ենք տալիս սկսել 1 vCPU-ից և 1 ԳԲ օպերատիվ հիշողությունից՝ նախքան մեծացնելը:
- 1 ԳԲ-ից պակաս հիշողություն ունեցող սերվերների վրա Omnibus-ի վրա հիմնված տեղակայման համար դուք պետք է միացնեք փոխանակումը, որպեսզի խուսափեք Linux միջուկի անսպասելի սպանությունից Firezone գործընթացները:
- 1 vCPU-ն պետք է բավարար լինի VPN-ի 1 Գբիտ/վրկ կապը հագեցնելու համար:
2. Ստեղծեք DNS գրառում. Firezone-ն արտադրական օգտագործման համար պահանջում է պատշաճ տիրույթի անուն, օրինակ՝ firezone.company.com: Կպահանջվի ստեղծել համապատասխան DNS գրառում, ինչպիսիք են A, CNAME կամ AAAA գրառումը:
3. Ստեղծեք SSL-ը. Firezone-ն արտադրական հզորություններում օգտագործելու համար ձեզ անհրաժեշտ կլինի վավեր SSL վկայագիր: Firezone-ն աջակցում է ACME-ին Docker-ի և Omnibus-ի վրա հիմնված տեղակայումների համար SSL վկայագրերի ավտոմատ տրամադրման համար:
4. Բացեք firewall նավահանգիստները. Firezone-ն օգտագործում է 51820/udp և 443/tcp նավահանգիստները համապատասխանաբար HTTPS և WireGuard տրաֆիկի համար: Դուք կարող եք փոխել այս նավահանգիստները ավելի ուշ կազմաձևման ֆայլում:
Տեղադրել Docker-ում (Առաջարկվում է)
1. Նախադրյալներ.
- Համոզվեք, որ դուք գտնվում եք աջակցվող հարթակում, որտեղ տեղադրված է docker-compose տարբերակը 2 կամ ավելի բարձր:
- Համոզվեք, որ պորտի վերահասցեավորումը միացված է firewall-ում: Կանխադրվածները պահանջում են բացել հետևյալ նավահանգիստները.
o 80/tcp (ըստ ցանկության). SSL վկայագրերի ավտոմատ թողարկում
o 443/tcp. Մուտք գործեք վեբ միջերես
o 51820/udp՝ VPN երթևեկության լսման միացք
2. Տեղադրեք սերվերի տարբերակ I. ավտոմատ տեղադրում (խորհուրդ է տրվում)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Նախքան docker-compose.yml ֆայլի նմուշը ներբեռնելը, այն ձեզ մի քանի հարց կտա նախնական կազմաձևման վերաբերյալ: Դուք կցանկանաք կարգավորել այն ձեր պատասխաններով և տպել հրահանգներ՝ վեբ միջերես մուտք գործելու համար:
- Firezone լռելյայն հասցե՝ $HOME/.firezone:
2. Տեղադրեք սերվերը Տարբերակ II. Ձեռքով տեղադրում
- Ներբեռնեք docker compose ձևանմուշը տեղական աշխատանքային գրացուցակում
– Linux՝ curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS կամ Windows՝ curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Ստեղծեք պահանջվող գաղտնիքները՝ docker run –rm firezone/firezone bin/gen-env > .env
- Փոխեք DEFAULT_ADMIN_EMAIL և EXTERNAL_URL փոփոխականները: Անհրաժեշտության դեպքում փոփոխեք այլ գաղտնիքներ:
- Տեղափոխել տվյալների բազան. docker compose run –rm firezone bin/migrate
- Ստեղծեք ադմինիստրատորի հաշիվ. docker compose run –rm firezone bin/create-or-reset-admin
- Բարձրացրեք ծառայությունները. docker compose up -d
- Դուք պետք է կարողանաք մուտք գործել Firezome UI վերը սահմանված EXTERNAL_URL փոփոխականի միջոցով:
3. Միացնել բեռնման ժամանակ (ըստ ցանկության):
- Համոզվեք, որ Docker-ը միացված է գործարկման ժամանակ. sudo systemctl enable docker-ը
- Firezone-ի ծառայությունները պետք է ունենան վերագործարկում՝ միշտ կամ վերագործարկեք՝ մինչև docker-compose.yml ֆայլում նշված չդադարեցված տարբերակ:
4. Միացնել IPv6 հանրային երթուղղելիությունը (ըստ ցանկության):
- Ավելացրեք հետևյալը /etc/docker/daemon.json՝ IPv6 NAT-ը միացնելու և Docker կոնտեյներների համար IPv6 վերահասցեավորումը կարգավորելու համար:
- Միացնել երթուղիչի ծանուցումները boot-ում ձեր կանխադրված ելքի ինտերֆեյսի համար. egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c «echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf»
- Վերագործարկեք և փորձարկեք՝ ping-ով Google-ին docker կոնտեյներից. docker run –rm -t busybox ping6 -c 4 google.com
- Կարիք չկա ավելացնել iptables-ի որևէ կանոն՝ IPv6 SNAT/maquerading-ը թունելի տրաֆիկի համար միացնելու համար: Firezone-ը կզբաղվի դրանով:
5. Տեղադրեք հաճախորդի հավելվածները
Այժմ կարող եք օգտվողներ ավելացնել ձեր ցանցին և կարգավորել հրահանգներ՝ VPN սեսիա ստեղծելու համար:
Գրառման կարգավորում
Շնորհավորում ենք, դուք ավարտել եք կարգավորումը: Դուք կարող եք ստուգել մեր մշակողի փաստաթղթերը լրացուցիչ կոնֆիգուրացիաների, անվտանգության նկատառումների և առաջադեմ գործառույթների համար՝ https://www.firezone.dev/docs/