Cum să configurați Hailbytes VPN pentru mediul dvs. AWS

Introducere

În acest articol, vom analiza cum să configurați HailBytes VPN în rețeaua dvs., un VPN simplu și sigur și un firewall pentru rețeaua dvs. Mai multe detalii și specificații specifice pot fi găsite în documentația noastră pentru dezvoltatori aici.

Începeți acum pe AWS

Pregătire

   1. Cerințe de resurse:

  • Vă recomandăm să începeți cu 1 vCPU și 1 GB de RAM înainte de scalare.
  • Pentru implementările bazate pe Omnibus pe servere cu mai puțin de 1 GB de memorie, ar trebui să activați schimbarea pentru a evita ca nucleul Linux să distrugă în mod neașteptat procesele Firezone.
  • 1 vCPU ar trebui să fie suficient pentru a satura o legătură de 1 Gbps pentru VPN.
 

   2.  Creați înregistrarea DNS: Firezone necesită un nume de domeniu adecvat pentru utilizare în producție, de exemplu firezone.company.com. Va fi necesară crearea unei înregistrări DNS corespunzătoare, cum ar fi înregistrarea A, CNAME sau AAAA.

   3.  Configurați SSL: veți avea nevoie de un certificat SSL valid pentru a utiliza Firezone într-o capacitate de producție. Firezone acceptă ACME pentru furnizarea automată a certificatelor SSL pentru instalațiile bazate pe Docker și Omnibus.

   4.  Deschideți porturi de firewall: Firezone utilizează porturile 51820/udp și 443/tcp pentru traficul HTTPS și, respectiv, WireGuard. Puteți modifica aceste porturi mai târziu în fișierul de configurare.

Implementați pe Docker (recomandat)

   1. Cerințe preliminare:

  • Asigurați-vă că vă aflați pe o platformă acceptată cu docker-compose versiunea 2 sau o versiune superioară instalată.

 

  • Asigurați-vă că redirecționarea portului este activată pe firewall. Valorile implicite necesită ca următoarele porturi să fie deschise:

         o 80/tcp (opțional): Emiterea automată a certificatelor SSL

         o 443/tcp: accesați interfața de utilizare web

         o 51820/udp: port de ascultare a traficului VPN

  2.  Instalați serverul Opțiunea I: Instalare automată (recomandat)

  • Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c

 

  • Vă va pune câteva întrebări cu privire la configurația inițială înainte de a descărca un exemplu de fișier docker-compose.yml. Veți dori să îl configurați cu răspunsurile dvs. și să imprimați instrucțiuni pentru accesarea interfeței de utilizare web.

 

  • Adresă implicită Firezone: $HOME/.firezone.
 

  2.  Instalați serverul Opțiunea II: Instalare manuală

  • Descărcați șablonul de scriere docker într-un director de lucru local

          – Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml

          – macOS sau Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml

  • Generați secretele necesare: docker run –rm firezone/firezone bin/gen-env > .env

 

  • Modificați variabilele DEFAULT_ADMIN_EMAIL și EXTERNAL_URL. Modificați alte secrete după cum este necesar.

 

  • Migrați baza de date: docker compose run –rm firezone bin/migrate

 

  • Creați un cont de administrator: docker compose run –rm firezone bin/create-or-reset-admin

 

  • Aduceți serviciile: docker compose up -d

 

  • Ar trebui să puteți accesa interfața de utilizare Firezome prin variabila EXTERNAL_URL definită mai sus.
 

   3. Activați la pornire (opțional):

  • Asigurați-vă că Docker este activat la pornire: sudo systemctl enable docker

 

  • Serviciile Firezone ar trebui să aibă opțiunea restart: always sau restart: unless-stop specificată în fișierul docker-compose.yml.

   4. Activați rutabilitatea publică IPv6 (opțional):

  • Adăugați următoarele în /etc/docker/daemon.json pentru a activa IPv6 NAT și configurați redirecționarea IPv6 pentru containerele Docker.

 

  • Activați notificările routerului la pornire pentru interfața implicită de ieșire: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c „echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”

 

  • Reporniți și testați prin ping la Google din containerul docker: docker run –rm -t busybox ping6 -c 4 google.com

 

  • Nu este nevoie să adăugați reguli iptables pentru a activa SNAT/masquerading IPv6 pentru traficul tunelizat. Firezone se va ocupa de asta.
 

   5. Instalați aplicații client

        Acum puteți adăuga utilizatori în rețeaua dvs. și puteți configura instrucțiuni pentru a stabili o sesiune VPN.

Post Configurare

Felicitări, ați finalizat configurarea! Poate doriți să verificați documentația noastră pentru dezvoltatori pentru configurații suplimentare, considerente de securitate și funcții avansate: https://www.firezone.dev/docs/

Servicii

Compania noastra

Adresa noastră

Hailbytes

9511 Queens Guard Ct.

Laurel, MD 20723

Telefon: (732) 771-9995

E-mail: info@hailbytes.com

soluţii

Întrebări frecvente privind securitatea

Social Media