Cara Menyediakan VPN Hailbytes untuk Persekitaran AWS Anda
Pengenalan
Dalam artikel ini, kami akan membincangkan cara menyediakan VPN HailBytes pada rangkaian anda, VPN dan tembok api yang mudah dan selamat untuk rangkaian anda. Butiran lanjut dan spesifikasi khusus boleh didapati dalam dokumentasi pembangun kami yang dipautkan disini.
Persediaan
1. Keperluan Sumber:
- Kami mengesyorkan bermula dengan 1 vCPU dan 1 GB RAM sebelum meningkatkan.
- Untuk penempatan berasaskan Omnibus pada pelayan dengan memori kurang daripada 1 GB, anda harus menghidupkan swap untuk mengelakkan kernel Linux daripada membunuh proses Firezone secara tidak dijangka.
- 1 vCPU sepatutnya mencukupi untuk memenuhi pautan 1 Gbps untuk VPN.
2. Cipta rekod DNS: Firezone memerlukan nama domain yang sesuai untuk kegunaan pengeluaran, cth firezone.company.com. Membuat rekod DNS yang sesuai seperti rekod A, CNAME atau AAAA akan diperlukan.
3. Sediakan SSL: Anda memerlukan sijil SSL yang sah untuk menggunakan Firezone dalam kapasiti pengeluaran. Firezone menyokong ACME untuk peruntukan automatik sijil SSL untuk pemasangan berasaskan Docker dan Omnibus.
4. Buka port tembok api: Firezone menggunakan port 51820/udp dan 443/tcp untuk trafik HTTPS dan WireGuard masing-masing. Anda boleh menukar port ini kemudian dalam fail konfigurasi.
Gunakan pada Docker (Disyorkan)
1. Prasyarat:
- Pastikan anda berada pada platform yang disokong dengan docker-compose versi 2 atau lebih tinggi dipasang.
- Pastikan pemajuan port didayakan pada tembok api. Lalai memerlukan port berikut dibuka:
o 80/tcp (pilihan): Mengeluarkan sijil SSL secara automatik
o 443/tcp: Akses UI web
o 51820/udp: Port mendengar trafik VPN
2. Pasang Pelayan Pilihan I: Pemasangan Automatik (Disyorkan)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Ia akan bertanya kepada anda beberapa soalan mengenai konfigurasi awal sebelum memuat turun sampel fail docker-compose.yml. Anda akan mahu mengkonfigurasinya dengan respons anda dan mencetak arahan untuk mengakses UI Web.
- Alamat lalai Firezone: $HOME/.firezone.
2. Pasang Pelayan Pilihan II: Pemasangan Manual
- Muat turun templat karang docker ke direktori kerja tempatan
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS atau Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Hasilkan rahsia yang diperlukan: docker run –rm firezone/firezone bin/gen-env > .env
- Tukar pembolehubah DEFAULT_ADMIN_EMAIL dan EXTERNAL_URL. Ubah suai rahsia lain mengikut keperluan.
- Pindahkan pangkalan data: docker compose run –rm firezone bin/migrate
- Buat akaun pentadbir: docker compose run –rm firezone bin/create-or-reset-admin
- Bawa perkhidmatan: docker compose up -d
- Anda sepatutnya boleh mengakses UI Firezome melalui pembolehubah EXTERNAL_URL yang ditakrifkan di atas.
3. Dayakan semasa but (pilihan):
- Pastikan Docker didayakan semasa permulaan: sudo systemctl enable docker
- Perkhidmatan Firezone harus mempunyai pilihan mulakan semula: sentiasa atau mulakan semula: melainkan pilihan dihentikan dalam fail docker-compose.yml.
4. Dayakan Kebolehhalaan Awam IPv6 (pilihan):
- Tambahkan yang berikut pada /etc/docker/daemon.json untuk mendayakan IPv6 NAT dan konfigurasikan pemajuan IPv6 untuk bekas Docker.
- Dayakan pemberitahuan penghala semasa but untuk antara muka jalan keluar lalai anda: egress=`ip laluan tunjukkan lalai 0.0.0.0/0 | grep -oP '(?<=dev ).*' | potong -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- But semula dan uji dengan ping ke Google dari dalam bekas docker: docker run –rm -t busybox ping6 -c 4 google.com
- Tidak perlu menambah sebarang peraturan iptables untuk membolehkan IPv6 SNAT/menyamar untuk trafik terowong. Firezone akan mengendalikan perkara ini.
5. Pasang apl pelanggan
Anda kini boleh menambah pengguna pada rangkaian anda dan mengkonfigurasi arahan untuk mewujudkan sesi VPN.
Persediaan Pos
Tahniah, anda telah menyelesaikan persediaan! Anda mungkin ingin menyemak dokumentasi pembangun kami untuk konfigurasi tambahan, pertimbangan keselamatan dan ciri lanjutan: https://www.firezone.dev/docs/
