Paano Mag-set Up ng Hailbytes VPN para sa Iyong AWS Environment
pagpapakilala
Sa artikulong ito, tatalakayin natin kung paano i-set up ang HailBytes VPN sa iyong network, isang simple at secure na VPN at firewall para sa iyong network. Ang mga karagdagang detalye at partikular na detalye ay makikita sa aming dokumentasyon ng developer na naka-link dito.
Paghahanda
1. Mga Kinakailangan sa Mapagkukunan:
- Inirerekomenda naming magsimula sa 1 vCPU at 1 GB ng RAM bago mag-scale up.
- Para sa mga deployment na nakabatay sa Omnibus sa mga server na may mas mababa sa 1 GB ng memorya, dapat mong i-on ang swap upang maiwasan ang Linux kernel mula sa hindi inaasahang pagpatay sa mga proseso ng Firezone.
- Ang 1 vCPU ay dapat sapat upang mababad ang isang 1 Gbps na link para sa VPN.
2. Gumawa ng DNS record: Nangangailangan ang Firezone ng tamang domain name para sa paggamit ng produksyon, hal firezone.company.com. Ang paggawa ng naaangkop na tala ng DNS tulad ng A, CNAME, o AAAA na tala ay kinakailangan.
3. I-set up ang SSL: Kakailanganin mo ang isang wastong SSL certificate upang magamit ang Firezone sa isang kapasidad ng produksyon. Sinusuportahan ng Firezone ang ACME para sa awtomatikong pagbibigay ng mga SSL certificate para sa Docker at Omnibus-based na mga pag-install.
4. Mga bukas na firewall port: Gumagamit ang Firezone ng mga port na 51820/udp at 443/tcp para sa trapiko ng HTTPS at WireGuard ayon sa pagkakabanggit. Maaari mong baguhin ang mga port na ito sa ibang pagkakataon sa configuration file.
I-deploy sa Docker (Inirerekomenda)
1. Mga kinakailangan:
- Tiyaking ikaw ay nasa isang sinusuportahang platform na may naka-install na bersyon 2 o mas mataas na docker-compose.
- Tiyaking naka-enable ang port forwarding sa firewall. Ang mga default ay nangangailangan ng mga sumusunod na port na bukas:
o 80/tcp (opsyonal): Awtomatikong nagbibigay ng mga SSL certificate
o 443/tcp: I-access ang web UI
o 51820/udp: VPN traffic listening port
2. I-install ang Server Option I: Awtomatikong Pag-install (Inirerekomenda)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Magtatanong ito sa iyo ng ilang katanungan tungkol sa paunang configuration bago mag-download ng sample na docker-compose.yml file. Gusto mong i-configure ito kasama ng iyong mga tugon, at mag-print ng mga tagubilin para sa pag-access sa Web UI.
- Default na address ng Firezone: $HOME/.firezone.
2. I-install ang Server Pagpipilian II: Manu-manong Pag-install
- I-download ang docker compose template sa isang local working directory
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS o Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Bumuo ng mga kinakailangang lihim: docker run –rm firezone/firezone bin/gen-env > .env
- Baguhin ang DEFAULT_ADMIN_EMAIL at EXTERNAL_URL variable. Baguhin ang iba pang mga lihim kung kinakailangan.
- I-migrate ang database: docker compose run –rm firezone bin/migrate
- Gumawa ng admin account: docker compose run –rm firezone bin/create-or-reset-admin
- Itaas ang mga serbisyo: docker compose up -d
- Dapat mong ma-access ang Firezome UI sa pamamagitan ng EXTERNAL_URL variable na tinukoy sa itaas.
3. Paganahin sa boot (opsyonal):
- Tiyaking pinagana ang Docker sa pagsisimula: sudo systemctl enable docker
- Ang mga serbisyo ng Firezone ay dapat magkaroon ng restart: always o restart: unless-stop na opsyon na tinukoy sa docker-compose.yml file.
4. Paganahin ang IPv6 Public Routability (opsyonal):
- Idagdag ang sumusunod sa /etc/docker/daemon.json para paganahin ang IPv6 NAT at i-configure ang IPv6 forwarding para sa mga container ng Docker.
- I-enable ang mga notification ng router sa boot para sa iyong default na interface ng egress: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | gupitin -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- I-reboot at subukan sa pamamagitan ng pag-ping sa Google mula sa loob ng docker container: docker run –rm -t busybox ping6 -c 4 google.com
- Hindi na kailangang magdagdag ng anumang mga panuntunan sa iptables upang paganahin ang IPv6 SNAT/pagbabalatkayo para sa tunneled na trapiko. Hahawakan ito ng Firezone.
5. Mag-install ng mga client app
Maaari ka na ngayong magdagdag ng mga user sa iyong network at i-configure ang mga tagubilin para magtatag ng isang VPN session.
Mag-post ng Setup
Binabati kita, nakumpleto mo na ang pag-setup! Maaaring gusto mong suriin ang aming dokumentasyon ng developer para sa mga karagdagang configuration, pagsasaalang-alang sa seguridad, at mga advanced na feature: https://www.firezone.dev/docs/
