Kiel Agordi Hailbytes VPN por Via AWS-Medio
Enkonduko
En ĉi tiu artikolo, ni esploros kiel agordi HailBytes VPN en via reto, simplan kaj sekuran VPN kaj fajroŝirmilon por via reto. Pliaj detaloj kaj specifaj specifoj troveblas en nia programista dokumentaro ligita tie.
preparado
1. Rimedaj Postuloj:
- Ni rekomendas komenci kun 1 vCPU kaj 1 GB da RAM antaŭ pligrandigo.
- Por Omnibus-bazitaj deplojoj sur serviloj kun malpli ol 1 GB da memoro, vi devus ŝalti interŝanĝon por eviti ke la Linukso-kerno neatendite mortigu Firezone-procezojn.
- 1 vCPU devus sufiĉi por saturi ligon de 1 Gbps por la VPN.
2. Krei DNS-rekordon: Firezone postulas taŭgan domajnan nomon por produktada uzo, ekz. firezone.company.com. Krei taŭgan DNS-rekordon kiel A, CNAME aŭ AAAA-rekordo estos postulata.
3. Agordu SSL: Vi bezonos validan SSL-atestilon por uzi Firezone en produktadkapablo. Firezone subtenas ACME por aŭtomata provizado de SSL-atestiloj por Docker kaj Omnibus-bazitaj instalaĵoj.
4. Malfermaj fajroŝirmilaj havenoj: Firezone uzas havenojn 51820/udp kaj 443/tcp por HTTPS kaj WireGuard trafiko respektive. Vi povas ŝanĝi ĉi tiujn pordojn poste en la agorda dosiero.
Deploji sur Docker (Rekomendita)
1. Antaŭkondiĉoj:
- Certigu, ke vi estas sur subtenata platformo kun docker-compose versio 2 aŭ pli alta instalita.
- Certigu, ke havena plusendado estas ebligita sur la fajroŝirmilo. Defaŭltoj postulas la sekvajn pordojn esti malfermitaj:
o 80/tcp (laŭvola): Aŭtomate eldonado de SSL-atestiloj
o 443/tcp: Aliri retan UI
o 51820/udp: VPN trafika aŭskulta haveno
2. Instalu Servilan Opcion I: Aŭtomata Instalado (Rekomendita)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Ĝi demandos al vi kelkajn demandojn pri komenca agordo antaŭ ol elŝuti specimenan dosieron docker-compose.yml. Vi volos agordi ĝin kun viaj respondoj, kaj presi instrukciojn por aliri la Retan UI.
- Defaŭlta adreso de Firezone: $HOME/.firezone.
2. Instalu Servilon Opcio II: Mana Instalado
- Elŝutu la docker-komponan ŝablonon al loka labordosierujo
– Linukso: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
- macOS aŭ Vindozo: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Generu postulatajn sekretojn: docker run –rm firezone/firezone bin/gen-env > .env
- Ŝanĝu la variablojn DEFAULT_ADMIN_EMAIL kaj EXTERNAL_URL. Modifi aliajn sekretojn laŭbezone.
- Migru la datumbazon: docker compose run –rm firezone bin/migrate
- Kreu administran konton: docker compose run –rm firezone bin/create-or-reset-admin
- Alportu la servojn: docker compose up -d
- Vi devus povi aliri la Firezome UI per la variablo EXTERNAL_URL difinita supre.
3. Ebligu ĉe lanĉo (laŭvola):
- Certigu, ke Docker estas ebligita ĉe ekfunkciigo: sudo systemctl enable docker
- Firezone-servoj devus havi la rekomencon: ĉiam aŭ rekomencon: krom se-haltita opcio specifita en la dosiero docker-compose.yml.
4. Ebligu IPv6 Publikan Itineron (laŭvola):
- Aldonu la jenon al /etc/docker/daemon.json por ebligi IPv6 NAT kaj agordi IPv6-sendon por Docker-ujoj.
- Ebligu sciigojn pri enkursigilo ĉe lanĉo por via defaŭlta elirinterfaco: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | tranĉi -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Rekomencu kaj provu pinglante al Guglo de ene de docker-ujo: docker run –rm -t busybox ping6 -c 4 google.com
- Ne necesas aldoni iujn ajn iptables-regulojn por ebligi IPv6 SNAT/masquerading por tunelita trafiko. Firezone pritraktos ĉi tion.
5. Instalu klientajn apojn
Vi nun povas aldoni uzantojn al via reto kaj agordi instrukciojn por establi VPN-sesion.
Post Agordo
Gratulon, vi finis la aranĝon! Vi eble volas kontroli nian programista dokumentaron por pliaj agordoj, sekurecaj konsideroj kaj altnivelaj funkcioj: https://www.firezone.dev/docs/
