AWS ортаңызға Hailbytes VPN қалай орнатуға болады
кіріспе
Бұл мақалада біз желіде HailBytes VPN, қарапайым және қауіпсіз VPN және желіге арналған брандмауэрді орнату жолын қарастырамыз. Қосымша мәліметтер мен нақты спецификацияларды байланыстырылған әзірлеушінің құжаттамасынан табуға болады Мұнда.
дайындау
1. Ресурсқа қойылатын талаптар:
- Масштабты үлкейтпес бұрын 1 vCPU және 1 ГБ жедел жадтан бастауды ұсынамыз.
- Жады 1 ГБ-тан аз серверлерде Омнибус негізіндегі орналастырулар үшін Linux ядросының Firezone процестерін күтпеген жерден өлтіруін болдырмау үшін свопты қосу керек.
- 1 vCPU VPN үшін 1 Гбит/с сілтемені қанықтыру үшін жеткілікті болуы керек.
2. DNS жазбасын жасау: Firezone өндірісте пайдалану үшін тиісті домен атауын қажет етеді, мысалы firezone.company.com. A, CNAME немесе AAAA жазбасы сияқты сәйкес DNS жазбасын жасау қажет болады.
3. SSL орнату: Firezone қолданбасын өндірістік қуатта пайдалану үшін жарамды SSL сертификаты қажет. Firezone Docker және Omnibus негізіндегі қондырғылар үшін SSL сертификаттарын автоматты түрде қамтамасыз ету үшін ACME қолдайды.
4. Ашық брандмауэр порттары: Firezone сәйкесінше HTTPS және WireGuard трафигі үшін 51820/udp және 443/tcp порттарын пайдаланады. Бұл порттарды кейінірек конфигурация файлында өзгертуге болады.
Docker жүйесінде орналастыру (ұсынылады)
1. Пререквизиттер:
- Docker-compose нұсқасы 2 немесе одан жоғары орнатылған қолдау көрсетілетін платформада екеніңізге көз жеткізіңіз.
- Брандмауэрде портты қайта жіберу мүмкіндігі қосылғанын тексеріңіз. Әдепкі параметрлер келесі порттардың ашық болуын талап етеді:
o 80/tcp (қосымша): SSL сертификаттарын автоматты түрде шығару
o 443/tcp: веб интерфейсіне кіру
o 51820/udp: VPN трафигін тыңдау порты
2. Серверді орнату I опциясы: Автоматты орнату (ұсынылады)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Үлгі docker-compose.yml файлын жүктеп алмас бұрын ол сізге бастапқы конфигурацияға қатысты бірнеше сұрақ қояды. Сіз оны жауаптарыңызбен конфигурациялағыңыз келеді және Web UI қатынасу үшін нұсқауларды басып шығарғыңыз келеді.
- Firezone әдепкі мекенжайы: $HOME/.firezon.
2. Серверді орнатыңыз II нұсқа: Қолмен орнату
- Доккер құрастыру үлгісін жергілікті жұмыс каталогына жүктеп алыңыз
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS немесе Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Қажетті құпияларды жасаңыз: docker run –rm firezone/firezon bin/gen-env > .env
- DEFAULT_ADMIN_EMAIL және EXTERNAL_URL айнымалы мәндерін өзгертіңіз. Қажет болса, басқа құпияларды өзгертіңіз.
- Дерекқорды тасымалдау: докер құрастыру run –rm firezone bin/migrate
- Әкімші тіркелгісін жасаңыз: докер құрастыру run –rm firezone bin/create-or-reset-admin
- Қызметтерді көрсетіңіз: docker compose up -d
- Firezome UI интерфейсіне жоғарыда анықталған EXTERNAL_URL айнымалысы арқылы қол жеткізе алуыңыз керек.
3. Жүктеу кезінде қосу (міндетті емес):
- Іске қосу кезінде Docker қосылғанына көз жеткізіңіз: sudo systemctl докерді іске қосу
- Firezone қызметтерінде қайта іске қосу: әрқашан немесе қайта іске қосу: docker-compose.yml файлында көрсетілмесе, тоқтатылған опция болуы керек.
4. IPv6 Public Routability қосу (міндетті емес):
- IPv6 NAT қосу және Docker контейнерлері үшін IPv6 қайта жіберуді теңшеу үшін /etc/docker/daemon.json файлына келесіні қосыңыз.
- Әдепкі шығу интерфейсі үшін жүктеу кезінде маршрутизатор хабарландыруларын қосыңыз: egress=`ip маршрут әдепкі 0.0.0.0/0 көрсетеді | grep -oP '(?<=dev ).*' | кесу -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Қайта жүктеп, Google жүйесіне докер контейнерінен пинг жіберу арқылы сынап көріңіз: docker run –rm -t busybox ping6 -c 4 google.com
- Туннельдік трафик үшін IPv6 SNAT/маскарадтауды қосу үшін iptables ережелерін қосудың қажеті жоқ. Мұны Firezone шешеді.
5. Клиент қолданбаларын орнатыңыз
Енді сіз желіге пайдаланушыларды қосып, VPN сеансын орнату нұсқауларын конфигурациялай аласыз.
Орнатудан кейінгі
Құттықтаймыз, орнатуды аяқтадыңыз! Қосымша конфигурациялар, қауіпсіздік мәселелері және кеңейтілген мүмкіндіктер үшін әзірлеуші құжаттамамызды тексергіңіз келуі мүмкін: https://www.firezone.dev/docs/
