Wéi Dir Hailbytes VPN fir Är AWS Ëmfeld opstellt
Aféierung
An dësem Artikel wäerte mir iwwergoen wéi Dir HailBytes VPN op Ärem Netz opstellt, en einfachen a séchere VPN a Firewall fir Äert Netzwierk. Weider Detailer a spezifesch Spezifikatioune kënnen an eiser Entwécklerdokumentatioun verlinkt ginn hei.
Virbereedung
1. Ressource Ufuerderunge:
- Mir recommandéieren mat 1 vCPU an 1 GB RAM unzefänken ier Dir opskaléiert.
- Fir Omnibus-baséiert Deployementer op Servere mat manner wéi 1 GB Erënnerung, sollt Dir Swap ausschalten fir datt de Linux Kernel onerwaart Firezone Prozesser ëmbréngt.
- 1 vCPU soll genuch sinn fir en 1 Gbps Link fir de VPN ze saturéieren.
2. DNS-Rekord erstellen: Firezone erfuerdert e richtegen Domain Numm fir d'Produktioun, zB firezone.company.com. E passenden DNS-Rekord erstellen wéi A, CNAME oder AAAA Rekord ass erfuerderlech.
3. SSL opsetzen: Dir braucht e gültege SSL Zertifika fir Firezone an enger Produktiounskapazitéit ze benotzen. Firezone ënnerstëtzt ACME fir automatesch Dispositioun vun SSL Certificaten fir Docker an Omnibus-baséiert Installatiounen.
4. Open Firewall Ports: Firezone benotzt Ports 51820/udp an 443/tcp fir HTTPS respektiv WireGuard Traffic. Dir kënnt dës Ports spéider an der Konfiguratiounsdatei änneren.
Deploy op Docker (recommandéiert)
1. Viraussetzunge:
- Vergewëssert Iech datt Dir op enger ënnerstëtzter Plattform sidd mat Docker-Compose Versioun 2 oder méi héich installéiert.
- Vergewëssert Iech datt Port Forwarding op der Firewall aktivéiert ass. Defaults erfuerderen déi folgend Ports fir opzemaachen:
o 80/tcp (fakultativ): Automatesch SSL Certificaten ausginn
o 443/tcp: Zougang zu Web UI
o 51820/udp: VPN Traffic lauschteren Hafen
2. Installéiere Server Optioun I: Automatesch Installatioun (recommandéiert)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Et wäert Iech e puer Froen iwwer initial Konfiguratioun stellen ier Dir eng Probe docker-compose.yml Datei eroflueden. Dir wëllt et mat Ären Äntwerten konfiguréieren an d'Instruktioune drécken fir Zougang zum Web UI ze kréien.
- Firezone Standard Adress: $HOME/.firezone.
2. Server installéieren Optioun II: Manuell Installatioun
- Luet den Docker compose Schabloun an e lokalen Aarbechtsverzeechnes erof
- Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
- macOS oder Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Generéiere erfuerderlech Geheimnisser: docker run –rm firezone/firezone bin/gen-env > .env
- Änneren d'DEFAULT_ADMIN_EMAIL an EXTERNAL_URL Variablen. Änneren aner Geheimnisser wéi néideg.
- Migréieren d'Datebank: docker compose run –rm firezone bin/migréieren
- Erstellt en Adminkonto: docker compose run –rm firezone bin/create-or-reset-admin
- Bréngt d'Servicer op: docker compose up -d
- Dir sollt fäeg sinn Zougang zum Firezome UI duerch d'EXTERNAL_URL Variabel ze kréien déi hei uewen definéiert ass.
3. Aktivéiert beim Boot (optional):
- Vergewëssert Iech datt Docker beim Startup aktivéiert ass: sudo systemctl aktivéiert Docker
- Firezone Servicer sollen de Restart hunn: ëmmer oder Restart: ausser-gestoppt Optioun an der docker-compose.yml Datei spezifizéiert.
4. Aktivéiert IPv6 Ëffentlech Routabilitéit (optional):
- Füügt déi folgend op /etc/docker/daemon.json fir IPv6 NAT z'aktivéieren an IPv6 Forwarding fir Docker Container ze konfiguréieren.
- Aktivéiert Router Notifikatiounen op Stiwwel fir Är Standard egress Interface: egress = `ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | schneiden -f1 -d' ' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Restart an Test andeems Dir op Google vu bannent Docker Container Pingt: docker run –rm -t busybox ping6 -c 4 google.com
- Kee Grond fir Iptables Regelen derbäi ze ginn fir IPv6 SNAT / Masquerading fir tunneléiert Traffic z'erméiglechen. Firezone wäert dëst handhaben.
5. Installéiert Client Apps
Dir kënnt elo Benotzer op Ärem Netz addéieren an d'Instruktioune konfiguréieren fir eng VPN Sessioun opzebauen.
Post Setup
Gratulatioun, Dir hutt de Setup ofgeschloss! Dir wëllt vläicht eis Entwécklerdokumentatioun iwwerpréiwen fir zousätzlech Konfiguratiounen, Sécherheetsbedenken a fortgeschratt Funktiounen: https://www.firezone.dev/docs/
