วิธีตั้งค่า Hailbytes VPN สำหรับสภาพแวดล้อม AWS ของคุณ
บทนำ
ในบทความนี้ เราจะพูดถึงวิธีตั้งค่า HailBytes VPN บนเครือข่ายของคุณ VPN และไฟร์วอลล์ที่ง่ายและปลอดภัยสำหรับเครือข่ายของคุณ รายละเอียดเพิ่มเติมและข้อกำหนดเฉพาะสามารถพบได้ในเอกสารประกอบสำหรับนักพัฒนาของเราที่เชื่อมโยง โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม.
การเตรียมพร้อม
1. ความต้องการทรัพยากร:
- เราขอแนะนำให้เริ่มต้นด้วย 1 vCPU และ RAM 1 GB ก่อนขยายขนาด
- สำหรับการปรับใช้บน Omnibus บนเซิร์ฟเวอร์ที่มีหน่วยความจำน้อยกว่า 1 GB คุณควรเปิด swap เพื่อหลีกเลี่ยงเคอร์เนล Linux จากการฆ่ากระบวนการ Firezone โดยไม่คาดคิด
- 1 vCPU ควรเพียงพอที่จะทำให้ลิงก์ 1 Gbps อิ่มตัวสำหรับ VPN
2. สร้างระเบียน DNS: Firezone ต้องการชื่อโดเมนที่ถูกต้องสำหรับการใช้งานจริง เช่น firezone.company.com จะต้องสร้างระเบียน DNS ที่เหมาะสม เช่น ระเบียน A, CNAME หรือ AAAA
3. ตั้งค่า SSL: คุณต้องมีใบรับรอง SSL ที่ถูกต้องเพื่อใช้ Firezone ในกำลังการผลิต Firezone รองรับ ACME สำหรับการจัดเตรียมใบรับรอง SSL โดยอัตโนมัติสำหรับการติดตั้งบน Docker และ Omnibus
4. เปิดพอร์ตไฟร์วอลล์: Firezone ใช้พอร์ต 51820/udp และ 443/tcp สำหรับการรับส่งข้อมูล HTTPS และ WireGuard ตามลำดับ คุณสามารถเปลี่ยนพอร์ตเหล่านี้ได้ในภายหลังในไฟล์กำหนดค่า
ปรับใช้บน Docker (แนะนำ)
1. ข้อกำหนดเบื้องต้น:
- ตรวจสอบว่าคุณอยู่บนแพลตฟอร์มที่รองรับโดยติดตั้ง docker-compose เวอร์ชัน 2 ขึ้นไป
- ตรวจสอบให้แน่ใจว่าเปิดใช้งานการส่งต่อพอร์ตบนไฟร์วอลล์ ค่าเริ่มต้นกำหนดให้เปิดพอร์ตต่อไปนี้:
o 80/tcp (ไม่บังคับ): ออกใบรับรอง SSL โดยอัตโนมัติ
o 443/tcp: เข้าถึงเว็บ UI
o 51820/udp: พอร์ตรับส่งข้อมูล VPN
2. ติดตั้งเซิร์ฟเวอร์ตัวเลือก I: การติดตั้งอัตโนมัติ (แนะนำ)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- ระบบจะถามคำถามสองสามข้อเกี่ยวกับการกำหนดค่าเริ่มต้นก่อนที่จะดาวน์โหลดไฟล์ docker-compose.yml ตัวอย่าง คุณจะต้องกำหนดค่าด้วยคำตอบของคุณ และพิมพ์คำแนะนำสำหรับการเข้าถึง Web UI
- ที่อยู่เริ่มต้นของ Firezone: $HOME/.firezone
2. ติดตั้งเซิร์ฟเวอร์ ตัวเลือก II: การติดตั้งด้วยตนเอง
- ดาวน์โหลดเทมเพลตการเขียนนักเทียบท่าไปยังไดเร็กทอรีการทำงานในเครื่อง
– ลินุกซ์: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS หรือ Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- สร้างความลับที่จำเป็น: docker run –rm firezone/firezone bin/gen-env > .env
- เปลี่ยนตัวแปร DEFAULT_ADMIN_EMAIL และ EXTERNAL_URL ปรับเปลี่ยนความลับอื่นๆ ตามต้องการ
- ย้ายฐานข้อมูล: docker เขียน run –rm firezone bin/migrate
- สร้างบัญชีผู้ดูแลระบบ: docker เขียน run –rm firezone bin/create-or-reset-admin
- นำบริการขึ้น: นักเทียบท่าเขียนขึ้น -d
- คุณควรจะสามารถเข้าถึง Firezome UI ผ่านตัวแปร EXTERNAL_URL ที่กำหนดไว้ด้านบน
3. เปิดใช้งานเมื่อบูต (ไม่บังคับ):
- ตรวจสอบให้แน่ใจว่าเปิดใช้งาน Docker เมื่อเริ่มต้น: sudo systemctl enable docker
- บริการ Firezone ควรมีการรีสตาร์ท: เสมอ หรือรีสตาร์ท: ยกเว้น-หยุด ตัวเลือกที่ระบุในไฟล์ docker-compose.yml
4. เปิดใช้งานการกำหนดเส้นทางสาธารณะ IPv6 (ทางเลือก):
- เพิ่มสิ่งต่อไปนี้ใน /etc/docker/daemon.json เพื่อเปิดใช้งาน IPv6 NAT และกำหนดค่าการส่งต่อ IPv6 สำหรับคอนเทนเนอร์ Docker
- เปิดใช้งานการแจ้งเตือนของเราเตอร์เมื่อบู๊ตสำหรับอินเทอร์เฟซขาออกเริ่มต้นของคุณ: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | ตัด -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- รีบูตและทดสอบโดยส่ง Ping ไปยัง Google จากภายในคอนเทนเนอร์นักเทียบท่า: docker run –rm -t busybox ping6 -c 4 google.com
- ไม่จำเป็นต้องเพิ่มกฎ iptables เพื่อเปิดใช้งาน IPv6 SNAT/การปลอมแปลงสำหรับการรับส่งข้อมูลในอุโมงค์ Firezone จะจัดการเรื่องนี้
5. ติดตั้งแอพไคลเอ็นต์
ตอนนี้คุณสามารถเพิ่มผู้ใช้ในเครือข่ายของคุณและกำหนดค่าคำแนะนำเพื่อสร้างเซสชัน VPN
โพสต์การตั้งค่า
ขอแสดงความยินดี คุณตั้งค่าเสร็จเรียบร้อยแล้ว! คุณอาจต้องการตรวจสอบเอกสารสำหรับนักพัฒนาของเราสำหรับการกำหนดค่าเพิ่มเติม ข้อควรพิจารณาด้านความปลอดภัย และคุณสมบัติขั้นสูง: https://www.firezone.dev/docs/
