Како да подесите Хаилбитес ВПН за ваше АВС окружење
увод
У овом чланку ћемо говорити о томе како да подесите ХаилБитес ВПН на вашој мрежи, једноставан и сигуран ВПН и заштитни зид за вашу мрежу. Више детаља и специфичне спецификације можете пронаћи у нашој документацији за програмере на којој је веза ovde.
Припрема
1. Захтеви за ресурсе:
- Препоручујемо да почнете са 1 вЦПУ и 1 ГБ РАМ-а пре повећања.
- За имплементације засноване на Омнибусу на серверима са мање од 1 ГБ меморије, требало би да укључите замену да бисте избегли да Линук кернел неочекивано убије Фирезоне процесе.
- 1 вЦПУ би требао бити довољан за засићење везе од 1 Гбпс за ВПН.
2. Креирајте ДНС запис: Фирезоне захтева одговарајуће име домена за производну употребу, нпр. фирезоне.цомпани.цом. Биће потребно креирање одговарајућег ДНС записа као што је А, ЦНАМЕ или АААА запис.
3. Подесите ССЛ: Биће вам потребан важећи ССЛ сертификат да бисте користили Фирезоне у производном капацитету. Фирезоне подржава АЦМЕ за аутоматско обезбеђивање ССЛ сертификата за Доцкер и Омнибус инсталације.
4. Отворени портови заштитног зида: Фирезоне користи портове 51820/удп и 443/тцп за ХТТПС и ВиреГуард саобраћај. Ове портове можете променити касније у конфигурационој датотеци.
Примена на Доцкер-у (препоручено)
1. Предуслови:
- Уверите се да сте на подржаној платформи са инсталираном доцкер-цомпосе верзијом 2 или новијом.
- Уверите се да је прослеђивање портова омогућено на заштитном зиду. Подразумеване вредности захтевају да следећи портови буду отворени:
о 80/тцп (опционо): Аутоматско издавање ССЛ сертификата
о 443/тцп: Приступите веб корисничком сучељу
о 51820/удп: порт за слушање ВПН саобраћаја
2. Инсталирајте сервер, опција И: аутоматска инсталација (препоручено)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Поставиће вам неколико питања у вези са почетном конфигурацијом пре преузимања узорка датотеке доцкер-цомпосе.имл. Желећете да га конфигуришете са својим одговорима и одштампате упутства за приступ веб корисничком интерфејсу.
- Подразумевана адреса Фирезоне: $ХОМЕ/.фирезоне.
2. Инсталирајте сервер Опција ИИ: Ручна инсталација
- Преузмите шаблон за компоновање доцкер-а у локални радни директоријум
– Линук: цурл -фсСЛ хттпс://рав.гитхубусерцонтент.цом/фирезоне/фирезоне/мастер/доцкер-цомпосе.прод.имл -о доцкер-цомпосе.имл
– мацОС или Виндовс: цурл -фсСЛ хттпс://рав.гитхубусерцонтент.цом/фирезоне/фирезоне/мастер/доцкер-цомпосе.десктоп.имл -о доцкер-цомпосе.имл
- Генеришите потребне тајне: доцкер рун –рм фирезоне/фирезоне бин/ген-енв > .енв
- Промените променљиве ДЕФАУЛТ_АДМИН_ЕМАИЛ и ЕКСТЕРНАЛ_УРЛ. Измените друге тајне по потреби.
- Мигрирајте базу података: доцкер цомпосе рун –рм фирезоне бин/миграте
- Креирајте администраторски налог: доцкер цомпосе рун –рм фирезоне бин/цреате-ор-ресет-админ
- Подигните услуге: доцкер цомпосе уп -д
- Требало би да будете у могућности да приступите Фирезоме корисничком интерфејсу преко ЕКСТЕРНАЛ_УРЛ променљиве дефинисане изнад.
3. Омогући при покретању (опционо):
- Уверите се да је Доцкер омогућен при покретању: судо системцтл омогући доцкер
- Фирезоне услуге треба да имају опцију рестарт: алваис или рестарт: унлесс стоппед наведену у датотеци доцкер-цомпосе.имл.
4. Омогућите јавну рутабилност ИПв6 (опционо):
- Додајте следеће у /етц/доцкер/даемон.јсон да бисте омогућили ИПв6 НАТ и конфигурисали ИПв6 прослеђивање за Доцкер контејнере.
- Омогућите обавештења рутера при покретању за ваш подразумевани излазни интерфејс: егресс=`ип роуте схов дефаулт 0.0.0.0/0 | греп -оП '(?<=дев ).*' | цут -ф1 -д' ' | тр -д '\н'` судо басх -ц “ецхо нет.ипв6.цонф.${егресс}.аццепт_ра=2 >> /етц/сисцтл.цонф”
- Поново покрените и тестирајте пинговањем на Гоогле из доцкер контејнера: доцкер рун –рм -т бусибок пинг6 -ц 4 гоогле.цом
- Нема потребе да додајете иптаблес правила да бисте омогућили ИПв6 СНАТ/маскирање за тунелски саобраћај. Фирезоне ће се побринути за ово.
5. Инсталирајте клијентске апликације
Сада можете додати кориснике у своју мрежу и конфигурисати упутства за успостављање ВПН сесије.
Пост Сетуп
Честитамо, завршили сте подешавање! Можда бисте желели да проверите нашу документацију за програмере за додатне конфигурације, безбедносна разматрања и напредне функције: хттпс://ввв.фирезоне.дев/доцс/