Cumu cunfigurà Hailbytes VPN per u vostru ambiente AWS
I MUVRINI
In questu articulu, andemu nantu à cumu si stallanu HailBytes VPN in a vostra reta, una VPN simplice è sicura è firewall per a vostra reta. Ulteriori dettagli è specificazioni specifiche ponu esse truvati in a nostra documentazione di sviluppatore ligata ccà.
Preparation
1. Requisiti di risorsa:
- Hè cunsigliatu di principià cù 1 vCPU è 1 GB di RAM prima di scala.
- Per implementazioni basate in Omnibus nantu à i servitori cù menu di 1 GB di memoria, duvete attivà u swap per evità u kernel Linux da uccisione inaspettata di i prucessi Firezone.
- 1 vCPU deve esse abbastanza per saturare un ligame 1 Gbps per a VPN.
2. Crea un registru DNS: Firezone richiede un nome di duminiu propiu per l'usu di produzzione, per esempiu firezone.company.com. A creazione di un record DNS appropritatu cum'è A, CNAME, o AAAA serà necessariu.
3. Configurate SSL: Averete bisognu di un certificatu SSL validu per utilizà Firezone in una capacità di produzzione. Firezone supporta ACME per l'approvvigionamentu automaticu di certificati SSL per installazioni basate in Docker è Omnibus.
4. Apertura porti di firewall: Firezone usa i porti 51820/udp è 443/tcp per u trafficu HTTPS è WireGuard rispettivamente. Pudete cambià sti porti più tardi in u schedariu di cunfigurazione.
Implementa nantu à Docker (Consigliatu)
1. Prerequisites:
- Assicuratevi chì site in una piattaforma supportata cù a versione 2 di docker-compose installata.
- Assicuratevi chì u port forwarding hè attivatu nantu à u firewall. I predeterminati necessitanu i seguenti porti per esse aperti:
o 80/tcp (opzionale): Emissione automatica di certificati SSL
o 443/tcp: Accessu web UI
o 51820/udp: portu d'ascoltu di u trafficu VPN
2. Installa l'Opzione Server I: Installazione Automatica (Consigliata)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Vi farà alcune dumande in quantu à a cunfigurazione iniziale prima di scaricà un schedariu di mostra docker-compose.yml. Vulete cunfigurà cù e vostre risposte, è stampate struzzioni per accede à l'UI Web.
- Indirizzu predeterminatu di Firezone: $HOME/.firezone.
2. Installa u Server Opzione II: Installazione manuale
- Scaricate u mudellu di docker compose à un repertoriu di travagliu locale
- Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
- macOS o Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Generate sicreti richiesti: docker run -rm firezone/firezone bin/gen-env > .env
- Cambia e variabili DEFAULT_ADMIN_EMAIL è EXTERNAL_URL. Mudificà altri sicreti quantu necessariu.
- Migrate a basa di dati: docker compose run -rm firezone bin/migrate
- Crea un contu amministratore: docker compose run -rm firezone bin/create-or-reset-admin
- Purtate i servizii: docker compose up -d
- Duvete esse capace di accede à l'UI Firezome attraversu a variabile EXTERNAL_URL definita sopra.
3. Habilita à u boot (opcional):
- Assicuratevi chì Docker hè attivatu à l'iniziu: sudo systemctl enable docker
- I servizii Firezone duveranu avè u riavviu: sempre o riavvia: a menu chì l'opzione fermata hè specificata in u schedariu docker-compose.yml.
4. Attivate l'instradabilità publica IPv6 (opcional):
- Aghjunghjite i seguenti à /etc/docker/daemon.json per attivà IPv6 NAT è cunfigurà l'inviu IPv6 per i cuntenituri Docker.
- Attivà e notificazioni di u router in u boot per a vostra interfaccia di egress predeterminata: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | cut -f1 -d' ' | tr -d '\n'` sudo bash -c "echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf"
- Riavvia è pruvate ping à Google da u containeru docker: docker run -rm -t busybox ping6 -c 4 google.com
- Ùn ci hè bisognu di aghjunghje regule iptables per attivà IPv6 SNAT/masquerading per u trafficu tunnellatu. Firezone hà da trattà questu.
5. Stallà Apps cliente
Pudete avà aghjunghje utilizatori à a vostra reta è cunfigurà struzzioni per stabilisce una sessione VPN.
Post Setup
Felicitazioni, avete finitu a stallazione! Pudete vulete cuntrollà a nostra documentazione di sviluppatore per cunfigurazioni supplementari, considerazioni di sicurezza è funzioni avanzate: https://www.firezone.dev/docs/