Cara Mengatur Hailbytes VPN untuk Lingkungan AWS Anda
Pengantar
Pada artikel ini, kami akan membahas cara menyiapkan HailBytes VPN di jaringan Anda, VPN dan firewall yang sederhana dan aman untuk jaringan Anda. Detail lebih lanjut dan spesifikasi spesifik dapat ditemukan di dokumentasi pengembang kami yang tertaut di sini.
Persiapan
1. Persyaratan Sumber Daya:
- Sebaiknya mulai dengan 1 vCPU dan 1 GB RAM sebelum meningkatkan.
- Untuk penerapan berbasis Omnibus pada server dengan memori kurang dari 1 GB, Anda harus mengaktifkan swap untuk menghindari kernel Linux menghentikan proses Firezone secara tidak terduga.
- 1 vCPU seharusnya cukup untuk memenuhi tautan 1 Gbps untuk VPN.
2. Buat catatan DNS: Firezone memerlukan nama domain yang tepat untuk penggunaan produksi, misalnya firezone.company.com. Membuat catatan DNS yang sesuai seperti catatan A, CNAME, atau AAAA akan diperlukan.
3. Siapkan SSL: Anda memerlukan sertifikat SSL yang valid untuk menggunakan Firezone dalam kapasitas produksi. Firezone mendukung ACME untuk penyediaan otomatis sertifikat SSL untuk instalasi berbasis Docker dan Omnibus.
4. Buka port firewall: Firezone menggunakan port 51820/udp dan 443/tcp untuk lalu lintas HTTPS dan WireGuard. Anda dapat mengubah port ini nanti di file konfigurasi.
Terapkan di Docker (Disarankan)
1. Prasyarat:
- Pastikan Anda menggunakan platform yang didukung dengan docker-compose versi 2 atau yang lebih tinggi terpasang.
- Pastikan penerusan port diaktifkan di firewall. Default membutuhkan port berikut untuk dibuka:
o 80/tcp (opsional): Secara otomatis menerbitkan sertifikat SSL
o 443/tcp: Mengakses UI web
o 51820/udp: Port mendengarkan lalu lintas VPN
2. Instal Opsi Server I: Instalasi Otomatis (Disarankan)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- Ini akan menanyakan beberapa pertanyaan tentang konfigurasi awal sebelum mengunduh file sampel docker-compose.yml. Anda ingin mengonfigurasinya dengan tanggapan Anda, dan mencetak instruksi untuk mengakses UI Web.
- Alamat default firezone: $HOME/.firezone.
2. Instal Server Opsi II: Instalasi Manual
- Unduh templat penulisan buruh pelabuhan ke direktori kerja lokal
– Linux: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS atau Windows: curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- Hasilkan rahasia yang diperlukan: docker run –rm firezone/firezone bin/gen-env > .env
- Ubah variabel DEFAULT_ADMIN_EMAIL dan EXTERNAL_URL. Ubah rahasia lain sesuai kebutuhan.
- Migrasikan database: docker compose run –rm firezone bin/migrate
- Buat akun admin: docker compose run –rm firezone bin/create-or-reset-admin
- Tingkatkan layanan: docker compose up -d
- Anda harus dapat mengakses UI Firezome melalui variabel EXTERNAL_URL yang ditentukan di atas.
3. Aktifkan saat boot (opsional):
- Pastikan Docker diaktifkan saat startup: sudo systemctl enable docker
- Layanan Firezone harus memiliki opsi mulai ulang: selalu atau mulai ulang: kecuali-dihentikan yang ditentukan dalam file docker-compose.yml.
4. Aktifkan Routabilitas Publik IPv6 (opsional):
- Tambahkan baris berikut ke /etc/docker/daemon.json untuk mengaktifkan NAT IPv6 dan mengonfigurasi penerusan IPv6 untuk kontainer Docker.
- Aktifkan notifikasi router saat boot untuk antarmuka egress default Anda: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | potong -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- Nyalakan ulang dan uji dengan melakukan ping ke Google dari dalam wadah buruh pelabuhan: docker run –rm -t busybox ping6 -c 4 google.com
- Tidak perlu menambahkan aturan iptables apa pun untuk mengaktifkan IPv6 SNAT/masquerading untuk lalu lintas yang disalurkan. Firezone akan menangani ini.
5. Instal aplikasi klien
Anda sekarang dapat menambahkan pengguna ke jaringan Anda dan mengonfigurasi instruksi untuk membuat sesi VPN.
Pengaturan Posting
Selamat, Anda telah menyelesaikan penyiapan! Anda mungkin ingin memeriksa dokumentasi pengembang kami untuk konfigurasi tambahan, pertimbangan keamanan, dan fitur lanjutan: https://www.firezone.dev/docs/
