如何為您的 AWS 環境設置 Hailbytes VPN
簡介
在本文中,我們將介紹如何在您的網絡上設置 HailBytes VPN,這是一個適合您的網絡的簡單而安全的 VPN 和防火牆。 更多詳細信息和具體規格可以在我們鏈接的開發人員文檔中找到 請點擊這裡.
準備
1、資源要求:
- 我們建議在擴展之前從 1 個 vCPU 和 1 GB RAM 開始。
- 對於內存小於 1 GB 的服務器上基於 Omnibus 的部署,您應該打開交換以避免 Linux 內核意外終止 Firezone 進程。
- 1 個 vCPU 應足以使 VPN 的 1 Gbps 鏈路飽和。
2. 創建 DNS 記錄:Firezone 需要一個適合生產使用的域名,例如 firezone.company.com。 需要創建適當的 DNS 記錄,例如 A、CNAME 或 AAAA 記錄。
3. 設置 SSL:您需要有效的 SSL 證書才能在生產環境中使用 Firezone。 Firezone 支持 ACME 為基於 Docker 和 Omnibus 的安裝自動配置 SSL 證書。
4. 開放防火牆端口:Firezone 對 HTTPS 和 WireGuard 流量分別使用端口 51820/udp 和 443/tcp。 您可以稍後在配置文件中更改這些端口。
在 Docker 上部署(推薦)
1.先決條件:
- 確保您位於受支持的平台上並安裝了 docker-compose 版本 2 或更高版本。
- 確保防火牆上啟用了端口轉發。 默認情況下需要打開以下端口:
o 80/tcp(可選):自動頒發SSL證書
o 443/tcp:訪問 Web UI
o 51820/udp:VPN 流量監聽端口
2. 安裝服務器選項一:自動安裝(推薦)
- Run installation script: bash <(curl -fsSL https://github.com/firezone/firezone/raw/master/scripts/install.sh) 1889d1a18e090c-0ec2bae288f1e2-26031d51-144000-1889d1a18e11c6c
- 在下載示例 docker-compose.yml 文件之前,它會詢問您一些有關初始配置的問題。 您將需要使用您的響應來配置它,並打印訪問 Web UI 的說明。
- Firezone默認地址:$HOME/.firezone。
2. 安裝服務器 選項二:手動安裝
- 將 docker compose 模板下載到本地工作目錄
– Linux:curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.prod.yml -o docker-compose.yml
– macOS 或 Windows:curl -fsSL https://raw.githubusercontent.com/firezone/firezone/master/docker-compose.desktop.yml -o docker-compose.yml
- 生成所需的機密: docker run –rm firezone/firezone bin/gen-env > .env
- 更改 DEFAULT_ADMIN_EMAIL 和 EXTERNAL_URL 變量。 根據需要修改其他機密。
- 遷移數據庫: docker compose run –rm firezone bin/migrate
- 創建管理員帳戶: docker compose run –rm firezone bin/create-or-reset-admin
- 啟動服務: docker compose up -d
- 您應該能夠通過上面定義的 EXTERNAL_URL 變量訪問 Firezome UI。
3. 啟動時啟用(可選):
- 確保 Docker 在啟動時啟用: sudo systemctl enable docker
- Firezone 服務應在 docker-compose.yml 文件中指定 restart:always 或 restart:unless-stopped 選項。
4. 啟用 IPv6 公共可路由性(可選):
- 將以下內容添加到 /etc/docker/daemon.json 以啟用 IPv6 NAT 並為 Docker 容器配置 IPv6 轉發。
- 在啟動時為默認出口接口啟用路由器通知: egress=`ip route show default 0.0.0.0/0 | grep -oP '(?<=dev ).*' | grep -oP '(?<=dev ).*' | 切 -f1 -d' ' | tr -d '\n'` sudo bash -c “echo net.ipv6.conf.${egress}.accept_ra=2 >> /etc/sysctl.conf”
- 通過從 docker 容器內 ping 到 Google 來重新啟動並進行測試: docker run –rm -t busybox ping6 -c 4 google.com
- 無需添加任何 iptables 規則即可為隧道流量啟用 IPv6 SNAT/偽裝。 Firezone 會處理這個問題。
5. 安裝客戶端應用程序
您現在可以將用戶添加到您的網絡並配置建立 VPN 會話的說明。
後期設置
恭喜您,您已完成設置! 您可能需要查看我們的開發人員文檔以了解其他配置、安全注意事項和高級功能:https://www.firezone.dev/docs/