Ако искате да създадете VPN сървър, нека ви кажа, че има отлична опция, която можете да използвате, за да постигнете своята мисия и това е, че проектът Firezone разработва VPN сървър стрЗа организиране на достъпа до хостове във вътрешна мрежа, изолирани от потребителски устройства, разположени във външни мрежи.
Проектът има за цел да постигне високо ниво на сигурност и опростяване на процеса на внедряване на VPN.
За Firezone
Проектът се разработва от инженер по автоматизация на сигурността на Cisco, които се опитаха да създадат решение, което автоматизира работата с конфигурацията на хоста и елиминира неприятностите, с които трябваше да се сблъскат при организиране на защитен достъп до VPC в облака.
Пожарна зона действа като интерфейс както към модула на ядрото WireGuard що се отнася до подсистемата на ядрото на netfilter. Създайте интерфейс WireGuard (наричан по подразбиране wg-firezone) и таблица с netfilter и добавете подходящите маршрути към таблицата за маршрутизиране. Други програми, които променят таблицата за маршрутизиране на Linux или защитната стена на netfilter, могат да попречат на работата на Firezone.
Firezone може да се разглежда като партньор с отворен код на OpenVPN Access Server, изграден върху WireGuard вместо OpenVPN.
WireGuard се използва за организиране на комуникационни канали във Firezone. Firezone също има вградена функционалност на защитната стена, която използва nftables.
В сегашния си вид, защитната стена е ограничена чрез блокиране на изходящ трафик към конкретни хостове или подмрежи Във вътрешни или външни мрежи това се дължи на факта, че Firezone е бета софтуер, за който в момента използването му се препоръчва само чрез ограничаване на достъпа на мрежата до уеб потребителския интерфейс, за да се избегне излагането му в публичния Интернет.
Firezone изисква валиден SSL сертификат и съвпадащ DNS запис, за да се изпълнява в производство, който може да бъде генериран и управляван от инструмента Let's Encrypt за генериране на безплатен SSL сертификат.
От страна на администрация, споменава се, че това става чрез уеб интерфейса или в режим на командния ред с помощта на помощната програма firezone-ctl. Уеб интерфейсът е изграден на базата на Admin One Bulma.
В момента всички компоненти на Firezone работят на един и същ сървър, Но първоначално проектът е разработен с оглед на модулността, а в бъдеще се планира да се добави възможност за разпространение на компоненти за уеб интерфейса, VPN и защитна стена на различни хостове.
Плановете също така споменават интегрирането на DNS-базиран рекламен блокер, поддръжка за списъци с блокове на хостове и подмрежи, възможност за удостоверяване чрез LDAP / SSO и допълнителни възможности за управление на потребителите.
От споменатите характеристики на Firezone:
- Бързо: използвайте WireGuard, за да бъдете 3-4 пъти по-бързи от OpenVPN.
- Без зависимости: всички зависимости са групирани благодарение на готвача Omnibus.
- Просто: настройката отнема няколко минути. Управление чрез прост CLI API.
- Безопасен: работи без привилегии. Приложен HTTPS.
- Криптирани бисквитки.
- Включена защитна стена - Използва Linux nftables за блокиране на нежелан изходящ трафик.
За инсталация се предлагат rpm и deb пакети за различни версии на CentOS, Fedora, Ubuntu и Debian, чиято инсталация не изисква външни зависимости, тъй като всички необходими зависимости вече са включени с инструментариума за готвачи Omnibus.
Да работиш, имате нужда само от Linux дистрибуция, която има ядро на Linux не по -рано от 4.19 и модул на ядрото, компилиран с WireGuard VPN. Според автора стартирането и конфигурирането на VPN сървър може да стане само за няколко минути. Компонентите на уеб интерфейса работят под непривилегирован потребител и достъпът е възможен само през HTTPS.
Firezone се състои от един разпределим Linux пакет, който може да бъде инсталиран и управляван от потребителя. Кодът на проекта е написан на Elixir и Ruby и се разпространява под лиценза Apache 2.0.
Накрая ако се интересувате да научите повече за това или искате да следвате инструкциите за инсталиране, можете да го направите от следната връзка.