Pokud chcete vytvořit server VPN, řeknu vám, že existuje vynikající možnost, ze které se můžete podpořit, abyste dosáhli svého poslání, a tím je, že projekt Firezone vyvíjí server VPN pOrganizovat přístup k hostitelům ve vnitřní síti izolované od uživatelských zařízení umístěných v externích sítích.
El Proyecto si klade za cíl dosáhnout vysoké úrovně zabezpečení a zjednodušit proces implementace VPN.
O Firezone
El Proyecto vyvíjí Cisco Security Automation Engineer, který se pokusil vytvořit řešení, které automatizuje práci s konfigurací hostitele a eliminuje potíže, se kterými se museli potýkat při organizování zabezpečeného přístupu k VPC v cloudu.
Požární zóna funguje jako rozhraní pro oba jádrové moduly WireGuard pokud jde o subsystém jádra netfilteru. Vytvořte rozhraní WireGuard (standardně se nazývá wg-firezone) a tabulku netfilter a přidejte do směrovací tabulky příslušné trasy. Jiné programy, které upravují směrovací tabulku Linuxu nebo bránu firewall netfilter, mohou narušovat provoz Firezone.
Firezone si můžete představit jako open source protějšek OpenVPN Access Server postaveného na WireGuard místo OpenVPN.
WireGuard se používá k organizaci komunikačních kanálů ve Firezone. Firezone má také vestavěnou funkci brány firewall, která používá nftables.
Ve své současné podobě brána firewall je omezena blokováním odchozího provozu na konkrétní hostitele nebo podsítě Ve vnitřních nebo vnějších sítích je to dáno skutečností, že Firezone je beta software, takže v tuto chvíli je jeho použití doporučeno pouze omezením přístupu sítě k webovému uživatelskému rozhraní, aby nedošlo k jeho vystavení veřejnému internetu.
Firezone vyžaduje ke spuštění ve výrobě platný certifikát SSL a odpovídající záznam DNS, který lze vygenerovat a spravovat nástrojem Let's Encrypt pro generování certifikátu SSL zdarma.
Na straně administrace, uvádí se, že se to děje prostřednictvím webového rozhraní nebo v režimu příkazového řádku pomocí obslužného programu firezone-ctl. Webové rozhraní je vytvořeno na základě Admin One Bulma.
V současné době, všechny komponenty Firezone běží na stejném serveru, Projekt je však zpočátku vyvíjen s ohledem na modularitu a do budoucna se plánuje přidání možnosti distribuce komponent pro webové rozhraní, VPN a firewall na různých hostitelích.
Plány také zmiňují integraci blokování reklam založených na DNS, podporu seznamů bloků hostitelů a podsítí, možnost autentizace prostřednictvím LDAP / SSO a další možnosti správy uživatelů.
Ze zmíněných funkcí Firezone:
- Rychle: Použijte WireGuard, abyste byli 3-4krát rychlejší než OpenVPN.
- Žádné závislosti: všechny závislosti jsou seskupeny díky Chef Omnibus.
- Jednoduché: Nastavení trvá několik minut. Spravujte pomocí jednoduchého rozhraní CLI API.
- Bezpečné: funguje bez oprávnění. Použito HTTPS.
- Šifrované cookies.
- Včetně brány firewall - používá Linux nftables k blokování nežádoucího odchozího provozu.
Pro instalaci jsou nabízeny balíčky rpm a deb pro různé verze CentOS, Fedora, Ubuntu a Debian, jejichž instalace nevyžaduje externí závislosti, protože všechny potřebné závislosti jsou již zahrnuty pomocí sady nástrojů Chef Omnibus.
Pracovat, potřebujete pouze distribuci Linuxu, která má jádro Linuxu ne starší než 4.19 a modul jádra kompilovaný pomocí VPN WireGuard. Podle autora lze spuštění a konfiguraci serveru VPN provést během několika minut. Součásti webového rozhraní běží pod privilegovaným uživatelem a přístup je možný pouze přes HTTPS.
Firezone se skládá z jednoho distribuovatelného balíčku Linux, který může nainstalovat a spravovat uživatel. Kód projektu je napsán v Elixiru a Ruby a je distribuován pod licencí Apache 2.0.
Konečně pokud máte zájem o tom vědět více nebo chcete postupovat podle pokynů k instalaci, můžete to udělat z následující odkaz.