Wenn Sie einen VPN-Server erstellen möchten, möchte ich Ihnen sagen, dass es eine hervorragende Option gibt, mit der Sie Ihre Mission erfüllen können, und zwar das Projekt Firezone entwickelt einen VPN-Server pUm den Zugriff auf Hosts in einem internen Netzwerk zu organisieren, die von Benutzergeräten in externen Netzwerken isoliert sind.
Das Projekt strebt ein hohes Maß an Sicherheit an und vereinfachen den VPN-Implementierungsprozess.
Über Firezone
Das Projekt wird von einem Cisco Security Automation Engineer entwickelt, der versucht hat, eine Lösung zu entwickeln, die die Arbeit mit der Hostkonfiguration automatisiert und den Aufwand für die Organisation des sicheren Zugriffs auf VPCs in der Cloud beseitigt.
Feuerzone fungiert als Schnittstelle zum WireGuard-Kernelmodul wie für das Kernel-Subsystem netfilter. Erstellen Sie eine WireGuard-Schnittstelle (standardmäßig wg-firezone genannt) und eine Netfilter-Tabelle und fügen Sie der Routing-Tabelle die entsprechenden Routen hinzu. Andere Programme, die die Linux-Routing-Tabelle oder die Netfilter-Firewall ändern, können den Betrieb von Firezone stören.
Sie können sich Firezone als Open-Source-Gegenstück zu OpenVPN Access Server vorstellen, das auf WireGuard anstelle von OpenVPN basiert.
WireGuard wird verwendet, um Kommunikationskanäle in Firezone zu organisieren. Firezone verfügt auch über eine integrierte Firewall-Funktionalität, die nftables verwendet.
In seiner jetzigen Form die Firewall wird durch das Blockieren des ausgehenden Datenverkehrs zu bestimmten Hosts oder Subnetzen eingeschränkt In internen oder externen Netzwerken liegt dies daran, dass Firezone eine Beta-Software ist, daher wird die Verwendung derzeit nur empfohlen, indem der Zugriff des Netzwerks auf die Web-Benutzeroberfläche beschränkt wird, um eine Offenlegung des öffentlichen Internets zu vermeiden.
Firezone erfordert ein gültiges SSL-Zertifikat und einen passenden DNS-Eintrag, um in der Produktion ausgeführt zu werden, die vom Let's Encrypt-Tool generiert und verwaltet werden können, um ein kostenloses SSL-Zertifikat zu generieren.
Seitens Verwaltung wird erwähnt, dass dies über das Webinterface erfolgt oder im Befehlszeilenmodus mit dem Dienstprogramm firezone-ctl. Das Webinterface basiert auf Admin One Bulma.
Derzeit alle Firezone-Komponenten laufen auf demselben Server, Das Projekt ist jedoch zunächst modular aufgebaut und soll zukünftig um die Möglichkeit erweitert werden, Komponenten für Webinterface, VPN und Firewall auf verschiedene Hosts zu verteilen.
Die Pläne erwähnen auch die Integration eines DNS-basierten Werbeblockers, die Unterstützung von Host- und Subnetz-Sperrlisten, die Möglichkeit zur Authentifizierung über LDAP/SSO und zusätzliche Funktionen zur Benutzerverwaltung.
Von den genannten Funktionen von Firezone:
- Schnell: Verwenden Sie WireGuard, um 3-4 mal schneller als OpenVPN zu sein.
- Keine Abhängigkeiten: Dank Chef Omnibus sind alle Abhängigkeiten gruppiert.
- Ganz einfach: Die Einrichtung dauert einige Minuten. Verwalten Sie über eine einfache CLI-API.
- Sicher: funktioniert ohne Privilegien. HTTPS angewendet.
- Verschlüsselte Cookies.
- Firewall enthalten - Verwendet Linux nftables, um unerwünschten ausgehenden Datenverkehr zu blockieren.
Zur Installation werden rpm- und deb-Pakete angeboten für verschiedene Versionen von CentOS, Fedora, Ubuntu und Debian, deren Installation keine externen Abhängigkeiten erfordert, da alle notwendigen Abhängigkeiten bereits mit dem Chef Omnibus-Toolkit enthalten sind.
Arbeiten, Sie benötigen nur eine Linux-Distribution, die einen Linux-Kernel frühestens 4.19 und ein mit WireGuard VPN kompiliertes Kernel-Modul hat. Das Starten und Konfigurieren eines VPN-Servers ist laut Autor in wenigen Minuten erledigt. Die Komponenten des Webinterface laufen unter einem nicht privilegierten Benutzer und der Zugriff ist nur über HTTPS möglich.
Firezone besteht aus einem einzelnen verteilbaren Linux-Paket, das vom Benutzer installiert und verwaltet werden kann. Der Projektcode ist in Elixir und Ruby geschrieben und wird unter der Apache 2.0-Lizenz vertrieben.
Schließlich wenn Sie mehr darüber wissen möchten oder Sie möchten die Installationsanweisungen befolgen, können Sie dies tun von den folgenden Link.