Se vi volas krei VPN-servilon, mi diru al vi, ke ekzistas bonega eblo, de kiu vi povas subteni vin mem por atingi vian mision kaj tio estas, ke la projekto Firezone disvolvas VPN-servilon pOrganizi aliron al gastigantoj en interna reto izolita de uzantaj aparatoj situantaj en eksteraj retoj.
La projekto celas atingi altan nivelon de sekureco kaj simpligi la efektivigan procezon de VPN.
Pri Firezone
La projekto estas ellaborita de Cisco Security Automation Engineer, kiu provis krei solvon, kiu aŭtomatigas laboron kun gastiga agordo kaj forigas la ĝenon, kiun ili devis alfronti dum organizado de sekura aliro al VPC-oj en la nubo.
Fajrorezono rolas kiel interfaco al ambaŭ la kerna modulo WireGuard koncerne la kernan subsistemon netfilter. Kreu interfacon WireGuard (nomatan wg-firezone defaŭlte) kaj retfiltran tablon kaj aldonu la taŭgajn itinerojn al la enreta tablo. Aliaj programoj, kiuj modifas la Linuksan vojan tablon aŭ la retfiltran fajromuron, povas malhelpi la funkciadon de Firezone.
Firezone povas esti opiniita kiel malfermfonteca ekvivalento al OpenVPN Access Server, konstruita sur WireGuard anstataŭ OpenVPN.
WireGuard estas uzata por organizi komunikajn kanalojn en Firezone. Firezone ankaŭ havas enkonstruitan fajroŝirmilon, kiu uzas nftables.
En ĝia nuna formo, la fajroŝirmilo estas limigita blokante foriran trafikon al specifaj gastigantoj aŭ subretoj En internaj aŭ eksteraj retoj, ĉi tio estas pro la fakto, ke Firezone estas beta-programaro, do nuntempe ĝia uzo rekomendas nur per limigo de la aliro de la reto al la interreta uzantinterfaco por eviti eksponi ĝin al la publika interreto.
Fajrorezono postulas validan SSL-atestilon kaj kongruan DNS-rekordon por produktiĝi, kiuj povas esti generitaj kaj administritaj per la ilo Lasu Ĉifri por generi senpagan SSL-atestilon.
Flanke de administrado, estas menciite, ke ĉi tio estas farita per la interreta interfaco aŭ en komandlinia reĝimo per la utileco firezone-ctl. La interreta interfaco estas kreita surbaze de Admin One Bulma.
Nuntempe, ĉiuj Firezone-eroj funkcias sur la sama servilo, Sed la projekto estas komence disvolvita kun rigardo al modulareco, kaj estonte oni planas aldoni la eblon distribui komponantojn por la interreta interfaco, VPN kaj fajroŝirmilo sur diversaj gastigantoj.
La planoj ankaŭ mencias la integriĝon de DNS-bazita anonco-blokilo, subtenon por listoj de gastigantoj kaj subretaj blokoj, la eblon aŭtentikigi per LDAP / SSO, kaj aldonajn administradajn kapablojn.
El la menciitaj trajtoj de Firezone:
- Rapide: uzu WireGuard por esti 3-4-oble pli rapida ol OpenVPN.
- Neniuj dependecoj: ĉiuj dependecoj grupiĝas danke al Chef Omnibus.
- Simpla: necesas kelkaj minutoj por agordi. Administri per simpla API CLI.
- Sekura: funkcias sen privilegioj. HTTPS validis.
- Ĉifritaj kuketoj.
- Fajromuro inkluzivita - Uzas Linuksajn nftables por bloki nedeziratan eksteran trafikon.
Por instalado, rpm kaj deb-pakoj estas ofertitaj por malsamaj versioj de CentOS, Fedora, Ubuntu kaj Debian, kies instalado ne bezonas eksterajn dependecojn, ĉar ĉiuj necesaj dependecoj jam estas inkluzivitaj per la ilaro de Chef Omnibus.
Labori, vi bezonas nur Linuksan distribuon, kiu havas Linuksan kernon ne pli frue ol 4.19 kaj kernan modulon kompilitan per WireGuard VPN. Laŭ la aŭtoro, komenci kaj agordi VPN-servilon povas esti farita en nur kelkaj minutoj. La eroj de la interreta interfaco funkcias sub senprivilegia uzanto kaj aliro eblas nur per HTTPS.
Firezone konsistas el ununura distribuebla Linuksa pakaĵo, kiun la uzanto povas instali kaj administri. La projekta kodo estas skribita en Eliksiro kaj Ruby, kaj estas distribuita sub la permesilo Apache 2.0.
Fine se vi interesiĝas scii pli pri ĝi aŭ vi volas sekvi la instalinstrukciojn, vi povas fari ĝin de la sekva ligilo.
Estu la unua por komenti