Si vous souhaitez créer un serveur VPN, laissez-moi vous dire qu'il existe une excellente option à partir de laquelle vous pouvez vous soutenir pour réaliser votre mission et c'est que le projet Firezone développe un serveur VPN pPour organiser l'accès aux hôtes sur un réseau interne isolé des appareils utilisateur situés sur des réseaux externes.
Le projet vise à atteindre un haut niveau de sécurité et simplifier le processus de mise en œuvre du VPN.
À propos de Firezone
Le projet est en cours de développement par un ingénieur en automatisation de la sécurité de Cisco, qui a essayé de créer une solution qui automatise le travail avec la configuration de l'hôte et élimine les tracas auxquels ils ont dû faire face lors de l'organisation d'un accès sécurisé aux VPC dans le cloud.
Zone d'incendie agit comme une interface à la fois avec le module du noyau WireGuard comme pour le netfilter du sous-système du noyau. Créez une interface WireGuard (appelée wg-firezone par défaut) et une table netfilter et ajoutez les routes appropriées à la table de routage. D'autres programmes qui modifient la table de routage Linux ou le pare-feu netfilter peuvent interférer avec le fonctionnement de Firezone.
Vous pouvez considérer Firezone comme un équivalent open source d'OpenVPN Access Server, construit sur WireGuard au lieu d'OpenVPN.
WireGuard est utilisé pour organiser les canaux de communication dans Firezone. Firezone dispose également d'une fonctionnalité de pare-feu intégrée qui utilise nftables.
Dans sa forme actuelle, le pare-feu est limité en bloquant le trafic sortant vers des hôtes ou des sous-réseaux spécifiques Dans les réseaux internes ou externes, cela est dû au fait que Firezone est un logiciel bêta, donc pour le moment son utilisation n'est recommandée qu'en limitant l'accès réseau à l'interface utilisateur Web pour éviter de l'exposer à l'Internet public.
Firezone nécessite un certificat SSL valide et un enregistrement DNS correspondant pour s'exécuter en production, qui peuvent être générés et gérés par l'outil Let's Encrypt pour générer un certificat SSL gratuit.
De la part de l'administration, il est mentionné que cela se fait via l'interface web ou en mode ligne de commande à l'aide de l'utilitaire firezone-ctl. L'interface Web est construite sur la base d'Admin One Bulma.
Actuellement, tous les composants Firezone s'exécutent sur le même serveur, Mais le projet est initialement développé dans un souci de modularité, et à l'avenir, il est prévu d'ajouter la possibilité de distribuer des composants pour l'interface Web, le VPN et le pare-feu sur différents hôtes.
Les plans mentionnent également l'intégration d'un bloqueur de publicités basé sur DNS, la prise en charge des listes de blocage d'hôtes et de sous-réseaux, la possibilité de s'authentifier via LDAP / SSO et des capacités supplémentaires de gestion des utilisateurs.
Parmi les fonctionnalités mentionnées de Firezone :
- Rapide : utilisez WireGuard pour être 3 à 4 fois plus rapide qu'OpenVPN.
- Pas de dépendances : toutes les dépendances sont regroupées grâce à Chef Omnibus.
- Simple : prend quelques minutes à mettre en place. Gérez via une simple API CLI.
- Sûr : fonctionne sans privilèges. HTTPS appliqué.
- Cookies cryptés.
- Pare-feu inclus - Utilise Linux nftables pour bloquer le trafic sortant indésirable.
Pour l'installation, des packages rpm et deb sont proposés pour différentes versions de CentOS, Fedora, Ubuntu et Debian, dont l'installation ne nécessite pas de dépendances externes, car toutes les dépendances nécessaires sont déjà incluses à l'aide de la boîte à outils Chef Omnibus.
Travailler, vous n'avez besoin que d'une distribution Linux qui a un noyau Linux au plus tôt 4.19 et un module de noyau compilé avec VPN WireGuard. Selon l'auteur, le démarrage et la configuration d'un serveur VPN peuvent se faire en quelques minutes seulement. Les composants de l'interface Web s'exécutent sous un utilisateur non privilégié et l'accès n'est possible que via HTTPS.
Firezone se compose d'un seul package Linux distribuable qui peut être installé et géré par l'utilisateur. Le code du projet est écrit en Elixir et Ruby, et est distribué sous la licence Apache 2.0.
Enfin si vous souhaitez en savoir plus ou vous voulez suivre les instructions d'installation, vous pouvez le faire à partir de le lien suivant.