Ako želite stvoriti VPN poslužitelj, dopustite mi da vam kažem da postoji izvrsna opcija od koje se možete podržati u ostvarivanju svoje misije, a to je da je projekt Firezone razvija VPN poslužitelj strOrganizirati pristup hostovima na unutarnjoj mreži izoliranoj od korisničkih uređaja koji se nalaze na vanjskim mrežama.
Projekt ima za cilj postići visoku razinu sigurnosti i pojednostaviti proces implementacije VPN -a.
O Firezoneu
Projekt razvija Ciscov inženjer sigurnosne automatizacije, koji su pokušali stvoriti rješenje koje automatizira rad s konfiguracijom hosta i eliminira probleme s kojima su se morali suočiti pri organizaciji sigurnog pristupa VPC -ovima u oblaku.
Požarna zona djeluje kao sučelje za modul jezgre WireGuard što se tiče podsustava jezgre netfiltera. Izradite WireGuard sučelje (prema zadanim postavkama nazvano wg-firezone) i tablicu netfiltera i dodajte odgovarajuće rute u tablicu usmjeravanja. Drugi programi koji mijenjaju Linux tablicu usmjeravanja ili vatrozid netfiltera mogu ometati rad Firezone.
Firezone se može smatrati otvorenim izvorom za OpenVPN Access Server, izgrađen na vrhu WireGuarda umjesto OpenVPN -a.
WireGuard se koristi za organizaciju komunikacijskih kanala u Firezoneu. Firezone također ima ugrađenu funkciju vatrozida koja koristi nftables.
U svom sadašnjem obliku, vatrozid je ograničen blokiranjem odlaznog prometa na određene hostove ili podmreže U unutarnjim ili vanjskim mrežama to je zbog činjenice da je Firezone beta softver, pa se za sada njegova upotreba preporučuje samo ograničavanjem pristupa mreže web korisničkom sučelju kako bi se izbjeglo izlaganje javnom Internetu.
Firezone za rad u proizvodnji zahtijeva važeći SSL certifikat i odgovarajući DNS zapis, koji se može generirati i upravljati pomoću alata Let's Encrypt za generiranje besplatnog SSL certifikata.
Od strane uprave, spominje se da se to radi putem web sučelja ili u načinu naredbenog retka pomoću uslužnog programa firezone-ctl. Web sučelje izgrađeno je na temelju Admin One Bulma.
Trenutno, sve Firezone komponente rade na istom poslužitelju, No, projekt je u početku razvijen s obzirom na modularnost, a u budućnosti se planira dodati mogućnost distribucije komponenti za web sučelje, VPN i vatrozid na različitim hostovima.
U planovima se također spominje integracija blokatora oglasa zasnovanog na DNS-u, podrška za popis blokova domaćina i podmreža, mogućnost autentifikacije putem LDAP / SSO-a te dodatne mogućnosti upravljanja korisnicima.
Od spomenutih značajki Firezone:
- Brzo: upotrijebite WireGuard 3-4 puta brže od OpenVPN-a.
- Nema ovisnosti: sve ovisnosti grupirane su zahvaljujući Chef Omnibusu.
- Jednostavno: potrebno je nekoliko minuta za postavljanje. Upravljajte putem jednostavnog CLI API -ja.
- Sigurno: radi bez privilegija. Primijenjen HTTPS.
- Šifrirani kolačići.
- Uključen vatrozid - koristi Linux nftables za blokiranje neželjenog odlaznog prometa.
Za instalaciju se nude rpm i deb paketi za različite verzije CentOS -a, Fedore, Ubuntu -a i Debiana, čija instalacija ne zahtijeva vanjske ovisnosti, budući da su sve potrebne ovisnosti već uključene pomoću alata Chef Omnibus.
Raditi, potrebna vam je samo Linux distribucija koja ima Linux kernel ne ranije od 4.19 i modul jezgre sastavljen s WireGuard VPN -om. Prema autoru, pokretanje i konfiguriranje VPN poslužitelja može se obaviti u samo nekoliko minuta. Komponente web sučelja izvode se pod neprivilegiranim korisnikom, a pristup je moguć samo putem HTTPS-a.
Firezone se sastoji od jednog distribuiranog Linux paketa koji može instalirati i upravljati korisnik. Kôd projekta napisan je na Elixir -u i Ruby -u, a distribuira se pod licencom Apache 2.0.
Konačno ako vas zanima više o tome ili želite slijediti upute za instalaciju, možete to učiniti iz sljedeći link.