Ha VPN -kiszolgálót szeretne létrehozni, hadd mondjam el, hogy van egy kiváló lehetőség, amellyel támogathatja magát küldetésének eléréséhez, és ez a projekt A Firezone VPN szervert fejlesztA gazdagépekhez való hozzáférés megszervezése a külső hálózatokon található felhasználói eszközökről elkülönített belső hálózaton.
A projekt célja a magas szintű biztonság elérése és egyszerűsítse a VPN -megvalósítási folyamatot.
A Firezone -ról
A projekt a Cisco biztonsági automatizálási mérnöke fejleszt, akik olyan megoldást próbáltak létrehozni, amely automatizálja a munkát a gazdagép konfigurációjával, és kiküszöböli azt a problémát, amellyel a felhőben lévő VPC -khez való biztonságos hozzáférés megszervezésekor szembesülniük kellett.
tűz zóna interfészként működik a WireGuard kernelmodulhoz ami a netfilter kernel alrendszert illeti. Hozzon létre egy WireGuard interfészt (alapértelmezés szerint wg-firezone) és egy netfilter táblát, és adja hozzá a megfelelő útvonalakat az útválasztási táblázathoz. A Linux útválasztási tábláját vagy a netfilter tűzfalat módosító egyéb programok zavarhatják a Firezone működését.
A Firezone úgy tekinthető, mint az OpenVPN Access Server nyílt forráskódú párja, amely az OpenVPN helyett a WireGuard tetejére épül.
A WireGuard a Firezone kommunikációs csatornáinak szervezésére szolgál. A Firezone beépített tűzfalfunkcióval is rendelkezik, amely nftables-t használ.
Jelenlegi formájában a tűzfalat korlátozza az, hogy blokkolja a kimenő forgalmat bizonyos hosztokhoz vagy alhálózatokhoz Belső vagy külső hálózatokban ez annak a ténynek köszönhető, hogy a Firezone béta szoftver, ezért egyelőre csak azt javasoljuk, hogy korlátozza a hálózat hozzáférését a webes felhasználói felülethez, nehogy nyilvános internetnek tegye ki.
A Firezone érvényes SSL -tanúsítványt és egy megfelelő DNS -rekordot igényel a termelésben történő futtatáshoz, amelyet a Letöltés titkosítása eszköz generálhat és kezelhet, hogy ingyenes SSL -tanúsítványt állítson elő.
Részéről adminisztráció, megemlítik, hogy ez a webes felületen keresztül történik vagy parancssori módban a firezone-ctl segédprogrammal. A webes felület az Admin One Bulma alapján készült.
Jelenleg minden Firezone összetevő ugyanazon a szerveren fut, A projektet azonban kezdetben a modularitás szemszögéből fejlesztették ki, és a jövőben azt tervezik, hogy hozzáadják a webes felület, a VPN és a tűzfal összetevőinek különböző gazdagépeken történő terjesztésének lehetőségét.
A tervek megemlítik a DNS-alapú hirdetésblokkoló integrálását, a gazda- és alhálózati blokklisták támogatását, az LDAP / SSO-n keresztüli hitelesítés lehetőségét és a további felhasználói kezelési lehetőségeket is.
A Firezone említett jellemzői közül:
- Gyors: használja a WireGuardot, hogy 3-4-szer gyorsabb legyen, mint az OpenVPN.
- Nincs függőség: minden függőség csoportosítva van a séf Omnibusnak köszönhetően.
- Egyszerű: a beállítás néhány percet vesz igénybe. Kezelés egyszerű CLI API -n keresztül.
- Biztonságos: jogosultságok nélkül működik. HTTPS alkalmazva.
- Titkosított cookie -k.
- Tűzfal is - Linux nftables -t használ a nem kívánt kimenő forgalom blokkolására.
A telepítéshez rpm és deb csomagokat kínálnak a CentOS, a Fedora, az Ubuntu és a Debian különböző verzióihoz, amelyek telepítése nem igényel külső függőségeket, mivel a Chef Omnibus eszköztár segítségével minden szükséges függőség már benne van.
Dolgozni, csak olyan Linux disztribúcióra van szüksége, amelynek legkorábbi Linux -kernelje 4.19 -nél van, és egy kernelmodulra, amely a WireGuard VPN segítségével lett összeállítva. A szerző szerint a VPN -kiszolgáló elindítása és konfigurálása mindössze néhány perc alatt elvégezhető. A webes felület összetevői nem jogosult felhasználók alatt futnak, és a hozzáférés csak HTTPS-en keresztül lehetséges.
A Firezone egyetlen elosztható Linux csomagból áll, amelyet a felhasználó telepíthet és kezelhet. A projekt kódja Elixir és Ruby nyelven íródott, és az Apache 2.0 licenc alatt kerül forgalomba.
Végül ha érdekel, hogy többet tudjon meg róla vagy szeretné követni a telepítési utasításokat, megteheti innen a következő link.