Hvis du vil opprette en VPN -server, la meg fortelle deg at det er et utmerket alternativ som du kan bruke for å oppnå oppdraget ditt, og det er at prosjektet Firezone utvikler en VPN -server sÅ organisere tilgang til verter på et internt nettverk isolert fra brukerenheter på eksterne nettverk.
Prosjektet har som mål å oppnå et høyt sikkerhetsnivå og forenkle VPN -implementeringsprosessen.
Om Firezone
Prosjektet er under utvikling av en Cisco Security Automation Engineer, som prøvde å lage en løsning som automatiserer arbeidet med vertskonfigurasjon og eliminerer bryet de måtte møte når de organiserte sikker tilgang til VPC -er i skyen.
Brannsone fungerer som et grensesnitt til både WireGuard -kjernemodulen som for netfilter -kjerneundersystemet. Lag et WireGuard-grensesnitt (kalt wg-firezone som standard) og et nettfilter-bord, og legg til de riktige rutene i rutetabellen. Andre programmer som endrer Linux -rutetabellen eller nettfilterbrannmuren, kan forstyrre driften av Firezone.
Firezone kan betraktes som en åpen kildekode til OpenVPN Access Server, bygget på toppen av WireGuard i stedet for OpenVPN.
WireGuard brukes til å organisere kommunikasjonskanaler i Firezone. Firezone har også en innebygd brannmurfunksjonalitet som bruker nftables.
I sin nåværende form, brannmuren er begrenset av å blokkere utgående trafikk til bestemte verter eller delnett I interne eller eksterne nettverk skyldes dette det faktum at Firezone er en beta -programvare, så for øyeblikket anbefales bruk av det bare ved å begrense tilgangen til nettverket til webbrukergrensesnittet for å unngå å eksponere det for det offentlige Internett.
Firezone krever et gyldig SSL -sertifikat og en matchende DNS -post for å kjøre i produksjon, som kan genereres og administreres av Let's Encrypt -verktøyet for å generere et gratis SSL -sertifikat.
På den delen av administrasjon, nevnes det at dette gjøres gjennom webgrensesnittet eller i kommandolinjemodus ved hjelp av firezone-ctl-verktøyet. Nettgrensesnittet er bygget på grunnlag av Admin One Bulma.
Tiden, alle Firezone -komponenter kjøres på samme server, Men prosjektet er i utgangspunktet utviklet med tanke på modularitet, og i fremtiden er det planlagt å legge til muligheten til å distribuere komponenter for webgrensesnittet, VPN og brannmur på forskjellige verter.
Planene nevner også integrering av en DNS-basert annonseblokkering, støtte for blokkeringslister for verts- og delnett, muligheten til å autentisere via LDAP / SSO og flere brukeradministrasjonsfunksjoner.
Av de nevnte egenskapene til Firezone:
- Rask: Bruk WireGuard til å være 3-4 ganger raskere enn OpenVPN.
- Ingen avhengigheter: alle avhengigheter er gruppert takket være Chef Omnibus.
- Enkelt: tar noen minutter å sette opp. Administrer gjennom et enkelt CLI API.
- Trygt: fungerer uten privilegier. HTTPS er brukt.
- Krypterte informasjonskapsler.
- Brannmur inkludert - Bruker Linux nftables for å blokkere uønsket utgående trafikk.
For installasjon tilbys omdreininger og deb -pakker for forskjellige versjoner av CentOS, Fedora, Ubuntu og Debian, hvis installasjon ikke krever eksterne avhengigheter, siden alle nødvendige avhengigheter allerede er inkludert ved hjelp av Chef Omnibus -verktøysettet.
Å jobbe, du trenger bare en Linux -distribusjon som har en Linux -kjerne ikke tidligere enn 4.19 og en kjernemodul kompilert med WireGuard VPN. Ifølge forfatteren kan start og konfigurering av en VPN -server gjøres på bare noen få minutter. Komponentene i webgrensesnittet kjøres under en ikke-privilegert bruker, og tilgang er bare mulig via HTTPS.
Firezone består av en enkelt distribuerbar Linux -pakke som kan installeres og administreres av brukeren. Prosjektkoden er skrevet i Elixir og Ruby, og distribueres under Apache 2.0 -lisensen.
Endelig hvis du er interessert i å vite mer om det eller du vil følge installasjonsinstruksjonene, kan du gjøre det fra følgende lenke.