Jeśli chcesz stworzyć serwer VPN, powiem ci, że istnieje doskonała opcja, z której możesz wesprzeć się w realizacji swojej misji i to jest projekt Firezone opracowuje serwer VPN pOrganizowanie dostępu do hostów w sieci wewnętrznej odizolowanej od urządzeń użytkowników znajdujących się w sieciach zewnętrznych.
Projekt ma na celu osiągnięcie wysokiego poziomu bezpieczeństwa i uprościć proces wdrażania VPN.
O Firezone
Projekt jest opracowywany przez inżyniera Cisco Security Automation Engine, którzy próbowali stworzyć rozwiązanie automatyzujące pracę z konfiguracją hosta i eliminujące kłopoty, z jakimi musieli się zmierzyć podczas organizowania bezpiecznego dostępu do VPC w chmurze.
Strefa pożarowa działa jako interfejs zarówno dla modułu jądra WireGuard jak dla podsystemu jądra netfilter. Utwórz interfejs WireGuard (domyślnie nazywany wg-firezone) oraz tabelę netfilter i dodaj odpowiednie trasy do tabeli routingu. Inne programy, które modyfikują tabelę routingu Linuksa lub zaporę sieciową netfilter, mogą zakłócać działanie Firezone.
Firezone można traktować jako odpowiednik OpenVPN Access Server, zbudowany na bazie WireGuard zamiast OpenVPN.
WireGuard służy do organizowania kanałów komunikacji w Firezone. Firezone ma również wbudowaną funkcję zapory, która wykorzystuje nftables.
W obecnej formie zapora jest ograniczona przez blokowanie ruchu wychodzącego do określonych hostów lub podsieci W sieciach wewnętrznych lub zewnętrznych wynika to z faktu, że Firezone jest oprogramowaniem w wersji beta, więc na chwilę obecną zaleca się korzystanie z niego jedynie poprzez ograniczenie dostępu sieci do interfejsu użytkownika sieciowego, aby nie narażać go na publiczny Internet.
Firezone wymaga ważnego certyfikatu SSL i pasującego rekordu DNS do działania w środowisku produkcyjnym, które mogą być generowane i zarządzane przez narzędzie Let's Encrypt w celu wygenerowania bezpłatnego certyfikatu SSL.
Część administracji, wspomina się, że odbywa się to przez interfejs sieciowy lub w trybie wiersza poleceń za pomocą narzędzia firezone-ctl. Interfejs sieciowy zbudowany jest w oparciu o Admin One Bulma.
Obecnie wszystkie komponenty Firezone działają na tym samym serwerze, Jednak projekt jest początkowo rozwijany z myślą o modułowości, aw przyszłości planuje się dodanie możliwości dystrybucji komponentów interfejsu sieciowego, VPN i firewalla na różnych hostach.
Plany wspominają również o integracji blokera reklam opartego na DNS, obsłudze list bloków hostów i podsieci, możliwości uwierzytelniania przez LDAP / SSO oraz dodatkowych możliwościach zarządzania użytkownikami.
Z wymienionych cech Firezone:
- Szybko: użyj WireGuard, aby być 3-4 razy szybszym niż OpenVPN.
- Brak zależności: wszystkie zależności są grupowane dzięki Chef Omnibus.
- Proste: konfiguracja zajmuje kilka minut. Zarządzaj za pomocą prostego interfejsu API CLI.
- Bezpieczny: działa bez uprawnień. Zastosowano HTTPS.
- Zaszyfrowane pliki cookie.
- Zawiera zaporę sieciową — wykorzystuje narzędzia Linux nftables do blokowania niepożądanego ruchu wychodzącego.
Do instalacji oferowane są pakiety rpm i deb dla różnych wersji CentOS, Fedora, Ubuntu i Debian, których instalacja nie wymaga zewnętrznych zależności, ponieważ wszystkie niezbędne zależności są już zawarte przy użyciu zestawu narzędzi Chef Omnibus.
Pracować, potrzebujesz tylko dystrybucji Linuksa, która ma jądro Linuksa nie starsze niż 4.19 i moduł jądra skompilowany z WireGuard VPN. Według autora uruchomienie i konfigurację serwera VPN można wykonać w zaledwie kilka minut. Komponenty interfejsu internetowego działają pod nieuprzywilejowanym użytkownikiem, a dostęp jest możliwy tylko przez HTTPS.
Firezone składa się z pojedynczego dystrybuowalnego pakietu Linux, który może być zainstalowany i zarządzany przez użytkownika. Kod projektu jest napisany w Elixir i Ruby i jest rozpowszechniany na licencji Apache 2.0.
W końcu jeśli chcesz dowiedzieć się więcej na ten temat lub chcesz postępować zgodnie z instrukcjami instalacji, możesz to zrobić od poniższy link.