Se você deseja criar um servidor VPN, deixe-me dizer-lhe que existe uma excelente opção que você pode usar para cumprir sua missão e é que o projeto Firezone está desenvolvendo um servidor VPN pPara organizar o acesso a hosts em uma rede interna isolada de dispositivos de usuários localizados em redes externas.
O projeto visa atingir um alto nível de segurança e simplificar o processo de implementação de VPN.
Sobre o Firezone
O projeto está sendo desenvolvido por um engenheiro de automação de segurança da Cisco, que tentou criar uma solução que automatiza o trabalho com configuração de host e elimina o incômodo que eles tiveram que enfrentar ao organizar o acesso seguro a VPCs na nuvem.
Zona de fogo atua como uma interface para o módulo de kernel WireGuard quanto ao netfilter do subsistema do kernel. Crie uma interface WireGuard (chamada wg-firezone por padrão) e uma tabela netfilter e adicione as rotas apropriadas à tabela de roteamento. Outros programas que modificam a tabela de roteamento do Linux ou o firewall netfilter podem interferir na operação do Firezone.
Você pode pensar no Firezone como uma contraparte de código aberto para o OpenVPN Access Server, construído sobre o WireGuard em vez do OpenVPN.
WireGuard é usado para organizar canais de comunicação no Firezone. O Firezone também possui uma funcionalidade de firewall embutida que usa nftables.
Em sua forma atual, o firewall é limitado pelo bloqueio do tráfego de saída para hosts ou sub-redes específicos Em redes internas ou externas, isso se deve ao fato de o Firezone ser um software beta, portanto, por enquanto, seu uso só é recomendado limitando o acesso da rede à interface do usuário da web para evitar sua exposição à Internet pública.
O Firezone requer um certificado SSL válido e um registro DNS correspondente para funcionar na produção, que pode ser gerado e gerenciado pela ferramenta Let's Encrypt para gerar um certificado SSL gratuito.
Na parte de administração, é mencionado que isto é feito através da interface web ou no modo de linha de comando usando o utilitário firezone-ctl. A interface da web é construída com base no Admin One Bulma.
Atualmente, todos os componentes do Firezone são executados no mesmo servidor, Mas o projeto é inicialmente desenvolvido de olho na modularidade, e no futuro está planejado adicionar a capacidade de distribuir componentes para a interface web, VPN e firewall em diferentes hosts.
Os planos também mencionam a integração de um bloqueador de anúncios baseado em DNS, suporte para listas de bloqueio de hosts e sub-redes, a capacidade de autenticação via LDAP / SSO e recursos adicionais de gerenciamento de usuários.
Dos recursos mencionados do Firezone:
- Rápido: use o WireGuard para ser 3-4 vezes mais rápido que o OpenVPN.
- Sem dependências: todas as dependências são agrupadas graças ao Chef Omnibus.
- Simples: leva alguns minutos para configurar. Gerencie por meio de uma API CLI simples.
- Seguro: funciona sem privilégios. HTTPS aplicado.
- Cookies criptografados.
- Firewall incluído - usa nftables Linux para bloquear tráfego de saída indesejado.
Para instalação, pacotes rpm e deb são oferecidos para diferentes versões do CentOS, Fedora, Ubuntu e Debian, cuja instalação não requer dependências externas, uma vez que todas as dependências necessárias já estão incluídas usando o kit de ferramentas Chef Omnibus.
Trabalhar, você só precisa de uma distribuição Linux que tenha um kernel Linux não anterior a 4.19 e um módulo de kernel compilado com VPN WireGuard. Segundo o autor, iniciar e configurar um servidor VPN pode ser feito em apenas alguns minutos. Os componentes da interface da web são executados sob um usuário sem privilégios e o acesso só é possível por HTTPS.
O Firezone consiste em um único pacote Linux distribuível que pode ser instalado e gerenciado pelo usuário. O código do projeto é escrito em Elixir e Ruby e é distribuído sob a licença Apache 2.0.
Finalmente se você estiver interessado em saber mais sobre isso ou você deseja seguir as instruções de instalação, você pode fazer isso a partir de o seguinte link.