Ak chcete vytvoriť server VPN, poviem vám, že existuje vynikajúca možnosť, ktorou sa môžete podporiť pri dosahovaní svojho poslania, a tým je projekt. Firezone vyvíja server VPN strOrganizovať prístup k hostiteľom vo vnútornej sieti izolovanej od používateľských zariadení umiestnených v externých sieťach.
Projekt má za cieľ dosiahnuť vysokú úroveň bezpečnosti a zjednodušiť proces implementácie VPN.
O Firezone
Projekt vyvíja Cisco Security Automation Engineer, ktorí sa pokúsili vytvoriť riešenie, ktoré automatizuje prácu s konfiguráciou hostiteľa a eliminuje problémy, s ktorými sa museli stretnúť pri organizovaní bezpečného prístupu k VPC v cloude.
Požiarna zóna funguje ako rozhranie k obom jadrovým modulom WireGuard pokiaľ ide o jadrový subsystém netfilter. Vytvorte rozhranie WireGuard (štandardne sa nazýva wg-firezone) a tabuľku netfilter a do smerovacej tabuľky pridajte príslušné trasy. Iné programy, ktoré upravujú smerovaciu tabuľku Linuxu alebo bránu firewall netfilter, môžu interferovať s prevádzkou Firezone.
Firezone si môžete predstaviť ako open source náprotivok servera OpenVPN Access Server postaveného na vrchole WireGuard namiesto OpenVPN.
WireGuard sa používa na organizáciu komunikačných kanálov vo Firezone. Firezone má tiež vstavanú funkciu brány firewall, ktorá používa nftables.
V súčasnej podobe brána firewall je obmedzená blokovaním odchádzajúcej prevádzky na konkrétnych hostiteľov alebo podsiete Vo vnútorných alebo externých sieťach je to spôsobené tým, že Firezone je beta softvér, takže zatiaľ sa jeho používanie odporúča iba obmedzením prístupu siete k webovému používateľskému rozhraniu, aby sa zabránilo jeho vystaveniu verejnému internetu.
Firezone vyžaduje na spustenie vo výrobe platný certifikát SSL a zodpovedajúci záznam DNS, ktorý je možné vygenerovať a spravovať nástrojom Let's Encrypt na vygenerovanie bezplatného certifikátu SSL.
Na strane správa, uvádza sa, že sa to robí prostredníctvom webového rozhrania alebo v režime príkazového riadka pomocou obslužného programu firezone-ctl. Webové rozhranie je postavené na báze Admin One Bulma.
V súčasnej dobe, všetky komponenty Firezone bežia na rovnakom serveri, Projekt je však pôvodne vyvinutý s ohľadom na modularitu a v budúcnosti sa plánuje pridanie možnosti distribúcie komponentov pre webové rozhranie, VPN a firewall na rôznych hostiteľoch.
Plány tiež spomínajú integráciu blokovania reklám na báze DNS, podporu zoznamov blokov hostiteľov a podsietí, schopnosť autentifikácie prostredníctvom LDAP / SSO a ďalšie možnosti správy používateľov.
Zo spomínaných funkcií Firezone:
- Rýchlo: Použite WireGuard, aby bol 3-4 krát rýchlejší ako OpenVPN.
- Žiadne závislosti: všetky závislosti sú zoskupené vďaka šéfkuchárovi Omnibusovi.
- Jednoduché: Nastavenie trvá niekoľko minút. Spravujte pomocou jednoduchého rozhrania CLI API.
- Bezpečný: funguje bez oprávnení. Použitý protokol HTTPS.
- Šifrované súbory cookie.
- Zahrnutý firewall - používa Linux nftables na blokovanie nechceného odchádzajúceho prenosu.
Na inštaláciu sú ponúkané balíky rpm a deb pre rôzne verzie CentOS, Fedora, Ubuntu a Debian, ktorých inštalácia nevyžaduje externé závislosti, pretože všetky potrebné závislosti sú už zahrnuté v súprave nástrojov Chef Omnibus.
Pracovať, potrebujete iba distribúciu Linuxu, ktorá má jadro Linuxu nie staršie ako 4.19 a modul jadra zostavený pomocou VPN WireGuard. Podľa autora spustenie a konfiguráciu servera VPN je možné vykonať za niekoľko minút. Komponenty webového rozhrania bežia pod neoprávneným užívateľom a prístup je možný iba cez HTTPS.
Firezone pozostáva z jedného distribuovateľného balíka Linux, ktorý môže nainštalovať a spravovať používateľ. Kód projektu je napísaný v jazykoch Elixir a Ruby a je distribuovaný pod licenciou Apache 2.0.
Konečne ak máte záujem dozvedieť sa o tom viac alebo chcete postupovať podľa pokynov na inštaláciu, môžete to urobiť z nasledujúci odkaz.