หากคุณต้องการสร้างเซิร์ฟเวอร์ VPN ให้ฉันบอกคุณว่ามีตัวเลือกที่ยอดเยี่ยมที่คุณสามารถช่วยเหลือตัวเองให้บรรลุภารกิจของคุณได้ นั่นคือโครงการ Firezone กำลังพัฒนาเซิร์ฟเวอร์ VPN pเพื่อจัดระเบียบการเข้าถึงโฮสต์บนเครือข่ายภายในที่แยกจากอุปกรณ์ของผู้ใช้ที่อยู่บนเครือข่ายภายนอก
โครงการ มุ่งหวังให้เกิดความปลอดภัยในระดับสูง และทำให้กระบวนการใช้งาน VPN ง่ายขึ้น
เกี่ยวกับ Firezone
โครงการ กำลังถูกพัฒนาโดย Cisco Security Automation Engineerซึ่งพยายามสร้างโซลูชันที่ทำงานโดยอัตโนมัติด้วยการกำหนดค่าโฮสต์และขจัดความยุ่งยากที่ต้องเผชิญเมื่อจัดระเบียบการเข้าถึง VPC อย่างปลอดภัยในระบบคลาวด์
โซนไฟ ทำหน้าที่เป็นส่วนต่อประสานกับทั้งโมดูลเคอร์เนล WireGuard สำหรับระบบย่อยเคอร์เนล netfilter สร้างอินเทอร์เฟซ WireGuard (ค่าเริ่มต้นเรียกว่า wg-firezone) และตาราง netfilter และเพิ่มเส้นทางที่เหมาะสมลงในตารางเส้นทาง โปรแกรมอื่นๆ ที่แก้ไขตารางเส้นทาง Linux หรือไฟร์วอลล์ netfilter อาจรบกวนการทำงานของ Firezone
Firezone ถือได้ว่าเป็นโอเพ่นซอร์สคู่กับ OpenVPN Access Server ซึ่งสร้างขึ้นบน WireGuard แทน OpenVPN
WireGuard ใช้เพื่อจัดระเบียบช่องทางการสื่อสารใน Firezone. Firezone ยังมีฟังก์ชันไฟร์วอลล์ในตัวที่ใช้ nftables
ในรูปแบบปัจจุบัน ไฟร์วอลล์ถูกจำกัดโดยการบล็อกการรับส่งข้อมูลขาออกไปยังโฮสต์หรือเครือข่ายย่อยที่เฉพาะเจาะจง ในเครือข่ายภายในหรือภายนอก เนื่องจาก Firezone เป็นซอฟต์แวร์รุ่นเบต้า ดังนั้นในขณะนี้ขอแนะนำให้ใช้งานโดยจำกัดการเข้าถึงเครือข่ายไปยังอินเทอร์เฟซผู้ใช้บนเว็บเท่านั้น เพื่อหลีกเลี่ยงไม่ให้เปิดเผยต่ออินเทอร์เน็ตสาธารณะ
Firezone ต้องการใบรับรอง SSL ที่ถูกต้องและบันทึก DNS ที่ตรงกันเพื่อเรียกใช้ในการผลิต ซึ่งสามารถสร้างและจัดการได้โดยเครื่องมือ Let's Encrypt เพื่อสร้างใบรับรอง SSL ฟรี
ในส่วนของ ทางแอดมินบอกว่าทำผ่านเว็บอินเตอร์เฟส หรือในโหมดบรรทัดคำสั่งโดยใช้ยูทิลิตี้ firezone-ctl เว็บอินเตอร์เฟสถูกสร้างขึ้นบนพื้นฐานของ Admin One Bulma
ปัจจุบัน ส่วนประกอบ Firezone ทั้งหมดทำงานบนเซิร์ฟเวอร์เดียวกัน แต่โปรเจ็กต์นี้ได้รับการพัฒนาในขั้นต้นโดยคำนึงถึงความเป็นโมดูล และในอนาคตมีแผนที่จะเพิ่มความสามารถในการแจกจ่ายส่วนประกอบสำหรับเว็บอินเตอร์เฟส, VPN และไฟร์วอลล์บนโฮสต์ต่างๆ
แผนดังกล่าวยังกล่าวถึงการรวมตัวบล็อกโฆษณาบน DNS การสนับสนุนรายการบล็อกโฮสต์และซับเน็ต ความสามารถในการตรวจสอบสิทธิ์ผ่าน LDAP / SSO และความสามารถในการจัดการผู้ใช้เพิ่มเติม
จากคุณสมบัติที่กล่าวถึงของ Firezone:
- รวดเร็ว: ใช้ WireGuard ให้เร็วกว่า OpenVPN ถึง 3-4 เท่า
- ไม่มีการพึ่งพา: การพึ่งพาทั้งหมดถูกจัดกลุ่มด้วย Chef Omnibus
- ง่าย: ใช้เวลาเพียงไม่กี่นาทีในการตั้งค่า จัดการผ่าน CLI API อย่างง่าย
- ปลอดภัย: ทำงานโดยไม่มีสิทธิ์ ใช้ HTTPS แล้ว
- คุกกี้ที่เข้ารหัส
- รวมไฟร์วอลล์ - ใช้ Linux nftables เพื่อบล็อกการรับส่งข้อมูลขาออกที่ไม่ต้องการ
สำหรับการติดตั้ง จะเสนอแพ็คเกจ rpm และ deb สำหรับเวอร์ชันต่าง ๆ ของ CentOS, Fedora, Ubuntu และ Debian ซึ่งการติดตั้งไม่ต้องการการพึ่งพาภายนอก เนื่องจากการพึ่งพาที่จำเป็นทั้งหมดนั้นรวมอยู่ในชุดเครื่องมือ Chef Omnibus แล้ว
ไปทำงาน, คุณต้องการเฉพาะการแจกจ่าย Linux ที่มีเคอร์เนล Linux ไม่เร็วกว่า 4.19 และโมดูลเคอร์เนลที่คอมไพล์ด้วย WireGuard VPN. ตามที่ผู้เขียนกล่าว การเริ่มต้นและกำหนดค่าเซิร์ฟเวอร์ VPN สามารถทำได้ในเวลาเพียงไม่กี่นาที ส่วนประกอบของเว็บอินเตอร์เฟสทำงานภายใต้ผู้ใช้ที่ไม่มีสิทธิพิเศษ และการเข้าถึงทำได้ผ่าน HTTPS เท่านั้น
Firezone ประกอบด้วยแพ็คเกจ Linux แบบแจกจ่ายเดียวที่สามารถติดตั้งและจัดการได้โดยผู้ใช้ รหัสโครงการเขียนด้วย Elixir และ Ruby และเผยแพร่ภายใต้ใบอนุญาต Apache 2.0
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม หรือคุณต้องการทำตามคำแนะนำในการติดตั้ง คุณสามารถทำได้จาก ลิงค์ต่อไปนี้