Firezone, відмінний варіант для створення VPN на основі WireGuard

Якщо ви хочете створити VPN-сервер, дозвольте мені сказати вам, що є чудовий варіант, який ви можете використовувати для досягнення своєї місії, а саме те, що проект Firezone розробляє VPN-сервер сДля організації доступу до хостів у внутрішній мережі ізольовано від пристроїв користувача, розташованих у зовнішніх мережах.

Проект спрямований на досягнення високого рівня безпеки і спростити процес впровадження VPN.

Про Firezone

Проект розробляється інженером з автоматизації безпеки Cisco, який спробував створити рішення, яке автоматизує роботу з конфігурацією хоста та усуває клопоти, з якими їм доводилося стикатися під час організації безпечного доступу до VPC у хмарі.

Пожежна зона діє як інтерфейс для модуля ядра WireGuard що стосується підсистеми ядра netfilter. Створіть інтерфейс WireGuard (за замовчуванням wg-firezone) та таблицю netfilter і додайте відповідні маршрути до таблиці маршрутизації. Інші програми, які змінюють таблицю маршрутизації Linux або брандмауер netfilter, можуть заважати роботі Firezone.

Firezone можна розглядати як аналог OpenVPN Access Server з відкритим кодом, побудований на основі WireGuard замість OpenVPN.

WireGuard використовується для організації каналів зв'язку в Firezone. Firezone також має вбудований брандмауер, який використовує nftables.

У теперішньому вигляді брандмауер обмежується блокуванням вихідного трафіку до певних хостів або підмереж У внутрішніх або зовнішніх мережах це пов’язано з тим, що Firezone є бета-версією програмного забезпечення, тому на даний момент його використання рекомендується лише шляхом обмеження доступу мережі до веб-інтерфейсу користувача, щоб уникнути його доступу до загальнодоступного Інтернету.

Для роботи Firezone потрібні дійсний сертифікат SSL і відповідний запис DNS, які можна створити та керувати за допомогою інструмента Let's Encrypt для створення безкоштовного сертифіката SSL.

З боку адміністрування, зазначено, що це здійснюється через веб-інтерфейс або в режимі командного рядка за допомогою утиліти firezone-ctl. Веб -інтерфейс побудований на основі Admin One Bulma.

В даний час, всі компоненти Firezone працюють на одному сервері, Але спочатку проект розроблявся з прицілом на модульність, а в майбутньому планується додати можливість розподілу компонентів для веб-інтерфейсу, VPN і брандмауера на різні хости.

У планах також згадується інтеграція блокувальника реклами на основі DNS, підтримка списків блоків хостів і підмереж, можливість аутентифікації через LDAP / SSO і додаткові можливості керування користувачами.

Зі згаданих особливостей Firezone:

  • Швидко: використовуйте WireGuard, щоб бути в 3-4 рази швидше, ніж OpenVPN.
  • Немає залежностей: усі залежності згруповано завдяки Chef Omnibus.
  • Простий: налаштування займає кілька хвилин. Управління за допомогою простого API CLI.
  • Безпечний: працює без привілеїв. Застосовано протокол HTTPS.
  • Зашифровані файли cookie.
  • Брандмауер включено - використовує Linux nftables для блокування небажаного вихідного трафіку.

Для встановлення пропонуються пакети об / хв і deb для різних версій CentOS, Fedora, Ubuntu і Debian, інсталяція яких не вимагає зовнішніх залежностей, оскільки всі необхідні залежності вже включені за допомогою набору інструментів Chef Omnibus.

Працювати, вам потрібен лише дистрибутив Linux, який має ядро ​​Linux не раніше 4.19 і модуль ядра, скомпільований за допомогою WireGuard VPN. За словами автора, запуск і налаштування VPN-сервера можна зробити всього за кілька хвилин. Компоненти веб-інтерфейсу працюють від непривілейованого користувача, а доступ можливий лише через HTTPS.

Firezone складається з одного розповсюджуваного пакета Linux, який може встановлюватися та керуватися користувачем. Код проекту написаний на Elixir і Ruby і поширюється під ліцензією Apache 2.0.

В кінці кінців якщо вам цікаво дізнатись більше про це або ви хочете слідувати інструкціям із встановлення, ви можете зробити це з за наступним посиланням.


Будьте першим, щоб коментувати

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.