Якщо ви хочете створити VPN-сервер, дозвольте мені сказати вам, що є чудовий варіант, який ви можете використовувати для досягнення своєї місії, а саме те, що проект Firezone розробляє VPN-сервер сДля організації доступу до хостів у внутрішній мережі ізольовано від пристроїв користувача, розташованих у зовнішніх мережах.
Проект спрямований на досягнення високого рівня безпеки і спростити процес впровадження VPN.
Про Firezone
Проект розробляється інженером з автоматизації безпеки Cisco, який спробував створити рішення, яке автоматизує роботу з конфігурацією хоста та усуває клопоти, з якими їм доводилося стикатися під час організації безпечного доступу до VPC у хмарі.
Пожежна зона діє як інтерфейс для модуля ядра WireGuard що стосується підсистеми ядра netfilter. Створіть інтерфейс WireGuard (за замовчуванням wg-firezone) та таблицю netfilter і додайте відповідні маршрути до таблиці маршрутизації. Інші програми, які змінюють таблицю маршрутизації Linux або брандмауер netfilter, можуть заважати роботі Firezone.
Firezone можна розглядати як аналог OpenVPN Access Server з відкритим кодом, побудований на основі WireGuard замість OpenVPN.
WireGuard використовується для організації каналів зв'язку в Firezone. Firezone також має вбудований брандмауер, який використовує nftables.
У теперішньому вигляді брандмауер обмежується блокуванням вихідного трафіку до певних хостів або підмереж У внутрішніх або зовнішніх мережах це пов’язано з тим, що Firezone є бета-версією програмного забезпечення, тому на даний момент його використання рекомендується лише шляхом обмеження доступу мережі до веб-інтерфейсу користувача, щоб уникнути його доступу до загальнодоступного Інтернету.
Для роботи Firezone потрібні дійсний сертифікат SSL і відповідний запис DNS, які можна створити та керувати за допомогою інструмента Let's Encrypt для створення безкоштовного сертифіката SSL.
З боку адміністрування, зазначено, що це здійснюється через веб-інтерфейс або в режимі командного рядка за допомогою утиліти firezone-ctl. Веб -інтерфейс побудований на основі Admin One Bulma.
В даний час, всі компоненти Firezone працюють на одному сервері, Але спочатку проект розроблявся з прицілом на модульність, а в майбутньому планується додати можливість розподілу компонентів для веб-інтерфейсу, VPN і брандмауера на різні хости.
У планах також згадується інтеграція блокувальника реклами на основі DNS, підтримка списків блоків хостів і підмереж, можливість аутентифікації через LDAP / SSO і додаткові можливості керування користувачами.
Зі згаданих особливостей Firezone:
- Швидко: використовуйте WireGuard, щоб бути в 3-4 рази швидше, ніж OpenVPN.
- Немає залежностей: усі залежності згруповано завдяки Chef Omnibus.
- Простий: налаштування займає кілька хвилин. Управління за допомогою простого API CLI.
- Безпечний: працює без привілеїв. Застосовано протокол HTTPS.
- Зашифровані файли cookie.
- Брандмауер включено - використовує Linux nftables для блокування небажаного вихідного трафіку.
Для встановлення пропонуються пакети об / хв і deb для різних версій CentOS, Fedora, Ubuntu і Debian, інсталяція яких не вимагає зовнішніх залежностей, оскільки всі необхідні залежності вже включені за допомогою набору інструментів Chef Omnibus.
Працювати, вам потрібен лише дистрибутив Linux, який має ядро Linux не раніше 4.19 і модуль ядра, скомпільований за допомогою WireGuard VPN. За словами автора, запуск і налаштування VPN-сервера можна зробити всього за кілька хвилин. Компоненти веб-інтерфейсу працюють від непривілейованого користувача, а доступ можливий лише через HTTPS.
Firezone складається з одного розповсюджуваного пакета Linux, який може встановлюватися та керуватися користувачем. Код проекту написаний на Elixir і Ruby і поширюється під ліцензією Apache 2.0.
В кінці кінців якщо вам цікаво дізнатись більше про це або ви хочете слідувати інструкціям із встановлення, ви можете зробити це з за наступним посиланням.