Gradatim instructiones ad Hailbytes VPN explicandas cum Firezone GUI hic providentur.
Administrator: Erectio servo instantiae directe huic parti coniunctae est.
User Duces: Utile documenta quae docere te possunt Firezone uti et problemata typica solvenda. Postquam servo feliciter explicatur, ad hanc sectionem refer.
Scinditur cuniculum: VPN utere ad tantum negotium mittere ad certa IP septa.
Whitelisting: Pone VPN servo's stabilis IP oratio ad utendum ut dealbatio.
Inversa cuniculis: crea cuniculis inter plures pares utens e diverso cuniculis.
Laeti sumus te adiuvare si auxilium desideras instituendis, customising, vel adhibendis Hailbytes VPN.
Priusquam utentes creare aut fabricare de configuratione imagini possunt, Firezone configurari potest ut authenticas requirat. Utentes etiam postulo ut periodice rursus authentice reddantur ut nexum activum suum VPN retineant.
Etsi defalta login in Firezonis methodus est loci electronici et tesserae, potest etiam cum aliqua identitatis provisore OpenID normatis (OIDC) provisore integrari. Users nunc possunt in Firezone log utentes eorum Okta, Google, Azure AD, vel provisor documentorum privatarum identitatis.
Integrate A Generic OIDC Provider
Configuratio parametri a Firezone opus est ut SSO utendo provisore OIDC in exemplo infra monstratur. In /etc/firezone/firezone.rb, tabulam configurationem invenire potes. Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem applicationem ac effectum mutationum capias.
# Exemplum hoc utens Google et Okta ut SSO identitatis provisor.
# Instantia Firezonis multiplex OIDC configs addi potest.
# Firezone disable a user scriptor VPN si illic 'ullus error deprehendi conatur
# Renovare access_token. Hoc verificatur ad opus Google, Okta, et
# Caeruleus SSO et ad user scriptor VPN disconnect automatice ad si remota erant
# a OIDC provisor. Hoc erret si OIDC provisor tuus discede
# Habet quaestiones reficiendi accessum signa cum inopinato adjicias
# Usoris VPN session.
default ['firezone']['authentication']['disable_vpn_on_oidc_error'] = false
default ['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id " ",
client_secret " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "code",
scope: "openid email profile";
titulus: "Google"
},
okta: {
discovery_document_uri: "https:// /.well-known/openid-configurationis",
client_id " ",
client_secret " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "code",
scope: "openid email profile offline_access"
titulus: "Okta"
}
}
Sequentes occasus config requiruntur ad integrationem:
Utraque OIDC provisor pare domicilio satis respondente creatum est ad redirectionem ad signum provisoris conformatum-in URL. Ad exemplum OIDC config superius, URLs sunt:
Provisores documenta habemus pro:
Si provisor tuus identitatem generis OIDC iungentem habet et supra non recensetur, quaeso ad eorum documenta pro informationibus in quomodo necessarias conformationis occasus recuperare.
Occasio sub uncinis/securitate mutari potest ut periodicam authenticam re- petat. Hoc adhiberi potest ad exigentiam postulationem quae utentes Firezone intrant in iusto fundamento ut in sessione sua VPN perseverent.
Sessionis longitudo configurari potest inter horam unam et nonaginta dies. Hoc ad Numquam ponendo, VPN sessiones quovis tempore efficere potes. Hoc est signum.
A usor suam VPN sessionem terminare debet et ad portam Firezone aperi ut sessionem expletam VPN confirmet (URL specificatur in instruere).
Sessionem tuam confirmare potes sequendo instructiones definitas huius clientis hic inventas.
Status VPN Connection
User paginae VPN nexum tabulae columnae ostendit nexum status usoris. Status nexus hi sunt:
Para - Connexio possit.
DEBILIS – Connexio ab administratore vel OIDC debilitata reficitur.
PRAETERITUS - Connexio debilitata est propter authenticas exspirationis vel usoris non signatas primum.
Per iungo generale OIDC, Firezona Singulum Sign-On (SSO) dat cum Google Workspace et Cloud Identity. Hic dux tibi ostendet quomodo parametri figurationem infra recensitam obtineas, quae ad integrationem necessariae sunt;
1. OAuth Mando 'collaborative
Si hoc primum novum OAuth clientem ID creas, rogaberis ad configurandum consensum velum.
* Select Internum pro user genus. Hoc solum efficit rationes ad usorum pertinentes in Google Workspace Organizatio fabricam confis creare potest. NOLO EXTERNUM eligo, nisi vis aliquem valido Google Ratione creare machinam confis creare.
In app notitia screen:
2. crea OAuth Client IDs
Haec sectio fundatur in documentis propriis Google erigens OAuth 2.0.
Visita Google Cloud Console Documentorum pagina pagina, preme + Credentialia crea et clientem OAuth deligere ID.
On the OAuth client ID creation screen:
Post clientem ID OAuth creando, dabitur Client ID et Client Secret. Haec una cum redirectio URI in proximo gradu adhibebuntur.
Edit /etc/firezone/firezone.rb optiones includere infra:
# Google ut SSO identitatis provisor
default ['firezone']['authentication']['oidc'] = {
google: {
discovery_document_uri: "https://accounts.google.com/.well-known/openid-configuration",
client_id " ",
client_secret " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/google/callback/",
response_type: "code",
scope: "openid email profile";
titulus: "Google"
}
}
Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem update. Sign in cum Google puga pyga apud radix Firezone URL iam debes.
Firezone utitur iungo generico OIDC ut faciliorem reddat Singulum Sign-On (SSO) cum Okta. Haec discessionem docebit quomodo conformationem parametri infra recensiti invenias, quae ad integrationem necessariae sunt;
Hoc sectione dux fundatur Okta documenta.
In Admin Console, applicationes ad > Applications et deprime App Integration crea. Pone Adscribe modum ad OICD - OpenID Iungo et Application genus ad Web application.
Hos occasus configurare:
Cum occasus salventur, dabitur Client ID, Secreta Client, et Domain Okta. Hae 3 valores in Gradu 2 adhibebuntur ad Firezonem configurandum.
Edit /etc/firezone/firezone.rb ut optiones infra includendi. Your discovery_document_url erit /.well-known/openid-configuration apponi ad finem tuum okta_domain.
# Usura Okta sicut SSO identitatis provisor
default ['firezone']['authentication']['oidc'] = {
okta: {
discovery_document_uri: "https:// /.well-known/openid-configurationis",
client_id " ",
client_secret " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/okta/callback/",
response_type: "code",
scope: "openid email profile offline_access"
titulus: "Okta"
}
}
Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem update. Sign in cum Okta puga ad radicem Firezone URL iam debes.
Users qui app Firezone accedere possunt ab Okta restringi possunt. Vade ad Okta Admin Console Firezones App Integration's destinationes pagina ut hoc perficias.
Per iungo genericum OIDC, Firezona Singulum Sign-On (SSO) dat cum azure Active Directory. Hoc manuale ostendet tibi quomodo conformationem parametri infra recensiti invenias, quae necessariae sunt ad integrationem:
Dux hic educitur Caeruleus Active Directory Docs.
Vade ad caeruleum portae Azurei activum Directory paginam. Elige Menu Curo optionem, nova Registration elige, deinde subcriptio informationes infra praebendo:
Post perscriptum, singula conspectum applicationis aperi et effingo Applicationem (clientem) ID. Hic erit client_id pretii. Deinceps aperi terminos tabulae ad recuperandum OpenID Connect metadata document. Hoc erit inventio document_uri pretii.
Novum clientem secretum crea strepitando Testimonia & secreta optionis sub menu Curo. Clientem effingo occultum; client arcanum valorem hoc erit.
Postremo, API permissiones elige nexus sub menu Curo, preme Addere permissionEt eligere Microsoft Aliquam lacinia purus; addere email, OpenID, offline_access et profile ad debitas permissiones.
Edit /etc/firezone/firezone.rb optiones includere infra:
# Using Azure Active Directory ut SSO identitatis provisor
default ['firezone']['authentication']['oidc'] = {
caeruleum: {
discovery_document_uri: "https://login.microsoftonline.com/ /v2.0/.nota/openid-configurationis",
client_id " ",
client_secret " ",
redirect_uri: "https://instance-id.yourfirezone.com/auth/oidc/azure/callback/",
response_type: "code",
scope: "openid email profile offline_access"
titulus: "Azure"
}
}
Curre firezona-ctl reconfigure et firezona-ctl sileo ut applicationem update. Insigne nunc videre debes apud bullam caeruleam ad radicem Firezonis URL.
Caeruleus AD permittit administratores ut accessum circumcludant ad certum usorum coetum intra societatem tuam. Plura de hoc facere possunt in documentis Microsoft inveniri.
Chef Omnibus adhibetur a Firezone ad operas regendas inter sarcinas emissiones, processum vigilantiam, administrationem stipendiorum, et plura.
Ruby code facit primariam limam configurationis, quae sita est in /etc/firezone/firezone.rb. Restarting sudo firezona-ctl reconfigure post modificationes huic fasciculi faciens Chef mutationes cognoscendas et applicandas ad systema operante currente.
Vide file configurationem referentem ad integrum indicem variabilium et earum descriptiones.
Tua Firezone exempli gratia tractari potest per the firezone-CTl mandatum ut infra. Most subcommands requirere praepositionem cum sudo.
root@demo:~# firezone-ctl
omnibus-CTl: command (subcommand)
Mandata generalia:
Mundet
Omnia firezona dele, et a scabere incipies.
partum-vel-reset-admin
Tesseram retexit pro admin cum electronica specificata per defaltam ['firezone']['admin_email'] vel novam admin creat si haec inscriptio non est.
auxilium
Imprime hoc auxilium nuntium.
reconfigure
Reconfigure applicationis.
reset, network
Resets nftables, WireGuard interfacies, et mensam excitans ad defaltam Firezonis.
show-config
Ostende figuram quae ex reconfigure generatur.
teardown-network
Removet WireGuard interface et firezona nftables mensam.
vi-cert-renovatio
Vis libellum renovationis nunc etiam si hasn\t exspiravit.
stop-cert-renovatio
Tollit cronjob testimonium renovantis.
Uninstall
Omnes processus interfice et supervisorem processum amove (notitia servabitur).
versionem
Praestare versionem Firezone
Service Management præcepta:
decorus occidere
Desinere attentare venustum, tunc SIGKILL totum processum globum.
hup
Mitte officia HUP.
int
MITTET MERITIS INT .
occidere
Mitte officia necandi.
iterum
Satus officia si descendunt. Non sileo eos si cessant.
sileo
Siste officia si currunt, ea rursus incipiunt.
religio-list
Omnia officia (enabled officia cum * apparent).
principium
Incipiunt officia si descendunt, et sileo eas si cessant.
Status
Ostende statum omnium officia.
prohibere
Desine officia, nec sileo.
cauda
Videte acta ministerii omnium praestantium officiorum.
terminus
MITTET MINISTRI TERM.
usr1
Mitte USR1 officia in.
usr2
Mitte USR2 officia in.
Omnes VPN sessiones terminandae sunt ante Firezone upgrading, quae etiam postulat ut per interretialem UI claudantur. In eventu quod in upgrade siet aliquid, monemus horam postposita ad victum.
Ut Firezone augendae, sequentes actiones accipe;
Si qua problemata oriuntur, fac nos certiores tesseram sustentaculum exhibens.
Pauci sunt mutationes fractionis et modificationes conformationis in 0.5.0 quae dicendae sunt. Plura infra reperi.
Nginx vim SSL et non SSL parametri portum ut versionis 0.5.0 amplius sustinet. Quia Firezone SSL ad operandum indiget, admonemus ut fasciculum Nginx removendo servitii defaltam ['firezone']['nginx']['nginx']['enabled'] = falsam et vicissim procuratorem tuum ad appi Phoenicis in portum 13000 loco (per default dirigens ).
0.5.0 ACME protocollum subsidium inducit ad testimonium SSL sponte renovationis cum servitio Nginx fasciculo. Ad enable,
Facultas addendi regulas cum destinationibus duplicatis abiit in Firezone 0.5.0. Litterae migrationis nostrae has condiciones in upgrade ad 0.5.0 sponte cognoscet et solum regulas servabit quarum destinationem alteram regulam includit. Nihil debes facere si hoc bene est.
Alioquin, antequam upgrading monemus, regulas tuas mutando ut has condiciones exigi facias.
Firezona 0.5.0 subsidium amovet pro veteri okta et Google SSO configuratione in favorem novae, magis flexibilis OIDC-substructio configurationis.
Si figuram habes sub defalta ['firezone']['authenticationis']['okta'] vel defaltam ['firezone']['authenticationis']['google'] claves habere, debes has ad nostrum OIDC migrare. -based configuratione utens duce infra.
Existens Google OAuth configuratione
Aufer has lineas continens Google veteres OAuth configs ex tabella configuratione tua sita in /etc/firezone/firezone.rb
default ['firezone']['authentication']['google']['enabled']
default ['firezone']['authentication']['google']['client_id']
default ['firezone']['authentication']['google']['client_secret']
default ['firezone']['authentication']['google']['redirect_uri']
Deinde configurare Google ut OIDC provisorem sequendo modos hic.
(Provide nexum instructiones) <<<<<<<<<<<<<<<<
Configurare C. Google OAuth
Aufer has lineas continens Okta OAuth antiquas figuras ex lima tua configuratione at sita /etc/firezone/firezone.rb
default ['firezone']['authentication']['okta']['enabled']
default ['firezone']['authentication']['okta']['client_id']
default ['firezone']['authentication']['okta']['client_secret']
Default ['firezone']['authentication']['okta']['site']
Deinde configurare Okta ut provisor OIDC sequentes rationes hic.
Prout in vestri current setup et versionem, directionibus infra adhaerent:
Si iam habes integrationem OIDC:
Aliquot provisores OIDC, upgrading ad >= 0.3.16 necessitates obtinendae recree indicium pro accessi offline scopo. Hoc facto, exploratum est Firezone updates cum provisore identitatis et nexum VPN seclusum esse post usorem deletum. Antea iterationes Firezonis hoc pluma carebant. Interdum utentes, qui ex provisore tuo identitatis deleti sunt, adhuc cum VPN coniungi possunt.
Necesse est ut offline accessum in ambitu parametri tui OIDC configurationis pro OIDC provisoribus qui aditum scopi offline sustineant. Firezone-ctl reconfigure exsecutioni mandari debet ut mutationes conformationis firezonis applicandae, quae in /etc/firezone/firezone.rb sita est.
Pro utentibus qui a provisore tuo OIDC authentici sunt, videbis OIDC Connectiones quae in usoris pagina interreti UI spectantes, si Firezone signum reficiendi feliciter recuperare potest.
Si hoc non fungitur, necesse erit tuam exsistentem app OAuth delere et vestigia OIDC setup repetere ad creare novum app integration .
Habeo existentium OAuth integrationem
Prior ad 0.3.11, Firezone usus est provisoribus OAuth2 prae-figuratus.
Sequere instructiones hic migrare ad OIDC.
Non integratur identitatis provisor
Nihil opus est.
Potes sequi hic ut SSO per OIDC provisor.
In eius loco, defaltam ['firezone']['url entis externae] substituit defaltam optionis configuratione ['firezone']['fqdn'].
Hoc pone domicilio Firezone tui online portae quae in publico communi pervia est. Deficiente ad https:// plus FQDN servo tuo si indeterminata relicta sunt.
Configuratio fasciculi in /etc/firezone/firezone.rb sita est. Vide file configurationem referentem ad integrum indicem variabilium et earum descriptiones.
Firezona machinam claves privatas in Firezone servo tamquam versionis 0.3.0 iam non servat.
Web Firezona UI non permittet te ut re-download vel has configurationes videas, sed quaevis machinis exsistentibus pergas ut operandum sit.
Si ab Firezone 0.1.x upgradas, paucae sunt fasciculi configurationis mutationes quae manually dirigendae sunt.
Ut necessariae modificationes ad limam tuam /etc/firezone/firezone.rb faciendam facias, mandata infra ut radix curre.
cp /etc/firezone/firezone.rb /etc/firezone/firezone.rb.bak
sed -i "s/\['enable'\]/\['enabled'\]/"/etc/firezone/firezone.rb
resonare "default ['firezone']['connectivity_checks']['enabled'] = true" >> /etc/firezone/firezone.rb
resonare "default ['firezone']['connectivity_checks']['interval'] = 3_600" >> /etc/firezone/firezone.rb
firezone-CTl reconfigure
firezone-CTl sileo
Incendia ligna reprimendo sapiens primus gradus est pro quibusvis quaestionibus quae fieri possunt.
Curre sudo firezona-ctl cauda ad ligna Firezone speculanda.
Plures problematum connectivity cum Firezone incompossibilibus iptables vel nftables regulas afferuntur. Facere debes ut aliqua praecepta quae in effectu habes non concurrant cum praeceptis Firezonis.
Fac catena anteriore permittit fasciculos clientium WireGuard ad loca quae vis per Firezone mittere si tua connectivity Internet omne tempus corrumpit quem tu WireGuard evigilans cuniculum tuum.
Quod fieri potest si usus es ufw curando quod defalta fudisset consilium permittit:
ubuntu@fz:~$ sudo ufw defectu patitur fusi
Default fusi consilium mutatum 'permittit'
(Vide ut update praecepta tua secundum)
A ufw Status pro more Firezone server videre sic:
ubuntu@fz:~$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: negare (invenientis), sinere (exitus), sino (routed)
Novae profiles: skip
Ad Actio
--
XXII / tcp concedo in Usquam
XXII / tcp concedo in Usquam
CDXLIII / tcp concedo in Usquam
(DXVIII)CCXX / udp concedo in Usquam
22/tcp (v6) concesso Usquam (v6)
80/tcp (v6) concesso Usquam (v6)
443/tcp (v6) concesso Usquam (v6)
51820/udp.
Monemus limitandi accessum ad interfaciendum interretialem perquam sensitiva et missionis criticae operarum inceptorum, de quibus infra.
obsequium | Default Portus | Audi Oratio | Description |
nginx | 80, 443 | omnes | Publicus HTTP(S) portus est Firezone administrandi et authenticas expediendi. |
Wireguard | 51820 | omnes | Portus WireGuard publicus pro VPN sessionibus adhibitus est. (UDP) |
postgresql | 15432 | 127.0.0.1 | Locus-tantum portus usus est pro servo fasciculo Postgresql. |
Phoenix | 13000 | 127.0.0.1 | Locus-tantum portus ab adverso flumine elixir app servo usus est. |
Monemus te cogitare de restrictione accessum ad telam Firezonis publice expositam UI (per default portus 443/tcp et 80/tcp) et potius utere cuniculum WireGuard ad Firezonem ad productionem et opera publica spectantia administrandi ubi unus administrator erit praepositus. creandi et distribuendi fabrica figurarum ad finem users.
Exempli gratia, si administrator figuram machinam creaverit et cuniculum cum inscriptione WireGuard locali 10.3.2.2 creaverit, sequens figuratio efficere possit, administrator accedere ad telam Firezonam UI in servitii wg-firezona interfaciei utens defalta 10.3.2.1 inscriptio cuniculi:
root@demo:~# ufw status verbosus
Status: active
Logging: on (low)
Default: negare (invenientis), sinere (exitus), sino (routed)
Novae profiles: skip
Ad Actio
--
XXII / tcp concedo in Usquam
(DXVIII)CCXX / udp concedo in Usquam
Usquam, CONCEDO IN 10.3.2.2
22/tcp (v6) concesso Usquam (v6)
51820/udp.
Hoc solum relinqueret 22/tcp patere pro SSH accessum administrare servo (libitum), et 51820/udp exposita ad fundandas cuniculos WireGuard.
Firezone fasciculos Postgresql servo ac matching psql utilitas, quae ex loci testudine sic adhiberi potest;
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "SQL_STATEMENT"
Hoc potest esse utile ad debugging usus.
Negotium commune:
Users omnia enumerans:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "SELECT * FROM users"
Cogitationes omnes enumerans:
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "Select * FROM machinis;"
Mutare munus a user:
Munus constitue 'admin' vel 'inprivilegiatum';
/opt/firezone/embedded/bin/psql \
-U firezone \
-d firezone \
-h localhost \
-p 15432 \
-c "UPDATE users munus = 'admin' WHERE inscriptio = '[Inscriptio protected]';"
Tergum sursum database:
Praeterea programmata pg TUBER inclusa est, quae adhiberi potest ad regulares tergum datorum. Sequens codicem exequi, ut exemplar datorum SQL in forma interrogationis communi TUBER (reponere /path/to/backup.sql cum loco ubi crearetur SQL fasciculus);
/opt/firezone/embedded/bin/pg_dump \
-U firezone \
-d firezone \
-h localhost \
-p 15432 > /path/to/backup.sql
Postquam Firezone feliciter explicavit, oportet addere utentes ut eis aditum ad retia tua praebeant. Web UI hoc facere adhibetur.
Eligendo "Adde Usorem" conjunctionem sub / usoribus, potes usorem addere. Rogaberis ut usorem cum inscriptionem electronicam et tesseram praebeas. Ut accessum usorum in tua ordinatione automatice patere, Firezone etiam interface et sync cum provisore identitatis potest. Plura in promptu sunt signo authenticitatis incisionem. <Addere vinculum ad authenticitatem
Monemus petentes ut utentes machinationes suas crearent ut clavis privata illis tantum appareat. Users possunt generare proprias fabricas conformationes sequendo directiones in Clientem Instructiones pagina.
Omnes usoris fabricae configurationes ab Firezone admins creari possunt. In pagina usoris profile ad / usores posita, elige "Adde Device" optionem ad hoc perficiendum.
[Insert screenshot]
Potes usorem configurationis WireGuard email post profile machinam creando.
Usores et machinae conectuntur. Plura de singulis in usorem adde, vide addere Users.
Per usum systematis nuclei netfilteri, Firezonus egressum facultates eliquare efficit ut RORO vel ACCEPTO fasciculos specificare. Omni negotio plerumque permittitur.
IPv4 et IPv6 CIDRs et IP oratio sustentantur per Allowlist et Denylist, respective. Regulam usoris cum addendo eligere potes, quae regula omnibus usoris illius technis applicat.
Install et configurare
Ad nexum VPN constituendum cliente indigena WireGuard, ad hunc ducem refer.
Officialis WireGuard clientes hic positi sunt Firezone compatibiles:
Visita website officialem WireGuard in https://www.wireguard.com/install/ pro OS systemata supra non memorata.
Aut administrator Firezone tuum aut te ipsum machinam configurationis fasciculi in Firezone portal utens generare potest.
Visita Domicilium tuum Administrator Firezone se-generate machinam configurationis limam dedit. Firmum tuum unicum domicilium ad hoc habebis; hoc in casu, https://instance-id.yourfirezone.com est.
Login to Firezone Okta SSO
[Insert Screenshot]
Import the.conf lima in clientem WireGuard aperiendo. Flippping switch Activate, sessionem VPN incipere potes.
[Insert Screenshot]
Mandata infra sequere si administrator retis tuae mandaverit recurrentem authenticationem servare tuam VPN nexum activum.
Vos postulo:
Firezone URL portae: roga retis tuam administratorem pro connexione.
Administrator retis tuae rationem tuam et clavem offerre possit. Situs Firezonis te suggeret utendo utendo uno signo in servitio tuo conductoris usibus (ut Google vel Okta).
[Insert Screenshot]
Vade ad domicilium Firezone portae et aperi in utens documentorum retis tuis administrator cavit. Si iam signatum es in, preme ante bullam Reauthenticate signandi in.
[Insert Screenshot]
[Insert Screenshot]
Ad figuram WireGuard importare profile utens Network Procurator CLI in machinis Linux, has instructiones sequere (nmcli).
Si profile subsidium IPv6 habet, importare conans limam configurationem utens Network Manager GUI falli potest errore sequenti:
ipv6.method: methodus "auto" non valet pro WireGuard
Necesse est ut WireGuard usorspace utilia instituat. Haec sarcina dicta wireguard vel instrumentorum wireguard pro distributionibus Linux erit.
Pro Ubuntu/Debian:
sudo aptum install wireguard
Uti Fedora:
sudo dnf-instrumenta install wireguard
Linux arcus;
sudo pacman -S wireguard-tools
Visita website officialem WireGuard in https://www.wireguard.com/install/ distributiones quae superius non nominantur.
Aut administrator Firezone tua aut sui generatio generare potest machinam configurationis fasciculi utens portae Firezone.
Visita Domicilium tuum Administrator Firezone se-generate machinam configurationis limam dedit. Firmum tuum unicum domicilium ad hoc habebis; hoc in casu, https://instance-id.yourfirezone.com est.
[Insert Screenshot]
Inferre suppletum configuration file usura nmcli:
sudo nmcli nexus import genus file wireguard /path/to/configuration.conf
Nomen fasciculi configurationis correspondet nexui instrumenti WireGuard. Post importationem, nexus nominari potest si opus sit;
nmcli nexum mutare [nomen vetus] connection.id [nomen novum]
Via linea praecepti ad VPN coniunge hoc modo:
nmcli nexum up [vpn nomen]
Ad DEJUGO:
nmcli nexum descendit [vpn nomen]
Procurator Network Applet applicabilis adhiberi potest etiam ad nexum administrandum si GUI utatur.
Eligendo "ita" pro optione autoconnect, nexus VPN conformari potest ad iungendum automatice:
nmcli nexum mitigare [vpn name] nexum. <<<<<<<<<<<<<<<<<<<<<<
autoconnect sic;
Ut disable iunctio latae sententiae eam nulli restituet:
nmcli nexum mitigare [vpn name] nexum.
autoconnect no
Movere MFA Vade ad Firezone portae / usoris rationem/subcriptio mfa pagina. Utere tuo authenticatore app ut edas QR codicem postquam generatum est, deinde codicem sex digiti intrant.
Contact tuum Admin ut reset rationem accessum informationes si adspires vestri app authenticator.
Hoc doceo te ambulabit per processum constituendi WireGuard in fodiendo plumam cum Firezone ita ut solum negotiatio ad specifica IP iugis per VPN servo transmittantur.
In iugis IP pro quibus client negotiatio retis iter faciet in Permissa IPS agri sita in pagina / occasus/default. Solum nuper creaverunt configurationes WireGuard cuniculum a Firezone productas mutationibus ad hunc campum afficientur.
[Insert Screenshot]
Valor defalta est 0.0.0.0/0, ::/0, quae omnia negotiatio retis ab cliente ad VPN tendit.
Exempla valorum in hoc campo includuntur:
0.0.0.0/0, ::/0 - omnia retis negotiatio ad VPN servo fugabitur.
192.0.2.3/32 - sola commercium ad unam IP inscriptionem fugabitur ad VPN servo.
3.5.140.0/22 – solum commercium ad IPs in 3.5.140.1 – 3.5.143.254 ad VPN distributio fugabitur. Hoc in exemplo, range CIDR pro regione ap-orientales-2 AWS adhibita est.
Firezone exitum interfaciei eligit cum via accuratissima coniungitur primum cum determinans ubi fasciculus meatus est.
Users limam configurationem regenerare debent eosque clienti WireGuard patrii addere ut usorum usorum novas machinas cum nova conformatione scindendi scindant.
Ad instructiones vide addendi fabrica. <<<<<<<<<< Add link
Hoc manuale demonstrabit quomodo duas machinas cum Firezone utens in vita conectere. Usus typicus unus casus est ut administrator accedere possit ministratorem, continens vel machinam quae a NAT vel fire pariete munitur.
Haec Illustratio directam missionem ostendit in qua machinae A et B cuniculum construunt.
[Insert firezona pictura architecturae]
Initium creando Fabrica A et Fabrica B navigando ad /usores/[user_id]/new_devices. In uncinis pro unaquaque arte, sequentes parametri positi sunt ad valores infra enumeratos. Potes fabrica occasus cum fabrica aboutconfig creando (vide Add machinae). Si opus est ut occasus in fabrica exsistenti renovare, id facere potes novam fabricam config generando.
Nota omnes machinas habere paginas / occasus/ defaltas ubi PersistentKeepalive configurari possunt.
LicitusIPs = 10.3.2.2/32
Hoc est IP vel range IPS de Fabrica B
PertinaxKeepalive = 25
Si fabrica post NAT, haec fabrica efficit ut vivam cuniculum servare et fasciculos interface WireGuard recipere pergat. Plerumque aestimatio 25 sufficiens est, sed debes hunc valorem minuere secundum in ambitu tuo.
LicitusIPs = 10.3.2.3/32
Hoc est IP vel range IPS de Fabrica A
PertinaxKeepalive = 25
Hoc exemplum ostendit situm in quo Fabrica A cum machinis B per D in utramque partem communicare potest. Hoc setup repraesentare potest ingeniarium vel administratorem accessu copiarum numerosarum (servatoribus, vasis vel machinis) per varias retiacula.
[Architectural Diagram] <<<<<<<<<<<<<<<<<<<<<<<<
Fac ut sequentia uncinis efficiantur in singulis lectis ad valores respondentes notae. Cum fabricam configurationem creando, uncinis fabrica specificare potes (vide machinis addere). Nova fabrica config creari potest si occasus in fabrica exsistens renovanda est.
Licitus IPs = 10.3.2.3/32, 10.3.2.4/32, 10.3.2.5/32
Hoc est IP machinarum B per D. Ipsae machinis B per D includi debent in quavis parte IP, quam vis ponere.
PertinaxKeepalive = 25
Hoc praestat machinam cuniculum conservare et de interface WireGuard fasciculos recipere posse etiamsi a NAT. Pleraque valor 25 sufficiens est, quamvis circumstantiis tuis fretus, hanc figuram deprimere debes.
Unam, stativam exitum IP offerre ad omnes negotiationes turmae tuae efluere, Firezone uti porta NAT. Hae condiciones frequentem usum implicant;
Consultatio de sponsionibus: Rogas ut emptorem tuum album electronicum unum static potius IP quam singulae machinae IP molestie.
Procuratorem vel masking tuum fontem IP adhibens ad securitatem vel intimitatem causarum.
Simplex exemplum de limitandi accessu ad applicationem interretialis auto-obsessae ad unum static album IP currentem Firezone in hac poste demonstrabitur. In hac illustratione, Firezone et subsidia tuta sunt in locis VPC diversis.
Solutio haec frequenter adhibetur in loco albo IP tractandi ad numerosos fines utentes, qui tempus consumens esse potest sicut accessus in album dilatatur.
Propositum nostrum est servo Firezone in ec2 instantia constituere ut VPN negotiatio ad quid subsidio redigatur. In hac re, Firezone servit ut procuratorem retis vel porta NAT ut singulas machinas coniunctas IP exitus publicus singularem praebeat.
In hoc casu, instantia EC2 nominata tc2.micro instantia Firezona in ea installata habet. Ad informationem de Firezone explicandam, vade ad Guide instruere. Relate ad AWS, cave;
Firezone EC2 instantia securitatis coetus permittit negotiationem outbound ad IP oratio subsidii tutanda.
Instantia Firezonis cum IP elastica venit. Negotiatio quae per Firezone instantiam ad extra destinationes transmittuntur, hoc pro fonte IP oratio erit. IP oratio de qua agitur 52.202.88.54.
[Insert Screenshot]<<<<<<<<<<<<<<<<<<<<<<<<
Applicationem interretialem auto-hospitatae subsidio tutae rei in hoc casu inservit. App interretiales solum petitiones IP orantes 52.202.88.54 accessi possunt. Secundum auxilium, necesse est ut negotiatio infinita in variis portubus ac mercaturae generibus permittat. Hoc in hoc manuali non est opertum.
[Insert screenshot]<<<<<<<<<<<<<<<<<<<<<<<<
Quaeso dicas tertiam partem subsidii conservatoris praefectum, quod negotiatio ex IP statice in Gradu I definita permitti debet (in hoc casu 1).
Defalta, omnis negotiatio usoris per VPN servitorem ibit et ab IP static, qui in Gradu I configuratus est (hoc in casu 1). Attamen, si scissurae scissurae permissae sunt, occasus necessarius est ut destinatio subsidiorum conservatorum IP recensetur inter IPS Licitus.
Infra demonstratum est completum album optionum configurationis in promptu /etc/firezone/firezone.rb.
bene | Description | default pretii |
default ['firezone']['external_url'] | URL accessere interretialem instantiam interretialem huius Firezonis. | "https://#{ node['fqdn'] || node ['hostname']}" |
default ['firezone']['config_directory'] | Top-level directorio pro configuratione Firezone. | /etc/firezone' |
default ['firezone']['install_directory'] | Top-level presul ut install Firezone ad. | /opt/firezone' |
default ['firezone']['app_directory'] | Top-level directorio ad install Firezone interretialem applicationem. | "#{ node ['firezone']['install_directory']}/embedded/service/firezone" |
default ['firezone']['log_directory'] | Top-level Directory for Firezone logs. | /var/log/firezone' |
default ['firezone']['var_directory'] | Top-level Directory pro Firezone runtime files. | /var/opt/firezone' |
default ['firezone']['usoris'] | Nomen usoris unprivilegae Linux plurima officia et lima pertinebit. | firezone " |
default ['firezone']['group'] | Nomen Linux coetus maxime officia et lima pertinebit. | firezone " |
default ['firezone']['admin_email'] | Inscriptio electronica pro initiali Firezone usor. | "firezone@localhost" |
default ['firezone']['max_devices_per_user'] | Maximus numerus machinarum utentis habere potest. | 10 |
default ['firezone']['allow_unprivileged_device_management'] | Admin non permittit utentes creare et delere machinas. | VERUM |
default ['firezone']['allow_unprivileged_device_configuration'] | Non-admin users ad mutare fabrica configurationes permittit. Cum debilis est, vetat utentes immunes ab omnibus campis artificiis mutatis praeter nomen et descriptionem. | VERUM |
default ['firezone']['egress_interface'] | Interface nomen ubi commercii cuniculis exit. Si nil, defectus itineris instrumenti adhibebitur. | vii, |
default ['firezone']['fips_enabled'] | Admitte vel disable OpenSSL FIPs modus. | vii, |
default ['firezone']['logging']['enabled'] | Admitte vel disable logging per Firezone. Pone falsum est totaliter logging disable. | VERUM |
default ['inceptum']['nomen'] | Nomine usus est a Chef 'coeptum' vitae vitae. | firezone " |
default ['firezone']['install_path'] | Instrue viam, qua usus est Chef 'inceptum' vitae vitae. Idem apponi debet quod supra install_directory. | node ['firezone']['install_directory'] |
default ['firezone']['sysvinit_id'] | Identifier usus est in /etc/inittab. Singularis series debet esse 1-4 ingenia. | HAUSTUS' |
default ['firezone']['authentication']['local']['enabled'] | Admitte vel disable loci inscriptio / password authenticas. | VERUM |
default ['firezone']['authentication']['auto_create_oidc_users'] | Automatice users creare ab OIDC primum subscribens. Inactivare permittere ut usores existentes in via OIDC subscribere. | VERUM |
default ['firezone']['authentication']['disable_vpn_on_oidc_error'] | Inactivare a user scriptor VPN si error deprehensus sit OIDC indicium suum recreare conatur. | FALSUS |
default ['firezone']['authentication']['oidc'] | OpenID Connect aboutconfig, in forma {"provisoris" => [aboutconfig…]} - See OpenIDConnect documenta for exempla config. | {} |
default ['firezone']['nginx']['enabled'] | Admitte vel disable sarcina nginx servo. | VERUM |
default ['firezone']['nginx']['ssl_port'] | Audi portum HTTPS. | 443 |
default ['firezone']['nginx']['directory'] | Indicis Firezone relatas nginx virtualis exercitus configuratione. | "#{ node ['firezone']['var_directory']}/nginx/etc" |
default ['firezone']['nginx']['log_directory'] | Directorium ad relatas Firezone relatas nginx stipes lima. | "#{ node ['firezone']['log_directory']}/nginx" |
default ['firezone']['nginx']['log_rotation']['file_maxbytes'] | Magnitudo fasciculi ad quem Nginx tabulae logatae sunt. | 104857600 |
default ['firezone']['nginx']['log_rotation']['num_to_keep'] | Numerus files Firezonis nginx stipes ut prius abiecta. | 10 |
default ['firezone']['nginx']['log_x_forwarded_for'] | Utrum Log Firezone nginx x transmittantur ad caput. | VERUM |
default ['firezone']['nginx']['hsts_header']['enabled'] | VERUM | |
default ['firezone']['nginx']['hsts_header']['include_subdomains'] | Admitte vel disable includeSubDomains pro HSTS header. | VERUM |
default ['firezone']['nginx']['hsts_header']['max_age'] | Max aetas ad HSTS header. | 31536000 |
default ['firezone']['nginx']['redirect_to_canonic'] | An URLs referre ad FQDN canonicum supra scripti? | FALSUS |
default ['firezone']['nginx']['cache']['enabled'] | Admitte vel disable in Firezone nginx cache. | FALSUS |
default ['firezone']['nginx']['cache']['directory'] | Directory for Firezone nginx cache. | "#{ node ['firezone']['var_directory']}/nginx/cache" |
default ['firezone']['nginx']['user'] | Firezone nginx Inscr. | node ['firezone']['usor] |
default ['firezone']['nginx']['group'] | Circulus Firezone nginx. | node['firezone']['group'] |
default ['firezone']['nginx']['dir'] | Summo gradu nginx configurationis presul. | node['firezone']['nginx']['directory'] |
default ['firezone']['nginx']['log_dir'] | Summo gradu nginx index indicis. | node['firezone']['nginx']['log_directory'] |
default ['firezone']['nginx']['pid'] | Locus pro nginx pid lima. | "#{ node ['firezone']['nginx']['directory']}/nginx.pid" |
default ['firezone']['nginx']['daemon_disable'] | Modus daemonis inactivare nginx sic pro monitore possumus. | VERUM |
default ['firezone']['nginx']['gzip'] | Turn nginx gzip compressio vel off. | in ' |
default ['firezone']['nginx']['gzip_static'] | Turn nginx gzip compressionem in vel off pro static lima. | off' |
default ['firezone']['nginx']['gzip_http_version'] | HTTP versio utendi ad static serviendum. | 1.0 ' |
default ['firezone']['nginx']['gzip_comp_level'] | nginx gzip cogo gradu. | 2 ' |
default ['firezone']['nginx']['gzip_proxied'] | Responsiones dat vel disables gzipping pro proxied petitionibus pendentibus in petitione et responsione. | quisquam' |
default ['firezone']['nginx']['gzip_vary'] | Dat vel disables inserentes "Varie: Accipe-Encoding" responsionis caput. | off' |
default ['firezone']['nginx']['gzip_buffers'] | Numerum et magnitudinem buffers ad comprimendam responsionem. Si nil, nginx defalta adhibetur. | vii, |
default ['firezone']['nginx']['gzip_types'] | MIME genera ut gzip compressionem efficiant. | ['text/plain', 'text/css', 'application/x-javascript', 'text/xml', 'application/xml', 'application/rss+xml', 'application/atom+xml', ' text/javascript', 'application/javascript', 'application/json'] |
default ['firezone']['nginx']['gzip_min_length'] | Minimum longitudinis fasciculi ut gzip conprimat fasciculi capacitatem. | 1000 |
default ['firezone']['nginx']['gzip_disable'] | Compressio agentis usoris inactivandi gzip ut inactivandi. | MSIE [1-6]\.' |
default ['firezone']['nginx']['keepalive'] | Cache operatur ad connexionem ad servers fluminis. | in ' |
default ['firezone']['nginx']['keepalive_timeout'] | Timeout in secundis pro custodia conservativa connexionis ad adverso flumine servientibus. | 65 |
default ['firezone']['nginx']['worker_processes'] | Pluribus nginx processibus laborantis. | node['cpu'] && node['cpu']['total'] ? node ['cpu']['total'] : 1 |
default ['firezone']['nginx']['worker_connections'] | Max numerus coniunctionum simultaneorum quae ab operario processu aperiri possunt. | 1024 |
default ['firezone']['nginx']['worker_rlimit_nofile'] | Terminum mutat in numerus maximus apertarum imaginum pro processibus opificum. Utitur nginx defalta si nil. | vii, |
default ['firezone']['nginx']['multi_accept'] | Utrum opifices unum connexionem tempore vel multiplicem accipere debeant. | VERUM |
default ['firezone']['nginx']['event'] | Connexionem methodi processus specificat ut intra nginx eventuum contextum utatur. | epoll' |
default ['firezone']['nginx']['server_tokens'] | Dat vel disables emittens nginx versionem in paginis erroris et in "Servo" responsionis campi caput. | vii, |
default ['firezone']['nginx']['server_names_hash_bucket_size'] | Nullam tabularum situla nomina pro servo ponit. | 64 |
default ['firezone']['nginx']['sendfile'] | Aut priuat usum nginx scriptor sendfile (). | in ' |
default ['firezone']['nginx']['access_log_options'] | Log optiones aditum ponit nginx. | vii, |
default ['firezone']['nginx']['error_log_options'] | Ponit nginx errorum iniuriarum optiones. | vii, |
default ['firezone']['nginx']['disable_access_log'] | Priuat nginx aditum iniuriarum. | FALSUS |
default ['firezone']['nginx']['types_hash_max_size'] | nginx genera Nullam max magnitudine. | 2048 |
default ['firezone']['nginx']['types_hash_bucket_size'] | nginx genera Nullam situla magnitudine. | 64 |
default ['firezone']['nginx']['proxy_read_timeout'] | nginx procuratorem legere timeout. Pone nil ad usum nginx defaltam. | vii, |
default ['firezone']['nginx']['client_body_buffer_size'] | corpus clientis nginx quiddam magnitudine. Pone nil ad usum nginx defaltam. | vii, |
default ['firezone']['nginx']['client_max_body_size'] | nginx client max corporis magnitudine. | 250m' |
default ['firezone']['nginx']['default']['modules'] | Specificare additional nginx modulorum. | [] |
default ['firezone']['nginx']['enable_rate_limiting'] | Admitte vel disable nginx rate continentem. | VERUM |
default ['firezone']['nginx']['rate_limiting_zone_name'] | Nginx rate limitans zonam nomine. | firezone " |
default ['firezone']['nginx']['rate_limiting_backoff'] | Nginx rate limitandi backoff. | 10m' |
default ['firezone']['nginx']['rate_limit'] | Terminus rate nginx. | 10r/s' |
default ['firezone']['nginx']['ipv6'] | Patitur nginx audire petitiones HTTP pro IPv6 praeter IPv4. | VERUM |
default ['firezone']['postgresql']['enabled'] | Admitte vel disable bundled Postgresql. Falsas pone et imple in optionibus datorum infra utendo exemplo tuo Postgresql. | VERUM |
default ['firezone']['postgresql']['usoris'] | Username pro Postgresql. | node ['firezone']['usor] |
default ['firezone']['postgresql']['data_directory'] | Data presul postgresql. | "#{ node ['firezone']['var_directory']}/postgresql/13.3/data" |
default ['firezone']['postgresql']['log_directory'] | Postgresql index indicis. | "#{ node ['firezone']['log_directory']}/postgresql" |
default ['firezone']['postgresql']['log_rotation']['file_maxbytes'] | Postgresql fasciculus stipes maximae magnitudinis ante rotatur. | 104857600 |
default ['firezone']['postgresql']['log_rotation']['num_to_keep'] | Numerus imaginum stipendiorum Postgresql ut custodiant. | 10 |
default ['firezone']['postgresql']['checkpoint_completion_target'] | Postgresql LAPIS complementum scopum. | 0.5 |
default ['firezone']['postgresql']['checkpoint_segments'] | Numerus segmentorum LAPIS Postgresql. | 3 |
default ['firezone']['postgresql']['checkpoint_timeout'] | Postgresql checkpoint timeout. | 5min' |
default ['firezone']['postgresql']['checkpoint_warning'] | Postgresql LAPIS praemonuit tempus in secundis. | 30s' |
default ['firezone']['postgresql']['effective_cache_size'] | Postgresql amplitudo efficax cache. | 128MB' |
default ['firezone']['postgresql']['audire_address'] | Oratio audi postgresql. | 127.0.0.1 ' |
default ['firezone']['postgresql']['max_connections'] | Postgresql max hospites. | 350 |
default ['firezone']['postgresql']['md5_auth_cidr_addresses'] | Postgresql CIDRs permittit pro md5 auth. | ['127.0.0.1/32', '::1/128'] |
default ['firezone']['postgresql']['port'] | Postgresql audi portum. | 15432 |
default ['firezone']['postgresql']['shared_buffers'] | Postgresql buffers magnitudine communicata. | "#{(nodi['memoriae"]['total'].to_i / 4) / 1024}MB" |
default ['firezone']['postgresql']['shmmax'] | Postgresql shmmax in bytes. | 17179869184 |
default ['firezone']['postgresql']['shmall'] | Postgresql parva in bytes. | 4194304 |
default ['firezone']['postgresql']['work_mem'] | Postgresql memoria laborat magnitudo. | 8MB' |
default ['firezone']['database']['usoris'] | Firezona nomen usoris designat ad DB coniungere utetur. | node['firezone']['postgresql']['username'] |
default ['firezone']['database']['password'] | Si externa DB utens, tesseram Firezone designat, ad DB coniungere utetur. | change_me' |
default ['firezone']['database']['name'] | Database quod Firezone utetur. Creabitur si non est. | firezone " |
default ['firezone']['database']['host'] | Database hospes qui Firezone te coniunget. | node['firezone']['postgresql']['audire_address'] |
default ['firezone']['database']['port'] | Portus Database quem Firezone coniunget. | node['firezone']['postgresql']['port'] |
default ['firezone']['database']['pool'] | Piscina Database magnitudine Firezonis utetur. | [10, Etc.nprocessors].max |
default ['firezone']['database']['ssl'] | Num coniungere cum database in SSL. | FALSUS |
default ['firezone']['database']['ssl_opts'] | {} | |
default ['firezone']['database']['parameters'] | {} | |
default ['firezone']['database']['extensions'] | Database extensiones ad enable. | { 'plpgsql' => verum, 'pg_trgm' => verum } |
default ['firezone']['phoenix']['enabled'] | Admitte vel disable Firezone interretialem applicationem. | VERUM |
default ['firezone']['phoenix']['audire_address'] | Inscriptio interretialem applicationem auscultare Firezone. Haec de adverso flumine auribus inscriptionem nginx proxies erit. | 127.0.0.1 ' |
default ['firezone']['phoenix']['port'] | Firezone interretialem applicationem audi portum. Hic erit portus adverso flumine, qui proxies nginx. | 13000 |
default ['firezone']['phoenix']['log_directory'] | Firezone interretialem applicationem indicis index. | "#{ node ['firezone']['log_directory']}/phoenix" |
default ['firezone']['phoenix']['log_rotation']['file_maxbytes'] | Firezone interretialem applicationis stipes lima amplitudo. | 104857600 |
default ['firezone']['phoenix']['log_rotation']['num_to_keep'] | Numerus imaginum Firezone interretialem applicationem stipendii custodiendi. | 10 |
default ['firezone']['phoenix']['crash_detection']['enabled'] | Admitte vel inactivare applicationem interretialem Firezone deduci cum fragor deprehenditur. | VERUM |
default ['firezone']['phoenix']['external_trusted_proxies'] | Index creditorum contrariorum procuratorum formatae ut ordinata IPS et/vel CIDRs. | [] |
default ['firezone']['phoenix']['private_clients'] | Index retis privatae clientium HTTP, ordinatae sunt ordinatae IPS et/vel CIDRs. | [] |
default ['firezone']['wireguard']['enabled'] | Admitte vel disable bundled WireGuard procuratio. | VERUM |
default ['firezone']['wireguard']['log_directory'] | Log indicis de administratione sarcinarum WireGuard. | "#{ node ['firezone']['log_directory']}/wireguard" |
default ['firezone']['wireguard']['log_rotation']['file_maxbytes'] | WireGuard stipes lima amplitudo max. | 104857600 |
default ['firezone']['wireguard']['log_rotation']['num_to_keep'] | Numerus files stipes WireGuard ut custodiant. | 10 |
default ['firezone']['wireguard']['interface_name'] | WireGuard instrumenti nomine. Huius moduli mutans potest damnum temporale in VPN connectivity facere. | wg-firezone' |
default ['firezone']['wireguard']['port'] | Audi portum WireGuard. | 51820 |
default ['firezone']['wireguard']['mtu'] | WireGuard interface MTU huic servo et pro fabrica figurarum. | 1280 |
default ['firezone']['wireguard']['endpoint'] | WireGuard Endpoint uti ad figurationes fabrica generandi. Si nil, defaltam facit ad IP oratio publica server. | vii, |
default ['firezone']['wireguard']['dns'] | WireGuard DNS uti ad figurationes fabricae generatae. | 1.1.1.1, 1.0.0.1′ |
default ['firezone']['wireguard']['allow_ips'] | WireGuard AllowedIPs uti ad generatae figurarum fabrica. | 0.0.0.0/0, ::/0′ |
default ['firezone']['wireguard']['persistent_keepalive'] | Default PersentKeepalive setting for generated device configurations. Valor 0 Disables. | 0 |
default ['firezone']['wireguard']['ipv4']['enabled'] | Admitte vel disable IPv4 ad WireGuard network. | VERUM |
default ['firezone']['wireguard']['ipv4']['masquerade'] | Admitte vel disable eruptionem pro fasciculis relictis IPv4 cuniculo. | VERUM |
default ['firezone']['wireguard']['ipv4']['network'] | WireGuard network IPv4 inscriptio lacus. | 10.3.2.0/24 ' |
default ['firezone']['wireguard']['ipv4']['electronica'] | WireGuard interface IPv4 oratio. Inscriptio lacus WireGuard debet esse in. | 10.3.2.1 ' |
default ['firezone']['wireguard']['ipv6']['enabled'] | Admitte vel disable IPv6 ad WireGuard network. | VERUM |
default ['firezone']['wireguard']['ipv6']['masquerade'] | Admitte vel disable eruptionem pro fasciculis relictis IPv6 cuniculo. | VERUM |
default ['firezone']['wireguard']['ipv6']['network'] | WireGuard network IPv6 inscriptio lacus. | fd00::3:2:0/120′ |
default ['firezone']['wireguard']['ipv6']['electronica'] | WireGuard interface IPv6 oratio. Inscriptionis IPv6 lacus esse debet. | fd00::3:2:1′ |
default ['firezone']['runit']['svlogd_bin'] | bin locus runit svlogd. | "#{ node ['firezone']['install_directory']}/embedded/bin/svlogd" |
default ['firezone']['ssl']['directory'] | SSL directorium genera- certs recondendis. | /var/opt/firezone/ssl' |
default ['firezone']['ssl']['email_address'] | Electronicus electronicus ut certis chirographis auto-signatis et ACME protocollo notionibus renovationis utaris. | |
default ['firezone']['ssl']['acme']['enabled'] | ACME activare pro ipso SSL certi commeatus. Inactivare hoc ne Nginx audire in portum 80. Sedis hic ad plura mandata. | FALSUS |
default ['firezone']['ssl']['acme']['server'] | ACME servo utendi ad libellum editae/renovationis. Potest esse aliqua verum acme.sh server | letsencrypt |
default ['firezone']['ssl']['acme']['keylength'] | Specificare clavem generis et longitudinem SSL libellorum. Vide hic | ec-256 |
default ['firezone']['ssl']['certificate'] | Iter ad libellum tabella pro FQDN. Overrides ACME superius si specificatur. Si et ACME et hoc nil a se signatum generabitur certum. | vii, |
default ['firezone']['ssl']['certificate_key'] | Iter ad libellum. | vii, |
default ['firezone']['ssl']['ssl_dhparam'] | nginx ssl dh_param. | vii, |
default ['firezone']['ssl']['country_name'] | Patriae nomen proprium cert-s signatum est. | US' |
default ['firezone']['ssl']['state_name'] | Nomen rei publicae pro auto-signato cert. | CA |
default ['firezone']['ssl']['locality_name'] | Locum nomen sibi signatum cert. | San Francisco' |
default ['firezone']['ssl']['company_name'] | Societas nomen cert-sui signatum est. | Meum Company' |
default ['firezone']['ssl']['organizational_unit_name'] | Unitas nomen organicum pro certo signo auto-signato. | Res' |
default ['firezone']['ssl']['ciphers'] | SSL cyphris pro nginx uti. | ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA’ |
default ['firezone']['ssl']['fips_ciphers'] | SSL notis pro FIPs modus. | FIPS@ VIRTUTE:! aNULL:! enull' |
default ['firezone']['ssl']['protocols'] | TLS protocolla ad usum. | TLSv1 TLSv1.1 TLSv1.2′ |
default ['firezone']['ssl']['session_cache'] | SSL sessionis thesaurum. | participatur: SSL:4m' |
default ['firezone']['ssl']['session_timeout'] | SSL session timeout. | 5m' |
default ['firezone']['robots_allow'] | nginx robots permittunt. | / ' |
default ['firezone']['robots_disallow'] | nginx robots disallow. | vii, |
default ['firezone']['outbound_email']['from'] | Ex inscriptio Outbound inscriptio. | vii, |
default ['firezone']['outbound_email']['provider'] | Outbound email muneris provisor. | vii, |
default ['firezone']['outbound_email']['configs'] | Outbound email provisor confis. | see omnibus/cokbooks/firezone/attributes/default.rb |
default ['firezone']['telemetria']['enabled'] | Admitte vel disable anonymized productum telemetria. | VERUM |
default ['firezone']['connectivity_checks']['enabled'] | Enable or disable the Firezone connectivity checks service. | VERUM |
default ['firezone']['connectivity_checks']['intervallum'] | Intervallum connectivity checks in seconds. | 3_600 |
________________________________________________________________
Hic invenies enumerationem imaginum et directoria pertinentium ad institutionem Firezonis typicam. Haec mutare secundum emendationes in file configurationis tuae.
semita | Description |
/var/opt/firezone | Top-level directorio continens data et generata configurationem pro servitiis fasciculis Firezone. |
/opt/firezone | Top-level presul continens bibliothecas aedificatas, binarios ac cursores lima opus ab Firezone. |
/usr/bin/firezone-ctl | firezone-CTl utilitatem administrandi Firezone institutionem tuam. |
/etc/systemd/system/firezone-runsvdir-start.service | systemd unitatis fasciculi ad processum supervisorem Firezone runsvdir incipiendum. |
/etc/firezone | Configurationis files Firezone. |
__________________________________________________________
Haec pagina vacua erat in soUicitudo
_____________________________________________________________
Sequentia nftables templates firewall adhiberi potest ut servo Firezone currit. Formula quaedam suppositiones facit; necesse est ut praecepta ad arbitrium tuum usum casus accommodare:
Firezona suos nftables configurat regulas permittere/rejicere negotiationem ad loca interfacii interretialis conformata et ad outbound NAT ad negotiationem clientis tractandam.
Applicando infra firewall templates de servo iam currenti (non ad tempus tabernus) proveniet in purgato Firezone regulas. Hoc potest securitatem habere effectus.
Ad circa hoc opus sileo phoenix ministerium:
firezone-CTl sileo phoenix
#!/usr/sbin/nft -f
## Serena / solet omnia praecepta existentium
solet ruleset
################################ VARIABILIUM ################# ###############
## Internet / LURIDUS interface nomen
define DEV_WAN = eth0
## WireGuard nomen interface
define DEV_WIREGUARD = wg-firezone
## WireGuard audi portum
define WIREGUARD_PORT = 51820
############################## VARIABLES FINIS ################## ############
# Main inet familia eliquare mensam
table inet filter {
# Praecepta ad transmittantur negotiationis
# Haec catena ante Firezone processit ante catenam
torquem deinceps {
typus filter hamo deinceps prioritatem filter - 5; consilium accipere
}
# Praecepta pro initus negotiationis
catena input {
type filter hook input prior filter; consilium stilla
## Sine inbound traffic ad loopback interface
iif lo \
accipere \
comment "Permitte omnia negotiationis ab loopback interface"
## Sine statutum et nexus
ct statutum, actis \
accipere \
comment "Sinite statutum / related hospites"
## Sine inbound WireGuard negotiationis
IIF $DEV_WAN udp dport $WIREGUARD_PORT \
counter \
accipere \
comment "Sinite inbound WireGuard negotiationis"
## Log et novum TCP stillabunt non-SYN facis
tcp flags != syn ct re publica nova \
limit rate 100/ Minute rupta 150 facis \
praeposita iniuriarum "IN - New! SYN:" \
comment "Rate limites colligationem pro novis nexus qui non habent vexillum SYN TCP statutum"
tcp flags != syn ct re publica nova \
counter \
stilla \
comment "Iacta novas nexus qui vexillum Syn TCP non habent"
## Log et fluent TCP facis cum irritum fi / syn vexillum paro
tcp flags & (fin|syn) == (fin|syn) \
limit rate 100/ Minute rupta 150 facis \
praeposita iniuriarum "IN - TCP FIN|SIN:" \
comment "Rate modus logging ad TCP facis in irritum fi / syn vexillum paro"
tcp flags & (fin|syn) == (fin|syn) \
counter \
stilla \
comment "Iacta TCP facis in irritum fi / syn vexillum paro"
## Log et fluent TCP facis cum invalidum syn / prima vexillum set
tcp flags & (syn|rst) == (syn|rst) \
limit rate 100/ Minute rupta 150 facis \
praeposita iniuriarum "IN - TCP SYN|RST:" \
comment "Rate modus logging ad TCP facis cum irritum syn / prima vexillum set"
tcp flags & (syn|rst) == (syn|rst) \
counter \
stilla \
comment "Iacta TCP facis cum invalidum syn / prima vexillum set"
## Log et stilla invalidum TCP vexilla
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
limit rate 100/ Minute rupta 150 facis \
praeposita iniuriarum "IN - FIN" \
comment "Rate limit logging for invalide TCP flags (fin|syn|rst|psh|ack|urg)< (fin)"
tcp flags & (fin|syn|rst|psh|ack|urg) < (fin) \
counter \
stilla \
comment "Dacta TCP facis cum vexillis (fin|syn|rst| psh| ack| urg) < (fin)"
## Log et stilla invalidum TCP vexilla
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
limit rate 100/ Minute rupta 150 facis \
praeposita iniuriarum "IN - FIN|PSH|URG:" \
comment "Rate limit logging for invalidum TCP flags (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
tcp flags & (fin|syn|rst|psh|ack|urg) == (fin|psh|urg) \
counter \
stilla \
comment "Drop TCP packets with flags (fin|syn|rst|psh|ack|urg) == (fin|psh|urg)"
## Iacta traffic ad irritum nexum civitatis
ct nulla re publica \
limit rate 100/ Minute rupta 150 facis \
stipes vexilla omnia praeposita "IN - invalida" \
comment "Rate modus logging ad negotiationis cum irritum nexum status"
ct nulla re publica \
counter \
stilla \
comment "Iacta negotiationis cum irritum nexum status"
## Sine IPv4 ping / ping respondeo sed rate terminus ad MM PPS
ip protocol icmp icmp type { resonare-responsum , resonare , petitionem } \
limit rate 2000/secundus \
counter \
accipere \
comment "Permitte inbound IPv4 resonare (ping) solum MM PPS"
## Sine omnibus aliis inbound IPv4 ICMP
ip protocol icmp \
counter \
accipere \
comment "Dimitte omnia alia IPv4 ICMP"
## Sine IPv6 ping / ping respondeo sed rate terminus ad MM PPS
icmpv6 type { resonare-responsum , resonare } \
limit rate 2000/secundus \
counter \
accipere \
comment "Permitte inbound IPv6 resonare (ping) solum MM PPS"
## Sine omnibus aliis inbound IPv6 ICMP
meta l4proto { icmpv6 } \
counter \
accipere \
comment "Dimitte omnia alia IPv6 ICMP"
## Sine inbound traceroute UDP portubus sed terminus ad D PPS
udp dport 33434-33524 \
limit rate 500/secundus \
counter \
accipere \
comment "Permitte inbound UDP traceroute intra D PPS"
## Sine inbound SSH
tcp dport ssh ct novum statum \
counter \
accipere \
comment "Sinite inbound hospites SSH"
## Sine inbound HTTP et HTTPS
tcp dport { http, https } ct rem novam \
counter \
accipere \
comment "Permitte inbound HTTP ac HTTPS hospites"
## Log quis singularis traffic sed rate modus logging ad maximum de LX nuntiis / momento
## Default consilium applicabitur ad singularis negotiationis
limit rate 60/ Minute rupta 100 facis \
praeposita iniuriarum "IN - Iacta" \
comment "Log aliqua singularis negotiationis"
## Numera singularis negotiationis
counter \
comment "Numerare aliquem singularis negotiationis"
}
# Praecepta ad output negotiationis
catena output {
type filter hook output prior filter; consilium stilla
## Sine outbound traffic ad loopback interface
oif lo \
accipere \
comment "Sinite omnes traffic ad loopback interface"
## Sine statutum et nexus
ct statutum, actis \
counter \
accipere \
comment "Sinite statutum / related hospites"
## Sine outbound WireGuard negotiationis ante posito nexus cum malo statu
OIF $DEV_WAN udp ludos $WIREGUARD_PORT \
counter \
accipere \
comment "Sinite WireGuard Outbound traffic"
## Iacta traffic ad irritum nexum civitatis
ct nulla re publica \
limit rate 100/ Minute rupta 150 facis \
stipes vexilla omnia praeposita "E - Aliquam" \
comment "Rate modus logging ad negotiationis cum irritum nexum status"
ct nulla re publica \
counter \
stilla \
comment "Iacta negotiationis cum irritum nexum status"
## Sine omnibus aliis outbound IPv4 ICMP
ip protocol icmp \
counter \
accipere \
comment "Permitte omnia IPv4 ICMP genera"
## Sine omnibus aliis outbound IPv6 ICMP
meta l4proto { icmpv6 } \
counter \
accipere \
comment "Permitte omnia IPv6 ICMP genera"
## Sine outbound traceroute UDP portubus sed terminus ad D PPS
udp dport 33434-33524 \
limit rate 500/secundus \
counter \
accipere \
comment "Permitte Outbound UDP traceroute intra D PPS"
## Sine Outbound HTTP ac HTTPS hospites
tcp dport { http, https } ct rem novam \
counter \
accipere \
comment "Sinite Outbound HTTP ac HTTPS hospites"
## Sine Outbound ESMTP submission
tcp dport submission ct statum novum \
counter \
accipere \
comment "Sinite Outbound ESMTP submission"
## Sine Outbound petitiones DNS
udp dport 53 \
counter \
accipere \
comment "Permitte Outbound UDP DNS petitiones"
tcp dport 53 \
counter \
accipere \
comment "Permitte Outbound TCP DNS petitiones"
## Sine Outbound NTP petitiones
udp dport 123 \
counter \
accipere \
comment "Permitte Outbound NTP petitiones"
## Log quis singularis traffic sed rate modus logging ad maximum de LX nuntiis / momento
## Default consilium applicabitur ad singularis negotiationis
limit rate 60/ Minute rupta 100 facis \
praeposita iniuriarum "E - Iacta" \
comment "Log aliqua singularis negotiationis"
## Numera singularis negotiationis
counter \
comment "Numerare aliquem singularis negotiationis"
}
}
# Main NAT eliquare mensam
table inet nat {
# Rules for NAT traffic pre-fuso
torquem prerouting {
type nat hook prerouting priory dstnat; consilium accipere
}
# Rules for NAT traffic post-fuso
# Haec mensa discursum est coram Firezone post-fuso catena
catena postrouting {
type nat hamo postrouting prioritas srcnat - 5; consilium accipere
}
}
Murus in loco proprio condi debet distributio Linux quae currit. Nam Debian/Ubuntu hoc est /etc/nftables.conf, et pro RHEL hoc est /etc/sysconfig/nftables.conf.
nftables.service configurari oportet incipere in tabernus (si nondum) set:
systemctl enable nftables.service
Si quis mutationes firewall templates syntaxin faciens, per reprehendo imperium currit convalescere potest:
nft -f /path/to/nftables.conf -c
Vide ut opera firewall ad convalidandum tamquam certae notarum notarum exspectationes praesto esse non possint secundum emissionem currit in calculonis servi.
_______________________________________________________________
Hoc documentum perspectum exhibet telemetrii Firezonis collectum ex instantia tua se hosted et quomodo illud inactivum est.
ignis zona relies in telemetria ad prioritizandum nostrum roadmap et optimize machinarum facultates quas habemus ut Firezone melius omnibus.
Telemetria proposita colligimus ut sequentibus quaestionibus respondeat:
Sunt tria loca praecipua ubi telemetria in Firezone colligitur:
In singulis his tribus contextibus comprehendimus minimam quantitatem notitiarum necessariarum ad solvendas quaestiones in articulo superiore.
Admin electronicae tantum colliguntur si tu expresse optes-in ad updates productos. Alioquin notitia personaliter - certa notitia est numquam collegit.
Firezona telemetria reponit in exempli gratia PostHog currentis in privato Kubernetes botri, tantum pervia per turmam Firezonis. Exemplum est telemetriae eventus qui mittitur ab instantia Firezonis ad nostrum telemetrium server:
{
'D': “0182272d-0b88-0000-d419-7b9a413713f1”,
"Indicium": “2022-07-22T18:30:39.748000+00:00”,
"res": "Fz_http_started",
"distinct_id": “1ec2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"proprietates"{
"$geoip_city_name": "Ashburn",
"$geoip_continent_code": "NA",
"$geoip_continent_name": "American Septentrionalis",
"$geoip_country_code": "US",
"$geoip_country_name": "Civitates Foederatae",
"$geoip_latitude": 39.0469,
"$geoip_longitudo": -77.4903,
"$geoip_postal_code": "20149",
"$geoip_subdivision_1_code": "VA",
"$geoip_subdivision_1_name": "Virginia",
"$geoip_time_zone": "America/New_York",
"$ip": "52.200.241.107",
"$ plugins_deferred": [],
"$ plugins_failed": [],
"$ plugins_succeeded"[
"GeoIP (3)"
],
"distinct_id": “1zc2e794-1c3e-43fc-a78f-1db6d1a37f54”,
"fqdn": "awsdemo.firezone.dev",
"kernel_version": "linux 5.13.0",
"versio": "0.4.6"
},
"elementa_chain": ""
}
NOTA
The Firezone development team relies in product analytics ut Firezone melius omnibus. Relinquens telemetria capacitas est unica adiumenta pretiosissima quae facere potes ad progressionem Firezonis. Quod dixit, intellegimus aliquos utentes habere altiores secreti vel securitatis requisita ac telemetria omnino disable malle. Si id tibi est, habe lectionem.
Telemetria per defaltam potens est. Ad productum telemetrium omnino disable, sequentem optionem configurationis falsam in /etc/firezone/firezone.rb pone, et sudo firezone-ctl reconfigure ad mutationes colligendas.
default['firezone']['telemetria']['enabled'] = falsum,
Quod totum productum telemetria omnino disable erit.
Hailbytes
9511 Cohortis Reginae ct.
Laurus, MD 20723
Phone: (732) 771 9995,
Email: [Inscriptio protected]