The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Firezone - решение для создания VPN-серверов на базе WireGuard

30.09.2021 10:07

Проектом Firezone развивается VPN-сервер для организации доступа к хостам во внутренней изолированной сети из пользовательских устройств, находящихся во внешних сетях. Проект нацелен на достижение высокого уровня защиты и упрощение процесса развёртывания VPN. Код проекта написан на языках Elixir и Ruby, и распространяется под лицензией Apache 2.0.

Проект развивается инженером по автоматизации безопасности из компании Cisco, который попытался создать решение, автоматизирующее работу с конфигурацией хостов и исключающее появление проблем, с которыми приходилось сталкиваться при организации безопасного доступа к облачным VPC. Firezone может рассматриваться как открытый аналог OpenVPN Access Server, построенный поверх WireGuard вместо OpenVPN.

Для установки предлагаются rpm- и deb-пакеты для разных версий CentOS, Fedora, Ubuntu и Debian, установка которых не требует внешних зависимостей, так как все необходимые зависимости уже включены при помощи инструментария Chef Omnibus. Для работы требуется лишь дистрибутив с ядром Linux не старее 4.19 и собранный модуль ядра с VPN WireGuard. По заявлению автора, запуск и настройка VPN-сервера может быть осуществлена всего за несколько минут. Компоненты web-интерфейса выполняются под непривилегированным пользователем, а доступ возможен только через HTTPS.

Для организации каналов связи в Firezone используется WireGuard. В Firezone также встроены функции межсетевого экрана, использующего nftables. В текущем виде межсетевой экран ограничен средствами для блокировки исходящего трафика к определённым хостам или подсетям во внутренней или внешней сетях. Управление производится через web-интерфейс или в режиме командной строки при помощи утилиты firezone-ctl. Web-интерфейс построен на базе Admin One Bulma.

В настоящее время все компоненты Firezone запускаются на одном сервере, но проект изначально развивается с оглядкой на модульность и в будущем планируется добавить возможность разнесения компонентов для web-интерфейса, VPN и межсетевого экрана по разным хостам. В планах также упоминается интеграция блокировщика рекламы, работающего на уровне DNS, поддержка списков блокировки хостов и подсетей, возможность аутентификации через LDAP / SSO и дополнительные возможности по управлению пользователями.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Проект Headscale развивает открытый сервер для распределённой VPN-сети Tailscale
  3. OpenNews: Представлена реализация VPN WireGuard для ядра Windows
  4. OpenNews: Выпуск системы глубокого инспектирования пакетов nDPI 4.0
  5. OpenNews: https://www.opennet.ru/opennews/art.shtml?num=54843
  6. OpenNews: Представлен модуль ядра, способный в разы ускорить OpenVPN
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/55887-firezone
Ключевые слова: firezone, wireguard, vpn
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (80) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 10:13, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –17 +/
    Да поздно уже, всё, не нужно. Уже есть быстрый ядерный модуль для openvpn, а wireguard без поддержки аппаратного ускорения пора отправить на свалку истории когда-то хайповых проектов.
     
     
  • 2.3, Аноним (3), 10:17, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –10 +/
    > Уже есть быстрый ядерный модуль для openvpn

    пока нет

    > без поддержки аппаратного ускорения

    ускорения чего и на чём? криптожелезо, к примеру, далеко не на всех сервах имеется, а всякие пакеты инструкций типа AVX поддерживаются компиляторами

     
     
  • 3.12, Аноним (1), 10:31, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >пока нет

    Зачем обманывать? Есть, можно поставить.
    >ускорения чего и на чём

    Интересно, а все специалисты не разбираются в таких простых вопросах или только комментаторы opennet?

     
  • 3.13, Qwerty (??), 10:33, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >криптожелезо, к примеру, далеко не на всех сервах имеется

    Следовательно, его поддержку реализовывать абсолютно необязательно, ведь у Васяна-то его нет. Типикал юникс-вей.

     
  • 3.14, edo (ok), 10:40, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > ускорения чего и на чём?

    некоторые процессоры для роутеров умеют aes

    > далеко не на всех сервах имеется

    вы про сервера? у вас есть современный серверный процессор без поддержки aes?

     
  • 3.60, Аноним (60), 06:31, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    MongoDB 5 уже требует AVX для сборки и работы, и хрен где он есть
     
     
  • 4.85, Аноним (85), 02:37, 30/10/2022 [^] [^^] [^^^] [ответить]  
  • +/
    avx это процессоры 2011+ года, то есть эра DDR4.
     
  • 2.4, Аноним (4), 10:19, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а wireguard без поддержки аппаратного ускорения

    чего? трассировки лучей?

     
  • 2.6, пох. (?), 10:22, 30/09/2021 Скрыто ботом-модератором     [к модератору]
  • –8 +/
     
  • 2.5, anonteam (?), 10:21, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    вебморда опенвпна платная. Товарищ развивает бесплатный аналог. Про производительность речи не было, читай внимательнее.
    И тесты уже есть ядерного модуля против wireguard? Линк в студию. Сдаётся мне не в пользу первого будут результаты.
     
     
  • 3.7, пох. (?), 10:24, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –6 +/
    > вебморда опенвпна платная.

    она еще и не на elixir!

    > Про производительность речи не было, читай внимательнее.

    да какая там речь про производительность, когда "хететепеэс" и разворачивание "за несколько минут", а то ж смузи не может ждать!

     
  • 3.35, bnm (?), 14:19, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    У wireguard есть ядерное ускорение
     
  • 3.36, bnm (?), 14:19, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У wireguard есть ядерное ускорение
     
  • 3.51, Аноним (51), 21:59, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >вебморда опенвпна платная.

    Если тебе в вебе надо одминить мышью, открой для себя пфсенс. Не благодари.

     
  • 2.21, Аниме (?), 11:36, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Chacha20 который в wiregyard достигает 80% от скорости aes-256 который в openvpn на процах с aes-ni. Давай, расскажи мне, как хти 20% оправдывают использование дырявого старья, которым openvpn и является.

    Деды бунтуют против новых технологий, спешите видеть.  

     
     
  • 3.26, Аноним (26), 11:54, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В промышленных масштабах эти 20% играют громадную роль.
     
     
  • 4.31, Аниме (?), 12:39, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Приведи пример.
     
  • 4.38, кокпок (?), 15:19, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В промышленных масштабах openvpn не удастся использовать из-за того что сервер синглтред.
     
     
  • 5.41, BorichL (ok), 16:33, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    10 лет использовали OpenVPN в промышленных масштабах без проблем. Что мы делали не так?
     
     
  • 6.77, Аноним (-), 12:17, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Продолжайте пользоваться еще 10 лет
    В РФ такая традиция
     
  • 3.30, Аноним (30), 12:35, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Давайте не забывать, что шифрование не только на сервере, но и на клиенте.  А на клиентах может и не быть никакого aes-ni, это вообще может быть ARM или MIPS.

    Chacha20 хороша высокой производительностью в среднем на любой архитектуре.

     
  • 3.32, Аноним (32), 12:41, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >Chacha20

    как тока ваша чача выветрится чо делать будете?

     
     
  • 4.50, Аноним (51), 21:57, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ты чачу так не обижай. Напиток отличный! У них смуззи из чиа протухнут.
     
  • 3.33, corvuscor (ok), 13:10, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >Деды бунтуют против новых технологий

    Отличное описание 80% комментаторов на данном ресурсе))

     
     
  • 4.44, Аноним (44), 21:06, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Больше скобочек "))". Всегда ставь их как можно больше! Отличный индикатор, ЕВПОЧА :)
     
     
  • 5.67, Аноним (-), 18:21, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Тебе смайлы запретили использовать?
     
  • 5.83, corvuscor (ok), 16:16, 07/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Больше скобочек "))". Всегда ставь их как можно больше! Отличный индикатор, ЕВПОЧА
    > :)

    Песок за собой подмести не забудь, дедуль.

     
  • 3.49, Аноним (51), 21:55, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Деды бунтуют против тупого запиливания новых технологий, спешите видеть.  

    Пофиксил.

    Тебе напомнить как с монолитом протоколов недавно матрикс обделалси? Параллель сам проведешь?

     
     
  • 4.76, Аноним (76), 06:30, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Тебе напомнить как с монолитом протоколов недавно матрикс обделалси?

    Брат Аноним, расскажи про матрикс плз, что там было - пропустил

     
  • 3.79, edo (ok), 17:48, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    точно 80 openssl speed -elapsed -evp aes-256-gcm 8230 type 1... большой текст свёрнут, показать
     
  • 2.22, Аноним (22), 11:37, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вы так доверяете криптоускорителям?
     
     
  • 3.39, edo (ok), 15:35, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Вы так доверяете криптоускорителям?

    а почему им не надо доверять?
    разве у AES не детерминированный результат? AFAIK шифровать «плохо» не получится.

     
  • 3.42, Андрей (??), 16:50, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как вы не понимаете!

    Это ДРУГОЕ!!!

     
  • 2.34, bnm (?), 14:17, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Даже на винде у wireguard  есть ядерное ускорение
     
     
  • 3.71, Аноним (71), 00:38, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это, кстати, вообще очень показательная история.
    Чувак-линуксоид, который в венде был вообще ни в зуб ногой, сел, разобрался и запилил и драйвер, и уровень абстракции, по качеству и производительности на порядок лучше, чем годами используемые вин-тун-тапы и прочий хлам.
     
     
  • 4.78, Аноним (-), 12:18, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Глаз не замаслен
     
  • 2.69, Alladin (?), 20:18, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Куда вы летите вперед паровоза.

    Модуль то есть, но он... не доделан и до прода ему еще рано)..

     

  • 1.8, Аноним (8), 10:25, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Да подобных проектов хоть жопой жуй уже.
     
     
  • 2.9, QwertyReg (ok), 10:26, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    У них всех есть фатальный недостаток - их написал не конкретный Васян, которому очень хочется.
     
     
  • 3.37, macfaq (?), 15:06, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё в них нет allowlist/denylist.
     
  • 2.15, edo (ok), 10:40, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    можете привести примеры?
     
     
  • 3.20, Аноним (8), 11:34, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    https://pypi.org/project/django-wireguard/
    https://www.npmjs.com/package/wireguard-api
    https://github.com/parthibd/chariot
    https://github.com/dashboardlabs/wireguard-manager
    ...
     
     
  • 4.68, Аноним (-), 18:22, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ой не все!
    Стрейзанд нет
     

  • 1.10, Аноним (10), 10:29, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Allowlist/denylist - SJW cringe.

    // b.

     
     
  • 2.29, Адольф (?), 12:34, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ради этого и запиливалось
     

  • 1.17, Аноним (17), 10:53, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    pritunl?
     
  • 1.18, test (??), 11:05, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > установка которых не требует внешних зависимостей, так как все необходимые зависимости уже включены при помощи инструментария

    Глянул пакет rpm .... 245 Мб, однако.

     
     
  • 2.56, Аноним (-), 05:49, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    libxul.so -181 Мегабайт. xul.dll - 110 Мегабайт. А лет 7 назад вроде окло 30 - 50 Мб. Вроде так было уже плохо помню.
     
     
  • 3.57, Аноним (-), 05:59, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Скачал 60 версию 2019.9 - xul.dll 72 Мб. 42 версия первая 64 бит 2015.10 год - 48 Мб.
     

  • 1.19, rvs2016 (ok), 11:09, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Firezone - решение для создания VPN-серверов на базе WireGuard

    А зачем это решение развивается, если нормально работает по принципу "настроил и забыл" mpd5? 🤔

    ps: Это не говоря уж о решениях вообще типа
    ifconfig gif0 create tunnel хост1 хост2
    ifconfig gif0 inet ip1 ip2

     
     
  • 2.25, йцу (?), 11:49, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что, Вась, за окном твоей кухни целый мир и он крайне вариативен в подобных вещах. Людям часто требуется интерактивная динамика в настройках, а не твой локалхост - настроил и забыл.
    Смекаешь?
     
     
  • 3.28, Аноним (28), 12:33, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    За окном кухни - детский сад, а у нас тут энтерпрайз. Но насчет интерактивной динамики ты прав, конечно
     

  • 1.23, Аноним (23), 11:40, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Вот есть же отличные начинания в этом мире!!!

    "Elixir и Ruby"

    Ну где-то они есть..

     
     
  • 2.61, Аноним (61), 07:42, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Особенно, Elixir.
     

  • 1.40, Аноним (40), 15:48, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как же хочется выдачи сервером ip адресов и прочих настроек в том числе маршрутов на wireguard...
     
  • 1.43, Аноним (51), 20:47, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Посоны, смотрю я на всю эту историю с вг и думаю: а по какой такой причине все оси дружно взяли и стали вдруг внедрять? Даже бсди, даже мс.
    Что-то я раньше такого радушия и консенсуса со всех сторон не припомню.
     
     
  • 2.45, Аноним (45), 21:20, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Что-то я раньше такого радушия и консенсуса со всех сторон не припомню.

    Это потому, что ты слишком юн, чтобы знать да хотя бы про IPsec?

     
     
  • 3.47, Аноним (51), 21:50, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    О старец, расскажи, а айписеки везде одинаковые или это таки набор протоколов?напомни как и сколько времени айписег внедрялся, и таки везде ли скаже ике2 есть?
    А тут бац и в дамки. Одно. На всех.
     
     
  • 4.52, Аноним (52), 23:34, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А вот WireGuard везде одинаковый.
     
  • 3.48, Аноним (51), 21:52, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И да, отец шигорин ты? Залогинься.
     
  • 2.46, Аноним (46), 21:35, 30/09/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Хороший вопрос.
     
  • 2.53, Аноним (53), 00:49, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    MS продвигает свой SSTP, WG она не внедряет и не собирается. К виндовому драйверу WG MS не имеет отношения.
     
     
  • 3.54, Аноним (51), 01:37, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://www.theregister.com/2021/08/03/wireguard_native_windows_port/

    Такие дела.

     
     
  • 4.58, Аноним (-), 06:15, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А ещё драйвер для btrfs развивают, есть для Windows.
     
     
  • 5.59, Аноним (-), 06:20, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Как сейчас обстоят дела не знаю лет 5 назад видел. Может не драйвер как точно называется не знаю. Видел, но не устанавливал.
     
  • 5.64, MS (??), 14:44, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И в этом мы тоже совершенно не виноваты.

     
     
  • 6.72, Аноним (-), 01:49, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет я не о MS, а ещё для Windows есть драйвер btrfs. Я о MS и не думал.
     
  • 4.63, MS (??), 14:43, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    А мы-то тут причем?

    Ну пишет какой-то васян драйвер для васянского ненужно. Надо было ему ddk в руки, конечно, не давать, но вы ж первые вой поднимете что ущемляют и достоинства лишают...

     
     
  • 5.65, Аноним (51), 15:45, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ви тголлируете или пгавда не в 2+2?

    Ну ничего, скоро по мнению адептов настанет щасте и родиццо винда с ядром линукс. Фсы, реализации протоколов, все превратится в винду без мс!

     
  • 5.73, Аноним (-), 01:50, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нет я не о MS, а ещё для Windows есть драйвер btrfs. Я о MS и не думал.
     
     
  • 6.74, Аноним (-), 01:56, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это канстатация факта и такое есть.
     
  • 3.55, Аноним (51), 01:38, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Я теперь как такие мессаги вижу, мне шигорин мерещится... чур меня чур.
     
  • 3.62, Аноним (61), 07:45, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >К виндовому драйверу WG MS не имеет отношения.

    Так это же хорошо. Без их улучшизмов как-то лучше.

     
     
  • 4.66, Аноним (51), 16:46, 01/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Нотацию линка не читай, комент сразу набрасывай!
     

  • 1.70, СеменСеменыч777 (?), 23:18, 01/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чем дальше, тем больше думаю, что никакие ВПН не нужны.

    используемые протоколы уровня приложений должны быть такими, чтобы проходить через любые IDS/DPI/СОРМ2/Китайскую_стену и эти вахтеры выносили только один вердикт: "какой-то шифрованный поток чего-то не могу понять чего именно, между адресами A и B".

     
     
  • 2.75, Аноним (51), 02:04, 02/10/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Семен Семеныч, есть уже решения. Но это такой кардебалет и сэндвич технологий, что лучше бы старлинка тарелку добыть и приобщаться к интернету в том виде, в каком олды его помнят.
     
  • 2.81, And (??), 20:27, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > "какой-то шифрованный поток чего-то не могу понять чего именно, между адресами A и B"

    Так это и есть VPN по определению. Один уровень обеспечивает связность адресов А и Б. Другой уровень обеспечивает скрытность. И сложная (в т.ч. математически) обвязка. Которая устаревает переодически. Т.е. это таки удобно, что можно менять части.

     
     
  • 3.82, СеменСеменыч777 (?), 20:49, 03/10/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > Так это и есть VPN по определению.

    нет. или не в этих реализациях.
    OpenVPN распознается. wireguard распознается.

     

  • 1.80, And (??), 20:08, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Автобус... Омнибусы давно уже не ходили, да вот - обратно придумали.

    Омнибус - плохо.

     
  • 1.84, Владислав (??), 17:48, 18/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересный продукт. Лично для меня хорошо подходит для личных целей, для enterprise лично для меня больно мало настроек в веб интерфейсе)
    Для 2022 года как никогда актуальный проект)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру