Firezone - решение для создания VPN-серверов на базе WireGuard

30.09.2021 10:07

Проектом Firezone развивается VPN-сервер для организации доступа к хостам во внутренней изолированной сети из пользовательских устройств, находящихся во внешних сетях. Проект нацелен на достижение высокого уровня защиты и упрощение процесса развёртывания VPN. Код проекта написан на языках Elixir и Ruby, и распространяется под лицензией Apache 2.0.

Проект развивается инженером по автоматизации безопасности из компании Cisco, который попытался создать решение, автоматизирующее работу с конфигурацией хостов и исключающее появление проблем, с которыми приходилось сталкиваться при организации безопасного доступа к облачным VPC. Firezone может рассматриваться как открытый аналог OpenVPN Access Server, построенный поверх WireGuard вместо OpenVPN.

Для установки предлагаются rpm- и deb-пакеты для разных версий CentOS, Fedora, Ubuntu и Debian, установка которых не требует внешних зависимостей, так как все необходимые зависимости уже включены при помощи инструментария Chef Omnibus. Для работы требуется лишь дистрибутив с ядром Linux не старее 4.19 и собранный модуль ядра с VPN WireGuard. По заявлению автора, запуск и настройка VPN-сервера может быть осуществлена всего за несколько минут. Компоненты web-интерфейса выполняются под непривилегированным пользователем, а доступ возможен только через HTTPS.

Для организации каналов связи в Firezone используется WireGuard. В Firezone также встроены функции межсетевого экрана, использующего nftables. В текущем виде межсетевой экран ограничен средствами для блокировки исходящего трафика к определённым хостам или подсетям во внутренней или внешней сетях. Управление производится через web-интерфейс или в режиме командной строки при помощи утилиты firezone-ctl. Web-интерфейс построен на базе Admin One Bulma.

В настоящее время все компоненты Firezone запускаются на одном сервере, но проект изначально развивается с оглядкой на модульность и в будущем планируется добавить возможность разнесения компонентов для web-интерфейса, VPN и межсетевого экрана по разным хостам. В планах также упоминается интеграция блокировщика рекламы, работающего на уровне DNS, поддержка списков блокировки хостов и подсетей, возможность аутентификации через LDAP / SSO и дополнительные возможности по управлению пользователями.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/55887-firezone

Ключевые слова: firezone, wireguard, vpn

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (80)

1.1, Аноним (1), 10:13, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	–17 +/–
Да поздно уже, всё, не нужно. Уже есть быстрый ядерный модуль для openvpn, а wireguard без поддержки аппаратного ускорения пора отправить на свалку истории когда-то хайповых проектов.

2.3, Аноним (3), 10:17, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]

–10 +/–

> Уже есть быстрый ядерный модуль для openvpn

пока нет

> без поддержки аппаратного ускорения

ускорения чего и на чём? криптожелезо, к примеру, далеко не на всех сервах имеется, а всякие пакеты инструкций типа AVX поддерживаются компиляторами

3.12, Аноним (1), 10:31, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]

+4 +/–

>пока нет

Зачем обманывать? Есть, можно поставить.
>ускорения чего и на чём

Интересно, а все специалисты не разбираются в таких простых вопросах или только комментаторы opennet?

3.13, Qwerty (??), 10:33, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>криптожелезо, к примеру, далеко не на всех сервах имеется Следовательно, его поддержку реализовывать абсолютно необязательно, ведь у Васяна-то его нет. Типикал юникс-вей.

3.14, edo (ok), 10:40, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]

+4 +/–

> ускорения чего и на чём?

некоторые процессоры для роутеров умеют aes

> далеко не на всех сервах имеется

вы про сервера? у вас есть современный серверный процессор без поддержки aes?

3.60, Аноним (60), 06:31, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
MongoDB 5 уже требует AVX для сборки и работы, и хрен где он есть

4.85, Аноним (85), 02:37, 30/10/2022 [^] [^^] [^^^] [ответить] [к модератору]	+/–
avx это процессоры 2011+ года, то есть эра DDR4.

2.4, Аноним (4), 10:19, 30/09/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	–1 +/–
> а wireguard без поддержки аппаратного ускорения чего? трассировки лучей?

2.6, пох. (?), 10:22, 30/09/2021 Скрыто ботом-модератором [к модератору]	–8 +/–

2.5, anonteam (?), 10:21, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+5 +/–
вебморда опенвпна платная. Товарищ развивает бесплатный аналог. Про производительность речи не было, читай внимательнее. И тесты уже есть ядерного модуля против wireguard? Линк в студию. Сдаётся мне не в пользу первого будут результаты.

3.7, пох. (?), 10:24, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]

–6 +/–

> вебморда опенвпна платная.

она еще и не на elixir!

> Про производительность речи не было, читай внимательнее.

да какая там речь про производительность, когда "хететепеэс" и разворачивание "за несколько минут", а то ж смузи не может ждать!

3.35, bnm (?), 14:19, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
У wireguard есть ядерное ускорение

3.36, bnm (?), 14:19, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
У wireguard есть ядерное ускорение

3.51, Аноним (51), 21:59, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
>вебморда опенвпна платная. Если тебе в вебе надо одминить мышью, открой для себя пфсенс. Не благодари.

2.21, Аниме (?), 11:36, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+5 +/–
Chacha20 который в wiregyard достигает 80% от скорости aes-256 который в openvpn на процах с aes-ni. Давай, расскажи мне, как хти 20% оправдывают использование дырявого старья, которым openvpn и является. Деды бунтуют против новых технологий, спешите видеть.

3.26, Аноним (26), 11:54, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
В промышленных масштабах эти 20% играют громадную роль.

4.31, Аниме (?), 12:39, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Приведи пример.

4.38, кокпок (?), 15:19, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
В промышленных масштабах openvpn не удастся использовать из-за того что сервер синглтред.

5.41, BorichL (ok), 16:33, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
10 лет использовали OpenVPN в промышленных масштабах без проблем. Что мы делали не так?

6.77, Аноним (-), 12:17, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Продолжайте пользоваться еще 10 лет В РФ такая традиция

3.30, Аноним (30), 12:35, 30/09/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+2 +/–
Давайте не забывать, что шифрование не только на сервере, но и на клиенте. А на клиентах может и не быть никакого aes-ni, это вообще может быть ARM или MIPS. Chacha20 хороша высокой производительностью в среднем на любой архитектуре.

3.32, Аноним (32), 12:41, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–3 +/–
>Chacha20 как тока ваша чача выветрится чо делать будете?

4.50, Аноним (51), 21:57, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ты чачу так не обижай. Напиток отличный! У них смуззи из чиа протухнут.

3.33, corvuscor (ok), 13:10, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+1 +/–
>Деды бунтуют против новых технологий Отличное описание 80% комментаторов на данном ресурсе))

4.44, Аноним (44), 21:06, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
Больше скобочек "))". Всегда ставь их как можно больше! Отличный индикатор, ЕВПОЧА :)

5.67, Аноним (-), 18:21, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Тебе смайлы запретили использовать?

5.83, corvuscor (ok), 16:16, 07/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Больше скобочек "))". Всегда ставь их как можно больше! Отличный индикатор, ЕВПОЧА > :) Песок за собой подмести не забудь, дедуль.

3.49, Аноним (51), 21:55, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]

+/–

>Деды бунтуют против тупого запиливания новых технологий, спешите видеть.

Пофиксил.

Тебе напомнить как с монолитом протоколов недавно матрикс обделалси? Параллель сам проведешь?

4.76, Аноним (76), 06:30, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	–1 +/–
>Тебе напомнить как с монолитом протоколов недавно матрикс обделалси? Брат Аноним, расскажи про матрикс плз, что там было - пропустил

3.79, edo (ok), 17:48, 02/10/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
точно 80 openssl speed -elapsed -evp aes-256-gcm 8230 type 1... большой текст свёрнут, показать

2.22, Аноним (22), 11:37, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Вы так доверяете криптоускорителям?

3.39, edo (ok), 15:35, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
> Вы так доверяете криптоускорителям? а почему им не надо доверять? разве у AES не детерминированный результат? AFAIK шифровать «плохо» не получится.

3.42, Андрей (??), 16:50, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Как вы не понимаете! Это ДРУГОЕ!!!

2.34, bnm (?), 14:17, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [↑] [к модератору]	+/–
Даже на винде у wireguard есть ядерное ускорение

3.71, Аноним (71), 00:38, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это, кстати, вообще очень показательная история. Чувак-линуксоид, который в венде был вообще ни в зуб ногой, сел, разобрался и запилил и драйвер, и уровень абстракции, по качеству и производительности на порядок лучше, чем годами используемые вин-тун-тапы и прочий хлам.

4.78, Аноним (-), 12:18, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Глаз не замаслен

2.69, Alladin (?), 20:18, 01/10/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Куда вы летите вперед паровоза. Модуль то есть, но он... не доделан и до прода ему еще рано)..

1.8, Аноним (8), 10:25, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+1 +/–
Да подобных проектов хоть жопой жуй уже.

2.9, QwertyReg (ok), 10:26, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
У них всех есть фатальный недостаток - их написал не конкретный Васян, которому очень хочется.

3.37, macfaq (?), 15:06, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Ещё в них нет allowlist/denylist.

2.15, edo (ok), 10:40, 30/09/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+1 +/–
можете привести примеры?

3.20, Аноним (8), 11:34, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+3 +/–
https://pypi.org/project/django-wireguard/ https://www.npmjs.com/package/wireguard-api https://github.com/parthibd/chariot https://github.com/dashboardlabs/wireguard-manager ...

4.68, Аноним (-), 18:22, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ой не все! Стрейзанд нет

1.10, Аноним (10), 10:29, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	–4 +/–
Allowlist/denylist - SJW cringe. // b.

2.29, Адольф (?), 12:34, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+2 +/–
Ради этого и запиливалось

1.17, Аноним (17), 10:53, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
pritunl?

1.18, test (??), 11:05, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+3 +/–
> установка которых не требует внешних зависимостей, так как все необходимые зависимости уже включены при помощи инструментария Глянул пакет rpm .... 245 Мб, однако.

2.56, Аноним (-), 05:49, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
libxul.so -181 Мегабайт. xul.dll - 110 Мегабайт. А лет 7 назад вроде окло 30 - 50 Мб. Вроде так было уже плохо помню.

3.57, Аноним (-), 05:59, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Скачал 60 версию 2019.9 - xul.dll 72 Мб. 42 версия первая 64 бит 2015.10 год - 48 Мб.

1.19, rvs2016 (ok), 11:09, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]

–2 +/–

> Firezone - решение для создания VPN-серверов на базе WireGuard

А зачем это решение развивается, если нормально работает по принципу "настроил и забыл" mpd5? 🤔

ps: Это не говоря уж о решениях вообще типа
ifconfig gif0 create tunnel хост1 хост2
ifconfig gif0 inet ip1 ip2

2.25, йцу (?), 11:49, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Потому что, Вась, за окном твоей кухни целый мир и он крайне вариативен в подобных вещах. Людям часто требуется интерактивная динамика в настройках, а не твой локалхост - настроил и забыл. Смекаешь?

3.28, Аноним (28), 12:33, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
За окном кухни - детский сад, а у нас тут энтерпрайз. Но насчет интерактивной динамики ты прав, конечно

1.23, Аноним (23), 11:40, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]

+1 +/–

Вот есть же отличные начинания в этом мире!!!

"Elixir и Ruby"

Ну где-то они есть..

2.61, Аноним (61), 07:42, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Особенно, Elixir.

1.40, Аноним (40), 15:48, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	+/–
как же хочется выдачи сервером ip адресов и прочих настроек в том числе маршрутов на wireguard...

1.43, Аноним (51), 20:47, 30/09/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [к модератору]	+1 +/–
Посоны, смотрю я на всю эту историю с вг и думаю: а по какой такой причине все оси дружно взяли и стали вдруг внедрять? Даже бсди, даже мс. Что-то я раньше такого радушия и консенсуса со всех сторон не припомню.

2.45, Аноним (45), 21:20, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+2 +/–
> Что-то я раньше такого радушия и консенсуса со всех сторон не припомню. Это потому, что ты слишком юн, чтобы знать да хотя бы про IPsec?

3.47, Аноним (51), 21:50, 30/09/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	–1 +/–
О старец, расскажи, а айписеки везде одинаковые или это таки набор протоколов?напомни как и сколько времени айписег внедрялся, и таки везде ли скаже ике2 есть? А тут бац и в дамки. Одно. На всех.

4.52, Аноним (52), 23:34, 30/09/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
А вот WireGuard везде одинаковый.

3.48, Аноним (51), 21:52, 30/09/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
И да, отец шигорин ты? Залогинься.

2.46, Аноним (46), 21:35, 30/09/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Хороший вопрос.

2.53, Аноним (53), 00:49, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
MS продвигает свой SSTP, WG она не внедряет и не собирается. К виндовому драйверу WG MS не имеет отношения.

3.54, Аноним (51), 01:37, 01/10/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+/–
https://www.theregister.com/2021/08/03/wireguard_native_windows_port/ Такие дела.

4.58, Аноним (-), 06:15, 01/10/2021 [^] [^^] [^^^] [ответить] [↓] [к модератору]	+1 +/–
А ещё драйвер для btrfs развивают, есть для Windows.

5.59, Аноним (-), 06:20, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Как сейчас обстоят дела не знаю лет 5 назад видел. Может не драйвер как точно называется не знаю. Видел, но не устанавливал.

5.64, MS (??), 14:44, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
И в этом мы тоже совершенно не виноваты.

6.72, Аноним (-), 01:49, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Нет я не о MS, а ещё для Windows есть драйвер btrfs. Я о MS и не думал.

4.63, MS (??), 14:43, 01/10/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]

+/–

А мы-то тут причем?

Ну пишет какой-то васян драйвер для васянского ненужно. Надо было ему ddk в руки, конечно, не давать, но вы ж первые вой поднимете что ущемляют и достоинства лишают...

5.65, Аноним (51), 15:45, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Ви тголлируете или пгавда не в 2+2? Ну ничего, скоро по мнению адептов настанет щасте и родиццо винда с ядром линукс. Фсы, реализации протоколов, все превратится в винду без мс!

5.73, Аноним (-), 01:50, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Нет я не о MS, а ещё для Windows есть драйвер btrfs. Я о MS и не думал.

6.74, Аноним (-), 01:56, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Это канстатация факта и такое есть.

3.55, Аноним (51), 01:38, 01/10/2021 [^] [^^] [^^^] [ответить] [↑] [к модератору]	+/–
Я теперь как такие мессаги вижу, мне шигорин мерещится... чур меня чур.

3.62, Аноним (61), 07:45, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
>К виндовому драйверу WG MS не имеет отношения. Так это же хорошо. Без их улучшизмов как-то лучше.

4.66, Аноним (51), 16:46, 01/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
Нотацию линка не читай, комент сразу набрасывай!

1.70, СеменСеменыч777 (?), 23:18, 01/10/2021 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [к модератору]	+/–
чем дальше, тем больше думаю, что никакие ВПН не нужны. используемые протоколы уровня приложений должны быть такими, чтобы проходить через любые IDS/DPI/СОРМ2/Китайскую_стену и эти вахтеры выносили только один вердикт: "какой-то шифрованный поток чего-то не могу понять чего именно, между адресами A и B".

2.75, Аноним (51), 02:04, 02/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+1 +/–
Семен Семеныч, есть уже решения. Но это такой кардебалет и сэндвич технологий, что лучше бы старлинка тарелку добыть и приобщаться к интернету в том виде, в каком олды его помнят.

2.81, And (??), 20:27, 03/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> "какой-то шифрованный поток чего-то не могу понять чего именно, между адресами A и B" Так это и есть VPN по определению. Один уровень обеспечивает связность адресов А и Б. Другой уровень обеспечивает скрытность. И сложная (в т.ч. математически) обвязка. Которая устаревает переодически. Т.е. это таки удобно, что можно менять части.

3.82, СеменСеменыч777 (?), 20:49, 03/10/2021 [^] [^^] [^^^] [ответить] [к модератору]	+/–
> Так это и есть VPN по определению. нет. или не в этих реализациях. OpenVPN распознается. wireguard распознается.

1.80, And (??), 20:08, 03/10/2021 [ответить] [﹢﹢﹢] [ · · · ] [↑] [к модератору]	–1 +/–
Автобус... Омнибусы давно уже не ходили, да вот - обратно придумали. Омнибус - плохо.

1.84, Владислав (??), 17:48, 18/04/2022 [ответить] [﹢﹢﹢] [ · · · ] [к модератору]	+/–
Интересный продукт. Лично для меня хорошо подходит для личных целей, для enterprise лично для меня больно мало настроек в веб интерфейсе) Для 2022 года как никогда актуальный проект)

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: