Firezone – решение для создания VPN-серверов на базе WireGuard

Проектом Firezone развивается VPN-сервер для организации доступа к хостам во внутренней изолированной сети из пользовательских устройств, находящихся во внешних сетях. Проект на целен на достижение высокого уровня защиты и упрощение процесса развёртывания VPN. Код проекта написан на языках Elixir и Ruby, и распространяется под лицензией Apache 2.0.

Проект развивается инженером по автоматизации безопасности из компании Cisco, который попытался создать решение, автоматизирующее работу с конфигурацией хостов и исключающее появление проблем, с которыми приходилось сталкиваться при организации безопасного доступа к облачным VPC. Firezone может рассматриваться как открытый аналог OpenVPN Access Server, построенный поверх WireGuard вместо OpenVPN.

Для установки предлагаются rpm- и deb-пакеты для разных версий CentOS, Fedora, Ubuntu и Debian, установка которых не требует внешних зависимостей, так как все необходимые зависимости уже включены при помощи инструментария Chef Omnibus. Для работы требуется лишь дистрибутив с ядром Linux не старее 4.19 и собранный модуль ядра с VPN WireGuard. По заявлению автора, запуск и настройка VPN-сервера может быть осуществлена всего за несколько минут. Компоненты web-интерфейса выполняются под непривилегированным пользователем, а доступ возможен только через HTTPS.


Для организации каналов связи в Firezone используется WireGuard. В Firezone также встроены функции межсетевого экрана, использующего nftables. В текущем виде межсетевой экран ограничен средствами для блокировки исходящего трафика к определённым хостам или подсетям во внутренней или внешней сетях. Управление производится через web-интерфейс или в режиме командной строки при помощи утилиты firezone-ctl. Web-интерфейс построен на базе Admin One Bulma.


В настоящее время все компоненты Firezone запускаются на одном сервере, но проект изначально развивается с оглядкой на модульность и в будущем планируется добавить возможность разнесения компонентов для web-интерфейса, VPN и межсетевого экрана по разным хостам. В планах также упоминается интеграция блокировщика рекламы, работающего на уровне DNS, поддержка списков блокировки хостов и подсетей, возможность аутентификации через LDAP / SSO и дополнительные возможности по управлению пользователями.

Release. Ссылка here.