|
|
@@ -2,46 +2,53 @@ ACHTUNG!! In Bearbeitung!!!
|
|
|
|
|
|
|
|
|
Datenquelle https://wiki.leipzig.freifunk.net/
|
|
|
-und Emailverkehr der Infa-ffdo Gruppe
|
|
|
+und Emailverkehr der Infra-ffdo Gruppe
|
|
|
Anpassung von Marcel
|
|
|
|
|
|
-APU mit Debian 10
|
|
|
-Laptop mit Mate 20
|
|
|
+APU mit Debian 10
|
|
|
+Laptop mit Mate 20
|
|
|
|
|
|
#**Anleitung für die Installation und Konfiguration für die Verwendung in unserem "Labor- Betrieb"**
|
|
|
|
|
|
-##=== Installation von Tinc ===
|
|
|
-
|
|
|
- sudo apt-get update dann
|
|
|
- sudo apt-get install tinc
|
|
|
+## Installation von Tinc
|
|
|
+
|
|
|
+sudo apt-get update
|
|
|
+sudo apt-get install tinc
|
|
|
|
|
|
-##=== Lan Verbindung herstellen ===
|
|
|
+## Lan Verbindung herstellen
|
|
|
|
|
|
-Per Netzwerkabel miteinander verbinden ;)
|
|
|
+Per Netzwerkkabel miteinander verbinden ;)
|
|
|
|
|
|
-##=== Feste IP Adresse Anlegen ===
|
|
|
+## Feste IP Adresse Anlegen
|
|
|
|
|
|
Um Fehler auszuschließen am besten statische IP-Adressen benutzen, die außerhalb des Bereiches vom lokalen DHCP-Servers (zB. F!Box) liegen.Default route dann manuell zum lokalen uplink gateway (zB zur F!Box) setzen.
|
|
|
Konfiguration rebootfest machen (/etc/rc.conf bei BSD, /etc/network/interfaces bei Debian). Die im Folgenden als Beispiel verwendeten private-IP-Adressen natürlich durch die real konfigurierten ersetzen. Wenn man die Netzwerkkonfiguration der APU versemmelt und nicht mehr per ssh drankommt, gibt's ja zum Glück noch die serielle
|
|
|
Verbindung:-)
|
|
|
|
|
|
-In meinem Fall habe ich mich für die Adressen:
|
|
|
-
|
|
|
-Apu (Debian) : 192.168.1.100
|
|
|
-Laptop : 192.168.1.99
|
|
|
+In meinem Fall habe ich mich entschieden für die Adressen:
|
|
|
+
|
|
|
+Apu (Debian) : 192.168.1.100
|
|
|
+Laptop : 192.168.1.99
|
|
|
|
|
|
-##=== Verzeichnisstruktur anlegen ===
|
|
|
+## Verzeichnisstruktur anlegen
|
|
|
|
|
|
- mkdir -p /etc/tinc/lan/hosts/
|
|
|
+sudo mkdir -p /etc/tinc/lan/hosts/
|
|
|
|
|
|
Anmerkung: der Parameter -p bewirkt keinen Fehler, wenn /lan/ und/oder /hosts/ schon vorhanden sind; sonst werden die Verzeichnisse lan und hosts erzeugt.
|
|
|
|
|
|
-##=== Konfigurationsdateien "lan" anlegen ===
|
|
|
+## Konfigurationsdateien "lan" anlegen
|
|
|
|
|
|
Nun müssen eine Reihe von Konfigurationsdateien und -scripten angelegt werden damit Tinc ordnungsgemäß
|
|
|
seinen Dienst verrichtet.
|
|
|
|
|
|
-##=== Tinc-Konfigurationsdatei ===
|
|
|
+- /etc/tinc/lan/tinc.conf
|
|
|
+- /etc/tinc/lan/rsa_key.priv (wird mit tincd erzeugt)
|
|
|
+- /etc/tinc/lan/tinc-up
|
|
|
+- /etc/tinc/lan/hosts/apu
|
|
|
+- /etc/tinc/lan/hosts/laptop
|
|
|
+Dabei sind hosts/apu und hosts/laptop auf beiden Geräten identisch, die anderen gerätespezifisch.
|
|
|
+
|
|
|
+## Tinc-Konfigurationsdatei
|
|
|
|
|
|
vi /etc/tinc/lan/tinc.conf
|
|
|
tinc Instanz aufsetzen (Beschreibung für tinc 1.0.x) Tipp! Für das Übertragen der Einstellungen am besten jeweils mit dem Befehl "cat" arbeiten.
|
|
|
@@ -71,108 +78,98 @@ GraphDumpFile = /var/run/tinc.lan.dot
|
|
|
#LocalDiscovery = yes
|
|
|
ConnectTo = apu
|
|
|
|
|
|
-##=== Auf beiden Geräten die Schlüsselpaare generieren:
|
|
|
+## Auf beiden Geräten die Schlüsselpaare generieren:
|
|
|
Anmerkung: bei mir funktionierte der Befehl nur mit Angabe des Pfades.
|
|
|
|
|
|
-tincd -n lan -K 4096 oder
|
|
|
-/etc/tinc/lan/inc.conf -n lan -K 4096
|
|
|
+tincd -n lan -K 4096 oder mit Pfad
|
|
|
+/usr/sbin/tincd -n lan -K 4096
|
|
|
|
|
|
-##=== Die IP-Adressen eintragen
|
|
|
-Dann in der public key Datei ..
|
|
|
-vi etc/tinc/lan/hosts/apu
|
|
|
-und
|
|
|
-vi etc/tinc/lan/hosts/laptop
|
|
|
+## Die IP-Adressen eintragen
|
|
|
+Dann in den public key Dateien ..
|
|
|
+vi etc/tinc/lan/hosts/apu
|
|
|
+und
|
|
|
+vi etc/tinc/lan/hosts/laptop
|
|
|
die IP-Adresse des hosts oben ergänzen:
|
|
|
hier zum Beispiel die Änderung für den Apu
|
|
|
|
|
|
-Address = 192.168.1.100
|
|
|
+Address = 192.168.1.100
|
|
|
Port = 10001
|
|
|
|
|
|
------BEGIN RSA PUBLIC KEY-----
|
|
|
-MIICCgKCAgEAwirLKOYuwraf+MneMpzWqKhv8qCcZCC7yFAN2y+OnT5lXzV/LgwQ
|
|
|
-[...]
|
|
|
+-----BEGIN RSA PUBLIC KEY-----
|
|
|
+MIICCgKCAgEAwirLKOYuwraf+MneMpzWqKhv8qCcZCC7yFAN2y+OnT5lXzV/LgwQ
|
|
|
+[...]
|
|
|
|
|
|
Nun die Datei .../tinc/lan/hosts/apu von der APU an die gleiche Stelle
|
|
|
-auf dem Laptop kopieren. Und umgekehrt .../laptop auf die APU.
|
|
|
+auf dem Laptop kopieren.
|
|
|
+Und umgekehrt .../laptop auf die APU.
|
|
|
|
|
|
-Zusatzinfos zu den einzelnen Parametern
|
|
|
+##Zusatzinfos zu den einzelnen Parametern
|
|
|
|
|
|
-Festlegen, mit welchen anderen Tinc-Daemons sich bei Programmstart verbunden werden soll, die entsprechende Host-Konfigurations-Dateien in "hosts/" müssen vorhanden sein.
|
|
|
- ConnectTo = apu
|
|
|
+ # Festlegen, mit welchen anderen Tinc-Daemons sich bei Programmstart verbunden werden soll, die entsprechende Host-Konfigurations-Dateien in "hosts/" müssen vorhanden sein.
|
|
|
+ ConnectTo = apu
|
|
|
|
|
|
# Name des Tunnelinterfaces, der vergeben werden soll z.B. tun0
|
|
|
- # Das zu verwendende virtuelle Netzwerkgerät. tinc erkennt automatisch, um welche Art von Gerät es sich handelt.
|
|
|
- # Beachten Sie, dass Sie nur ein Gerät pro Dämon verwenden können.
|
|
|
-Device = /dev/net/tun
|
|
|
+Das zu verwendende virtuelle Netzwerkgerät. tinc erkennt automatisch, um welche Art von Gerät es sich handelt.
|
|
|
+Beachten Sie, dass Sie nur ein Gerät pro Dämon verwenden können.
|
|
|
+Device = /dev/net/tun
|
|
|
|
|
|
- #Diese Option wirkt sich auf die Adressfamilie der abhörenden und ausgehenden Sockets aus.
|
|
|
- # Wenn "any" ausgewählt ist, werden je nach Betriebssystem sowohl IPv4- als auch IPv6- oder nur IPv6-Listening-Sockets erstellt.
|
|
|
- AddressFamily = ipv4
|
|
|
+ # Diese Option wirkt sich auf die Adressfamilie der abhörenden und ausgehenden Sockets aus.
|
|
|
+Wenn "any" ausgewählt ist, werden je nach Betriebssystem sowohl IPv4- als auch IPv6- oder nur IPv6-Listening-Sockets erstellt.
|
|
|
+ AddressFamily = ipv4
|
|
|
|
|
|
- # Mitdieser Option wird festgelegt, wie Pakete an andere Daemons weitergeleitet werden
|
|
|
- # switch = In diesem Modus werden die MAC-Adressen der Pakete im VPN verwendet, um wie bei
|
|
|
- # einem Ethernet-Switch dynamisch eine Routing-Tabelle zu erstellen
|
|
|
- Mode = switch
|
|
|
+ # Mit dieser Option wird festgelegt, wie Pakete an andere Daemons weitergeleitet werden
|
|
|
+switch = In diesem Modus werden die MAC-Adressen der Pakete im VPN verwendet, um wie bei
|
|
|
+einem Ethernet-Switch dynamisch eine Routing-Tabelle zu erstellen
|
|
|
+ Mode = switch
|
|
|
|
|
|
- # Wenn Ihr Computer mehr als eine IPv4- oder IPv6-Adresse hat, überwacht tinc standardmäßig alle auf eingehende Verbindungen.
|
|
|
- # Es können mehrere BindToAddress- Variablen angegeben werden. In diesem Fall werden Abhörsockets für jede angegebene Adresse erstellt.
|
|
|
-BindToAddress =
|
|
|
+ # Wenn Ihr Computer mehr als eine IPv4- oder IPv6-Adresse hat, überwacht tinc standardmäßig alle auf eingehende Verbindungen.
|
|
|
+Es können mehrere BindToAddress- Variablen angegeben werden. In diesem Fall werden Abhörsockets für jede angegebene Adresse erstellt.
|
|
|
+BindToAddress =
|
|
|
|
|
|
- # Wenn kein Port angegeben ist, wird der Socket an den durch die Option Port angegebenen Port oder an Port 655 gebunden,
|
|
|
- # wenn keiner angegeben ist. Um nur Bindung an einen bestimmten Port aber nicht an eine bestimmte Adresse, die Verwendung * für die Adresse .
|
|
|
-Port = 10001
|
|
|
+ # Wenn kein Port angegeben ist, wird der Socket an den durch die Option Port angegebenen Port oder an Port 655 gebunden, wenn keiner angegeben ist. Um nur Bindung an einen bestimmten Port aber nicht an eine bestimmte Adresse, * für die Adresse verwenden.
|
|
|
+Port = 10001
|
|
|
|
|
|
- # Dies ist die maximale Verzögerung, bevor versucht wird, die Verbindung zu anderen Tinc-Daemons wiederherzustellen.
|
|
|
-MaxTimeout = 30
|
|
|
+ # Dies ist die maximale Verzögerung, bevor versucht wird, die Verbindung zu anderen Tinc-Daemons wiederherzustellen.
|
|
|
+MaxTimeout = 30
|
|
|
|
|
|
- # Wenn diese Option vorhanden ist, speichert tinc das aktuelle Netzwerkdiagramm jede Minute in den Dateinamen der Datei ,
|
|
|
- # es sei denn, es wurden keine Änderungen am Diagramm vorgenommen. Die Datei hat ein Format, das von graphviz-Tools gelesen werden kann. # Wenn der Dateiname mit einem Pipe-Symbol | beginnt, wird der Rest des Dateinamens als Shell-Befehl interpretiert, der ausgeführt wird. #Das Diagramm wird dann an stdin gesendet.
|
|
|
-GraphDumpFile = /var/run/tinc.lan.dot
|
|
|
+ # Wenn diese Option vorhanden ist, speichert tinc das aktuelle Netzwerkdiagramm jede Minute in den Dateinamen der Datei, es sei denn, es wurden keine Änderungen am Diagramm vorgenommen. Die Datei hat ein Format, das von graphviz-Tools gelesen werden kann.
|
|
|
+Wenn der Dateiname mit einem Pipe-Symbol | beginnt, wird der Rest des Dateinamens als Shell-Befehl interpretiert, der ausgeführt wird. Das Diagramm wird dann an stdin gesendet.
|
|
|
+GraphDumpFile = /var/run/tinc.lan.dot
|
|
|
|
|
|
- #Wenn diese Option aktiviert ist, versucht tinc , Peers zu erkennen, die sich im selben lokalen Netzwerk befinden.
|
|
|
-Dies ermöglicht eine direkte Kommunikation über LAN-Adressen, selbst wenn sich beide Peers hinter einem NAT befinden und sich nur mit einem dritten Knoten außerhalb des NAT verbinden, was normalerweise verhindern würde, dass die Peers die LAN-Adresse des anderen lernen.
|
|
|
-LocalDiscovery = yes
|
|
|
+ # Wenn diese Option aktiviert ist, versucht tinc, Peers zu erkennen, die sich im selben lokalen Netzwerk befinden.
|
|
|
+Dies ermöglicht eine direkte Kommunikation über LAN-Adressen, selbst wenn sich beide Peers hinter einem NAT befinden und sich nur mit einem dritten Knoten außerhalb des NAT verbinden, was normalerweise verhindern würde, dass die Peers die LAN-Adresse des anderen lernen.
|
|
|
+LocalDiscovery = yes
|
|
|
|
|
|
- # Gibt an, zu welchem anderen Tinc-Daemon beim Start eine Verbindung hergestellt werden soll. Es können mehrere ConnectTo-
|
|
|
- # Variablen angegeben werden. In diesem Fall werden ausgehende Verbindungen zu jedem angegebenen tinc-Daemon hergestellt.
|
|
|
- # Die Namen sollten diesem tinc-Daemon bekannt sein (dh es sollte eine Host-Konfigurationsdatei für den Namen in der
|
|
|
- # ConnectTo- Zeile vorhanden sein).Wenn Sie mit ConnectTo keinen Host angeben , versucht tinc überhaupt nicht, eine Verbindung
|
|
|
- # zu anderen Daemons herzustellen , sondern wartet stattdessen nur auf eingehende Verbindungen.
|
|
|
-ConnectTo = laptop
|
|
|
+ # Gibt an, zu welchem anderen Tinc-Daemon beim Start eine Verbindung hergestellt werden soll. Es können mehrere ConnectTo- Variablen angegeben werden. In diesem Fall werden ausgehende Verbindungen zu jedem angegebenen tinc-Daemon hergestellt.
|
|
|
+Die Namen sollten diesem tinc-Daemon bekannt sein (dh es sollte eine Host-Konfigurationsdatei für den Namen in der
|
|
|
+ConnectTo- Zeile vorhanden sein). Wenn Sie mit ConnectTo keinen Host angeben, versucht tinc überhaupt nicht, eine Verbindung zu anderen Daemons herzustellen, sondern wartet stattdessen nur auf eingehende Verbindungen.
|
|
|
+ConnectTo = laptop
|
|
|
|
|
|
|
|
|
-##=== Testen von Tinc ===
|
|
|
+## Testen von Tinc
|
|
|
|
|
|
Anfangs am besten manuell mit debugging, ist unschädlich, wenn man's
|
|
|
mal gesehen hat. Und wenn (wie üblich:) was schief geht, hilft's:
|
|
|
|
|
|
-tincd -n lan -D -d 3 &
|
|
|
+tincd -n lan -D -d 3 &
|
|
|
|
|
|
Stoppen zB mit "killall tincd". Wenn alles OK ist, verwendet man für den
|
|
|
Normalbetrieb das mit dem tinc package installierte script zum Starten
|
|
|
und Stoppen. Aber das hängt vom jeweiligen OS bzw. der Distribution ab.
|
|
|
Ebenso, wie man den daemon/service/Dienst (tincd) rebootfest macht.
|
|
|
|
|
|
-##=== Tinc Konfigurieren ===
|
|
|
+## Tinc Konfigurieren
|
|
|
Dazu konfiguriert man auf beiden Geräten das in der
|
|
|
|
|
|
-vi etc/tinc/lan/tinc.conftinc.conf
|
|
|
+vi etc/tinc/lan/tinc.conf
|
|
|
angegebene Interface (tun) in ein gemeinsames IP-Netz, in meinem Fall
|
|
|
-der IP Adressbereich 192.168.39.0/24.
|
|
|
+der IP Adressbereich 192.168.39.0/24.
|
|
|
Die APU kriegt die BindToAddress = 192.168.39.1, der Laptop die BindToAddress = 192.168.39.2 .
|
|
|
|
|
|
-##=== IP Adressenliste für unser Netz ===
|
|
|
-Wer Nr/Name tap1-Netz public-IP APU public-IP Laptop
|
|
|
-Alle 1/nordstadt 193.43.220.129
|
|
|
-Frank 2/berghofen 192.168.37.0/24 193.43.220.130 193.43.220.158
|
|
|
-Julian 3/city 192.168.38.0/24 193.43.220.131 193.43.220.157
|
|
|
-Marcel 4/hagen 192.168.39.0/24 193.43.220.132 193.43.220.156
|
|
|
-Michael 5/? 192.168.40.0/24 193.43.220.133 193.43.220.155
|
|
|
-Stefan 6/duisburg 192.168.41.0/24 193.43.220.134 193.43.220.154
|
|
|
-Klaus 7/menden 192.168.42.0/24 193.43.220.135 193.43.220.153
|
|
|
-Joh. 8/hoerde 192.168.43.0/24 193.43.220.136 193.43.220.152
|
|
|
-Ludger 9/lenklar 192.168.44.0/24 193.43.220.169 193.43.220.137
|
|
|
-[Link zur IP-Tabelle](https://wiki.ffdo.de/_diff/Community/Bildung/FF@home/IP-Adressen?to=cb6d2ae9daa6ee91d9ff2a1d0a0f91ee38808774)
|
|
|
+##IP Adressenliste für unser Netz
|
|
|
+[Die bislang vergebenen tinc-Namen und IP-Adressen](IP-Adressen)
|
|
|
+
|
|
|
+##Testvorgehen
|
|
|
Dann versucht man, von einem Gerät auf die Adresse das anderen zu
|
|
|
pingen. Die Route für die Adresse des Gegenübers liegt auf dem tun
|
|
|
Interface (prüfen!), deshalb gehen die (ICMP ECHO_REQUEST-)Pakete an
|
