mmert 4 лет назад
Родитель
Сommit
8e63c2fb95
1 измененных файлов с 66 добавлено и 4 удалено
  1. 66 4
      Community/Bildung/FF@home/Tinc_Installation.page

+ 66 - 4
Community/Bildung/FF@home/Tinc_Installation.page

@@ -48,7 +48,7 @@ tinc Instanz aufsetzen (Beschreibung für tinc 1.0.x)
 ! Tipp! Für das Übertragen der Einstellungen am besten jeweils mit dem Befehl "cat" arbeiten
 
 Für die tinc-Instanz mit dem Namen "lan" ungefähr Folgendes in die
-config Datei .../tinc/lan/tinc.conf schreiben:
+config Datei vi etc/tinc/lan/tinc.conf schreiben:
 
 Name = apu
 Device = /dev/net/tun
@@ -132,18 +132,80 @@ Port = 10001
 MaxTimeout = 30
 
  # Wenn diese Option vorhanden ist, speichert tinc das aktuelle Netzwerkdiagramm jede Minute in den Dateinamen der Datei , 
- # es sei denn, es wurden keine Änderungen am Diagramm vorgenommen. Die Datei hat ein Format, das von graphviz-Tools gelesen werden kann.         # Wenn der Dateiname mit einem Pipe-Symbol | beginnt, wird der Rest des Dateinamens als Shell-Befehl interpretiert, der ausgeführt wird.   #Das Diagramm wird dann an stdin gesendet.
+ # es sei denn, es wurden keine Änderungen am Diagramm vorgenommen. Die Datei hat ein Format, das von graphviz-Tools gelesen werden kann.           # Wenn der Dateiname mit einem Pipe-Symbol | beginnt, wird der Rest des Dateinamens als Shell-Befehl interpretiert, der ausgeführt wird.    #Das Diagramm wird dann an stdin gesendet.
 GraphDumpFile = /var/run/tinc.lan.dot
 
+ #Wenn diese Option aktiviert ist, versucht tinc , Peers zu erkennen, die sich im selben lokalen Netzwerk befinden. 
+Dies ermöglicht eine direkte Kommunikation über LAN-Adressen, selbst wenn sich beide Peers hinter einem NAT befinden und sich nur mit einem dritten Knoten außerhalb des NAT verbinden, was normalerweise verhindern würde, dass die Peers die LAN-Adresse des anderen lernen. 
+LocalDiscovery = yes
 
+ # Gibt an, zu welchem ​​anderen Tinc-Daemon beim Start eine Verbindung hergestellt werden soll. Es können mehrere ConnectTo- 
+ # Variablen   angegeben werden. In diesem Fall werden ausgehende Verbindungen zu jedem angegebenen tinc-Daemon hergestellt.
+ # Die Namen sollten diesem tinc-Daemon bekannt sein (dh es sollte eine Host-Konfigurationsdatei für den Namen in der 
+ # ConnectTo- Zeile vorhanden sein).Wenn Sie mit ConnectTo keinen Host angeben , versucht tinc überhaupt nicht, eine Verbindung 
+ # zu anderen Daemons herzustellen , sondern wartet stattdessen nur auf eingehende Verbindungen.
+ConnectTo = laptop 
 
 
+==== Testen von Tinc ====
 
+Anfangs am besten manuell mit debugging, ist unschädlich, wenn man's
+mal gesehen hat. Und wenn (wie üblich:) was schief geht, hilft's:
 
+tincd -n lan -D -d 3 &
 
-==== Initialisierungsscript "tinc-up" ====
+Stoppen zB mit "killall tincd". Wenn alles OK ist, verwendet man für den
+Normalbetrieb das mit dem tinc package installierte script zum Starten
+und Stoppen. Aber das hängt vom jeweiligen OS bzw. der Distribution ab.
+Ebenso, wie man den daemon/service/Dienst (tincd) rebootfest macht.
 
- vi /etc/tinc/'''''12_7'''''/tinc-up
+==== Tinc Konfigurieren ====
+Dazu konfiguriert man auf beiden Geräten das in der 
+
+vi etc/tinc/lan/tinc.conftinc.conf
+angegebene Interface (tun) in ein gemeinsames IP-Netz, in meinem Fall
+der IP Adressbereich 192.168.39.0/24. 
+Die APU kriegt die BindToAddress = 192.168.39.1, der Laptop die BindToAddress = 192.168.39.2  .
+
+==== IP Adressenliste für unser Netz ====
+Wer	Nr/Name		tap1-Netz	public-IP APU	public-IP Laptop
+Alle	1/nordstadt			193.43.220.129
+Frank	2/berghofen	192.168.37.0/24	193.43.220.130	193.43.220.158
+Julian	3/city		192.168.38.0/24	193.43.220.131	193.43.220.157
+Marcel	4/hagen		192.168.39.0/24	193.43.220.132	193.43.220.156
+Michael	5/?		192.168.40.0/24	193.43.220.133	193.43.220.155
+Stefan	6/duisburg	192.168.41.0/24	193.43.220.134	193.43.220.154
+Klaus	7/menden	192.168.42.0/24	193.43.220.135	193.43.220.153
+Joh.	8/hoerde	192.168.43.0/24	193.43.220.136	193.43.220.152
+
+Dann versucht man, von einem Gerät auf die Adresse das anderen zu
+pingen. Die Route für die Adresse des Gegenübers liegt auf dem tun
+Interface (prüfen!), deshalb gehen die (ICMP ECHO_REQUEST-)Pakete an
+den (für dieses Interface zuständigen) tincd. Der verschlüsselt die
+Pakete und schickt sie (via kernel) übers LAN an die IP-Adresse (und
+den Port) des anderen Geräts an den anderen tincd. Der entschlüsselt
+wieder und übergibt das ursprüngliche Paket dem lokalen kernel.
+Der antwortet mit einem (ICMP ECHO_RESPONSE-)Paket, und der Film läuft
+genau wie gerade nochmal ab, nur in Gegenrichtung.
+
+Wenn das funktioniert, kann man (endlich;-) traffic zwischen APU und
+Laptop verschlüsselt durch die F!Box schicken. Dafür muss man
+natürlich die Adressen der tun Interfaces benutzen. Zum Überprüfen der
+Konstruktion gleichzeitig ein tcpdump -X auf dem "äußeren" (dem LAN-)
+Interface (eth0, igb0, o.dgl.) und auf dem "inneren" Interface (tun)
+laufen lassen. Dann ein paar pings auf die "innere" Gegenstelle
+(192.168.39.2 bzw. .1) machen und deren Spuren in den beiden tcpdumps
+vergleichen. Auf dem LAN-Interface sollte der Klartext aus den
+ursprünglichen ping-Paketen nicht mehr zu sehen sein.
+
+
+
+
+AB HIER NICHT MEHR ÜBERPRÜFT 
+
+!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
+
+ vi /etc/tinc/lan/tinc-up
 
  #!/bin/sh
  # This file is for tinc startup