|
|
@@ -48,7 +48,7 @@ tinc Instanz aufsetzen (Beschreibung für tinc 1.0.x)
|
|
|
! Tipp! Für das Übertragen der Einstellungen am besten jeweils mit dem Befehl "cat" arbeiten
|
|
|
|
|
|
Für die tinc-Instanz mit dem Namen "lan" ungefähr Folgendes in die
|
|
|
-config Datei .../tinc/lan/tinc.conf schreiben:
|
|
|
+config Datei vi etc/tinc/lan/tinc.conf schreiben:
|
|
|
|
|
|
Name = apu
|
|
|
Device = /dev/net/tun
|
|
|
@@ -132,18 +132,80 @@ Port = 10001
|
|
|
MaxTimeout = 30
|
|
|
|
|
|
# Wenn diese Option vorhanden ist, speichert tinc das aktuelle Netzwerkdiagramm jede Minute in den Dateinamen der Datei ,
|
|
|
- # es sei denn, es wurden keine Änderungen am Diagramm vorgenommen. Die Datei hat ein Format, das von graphviz-Tools gelesen werden kann. # Wenn der Dateiname mit einem Pipe-Symbol | beginnt, wird der Rest des Dateinamens als Shell-Befehl interpretiert, der ausgeführt wird. #Das Diagramm wird dann an stdin gesendet.
|
|
|
+ # es sei denn, es wurden keine Änderungen am Diagramm vorgenommen. Die Datei hat ein Format, das von graphviz-Tools gelesen werden kann. # Wenn der Dateiname mit einem Pipe-Symbol | beginnt, wird der Rest des Dateinamens als Shell-Befehl interpretiert, der ausgeführt wird. #Das Diagramm wird dann an stdin gesendet.
|
|
|
GraphDumpFile = /var/run/tinc.lan.dot
|
|
|
|
|
|
+ #Wenn diese Option aktiviert ist, versucht tinc , Peers zu erkennen, die sich im selben lokalen Netzwerk befinden.
|
|
|
+Dies ermöglicht eine direkte Kommunikation über LAN-Adressen, selbst wenn sich beide Peers hinter einem NAT befinden und sich nur mit einem dritten Knoten außerhalb des NAT verbinden, was normalerweise verhindern würde, dass die Peers die LAN-Adresse des anderen lernen.
|
|
|
+LocalDiscovery = yes
|
|
|
|
|
|
+ # Gibt an, zu welchem anderen Tinc-Daemon beim Start eine Verbindung hergestellt werden soll. Es können mehrere ConnectTo-
|
|
|
+ # Variablen angegeben werden. In diesem Fall werden ausgehende Verbindungen zu jedem angegebenen tinc-Daemon hergestellt.
|
|
|
+ # Die Namen sollten diesem tinc-Daemon bekannt sein (dh es sollte eine Host-Konfigurationsdatei für den Namen in der
|
|
|
+ # ConnectTo- Zeile vorhanden sein).Wenn Sie mit ConnectTo keinen Host angeben , versucht tinc überhaupt nicht, eine Verbindung
|
|
|
+ # zu anderen Daemons herzustellen , sondern wartet stattdessen nur auf eingehende Verbindungen.
|
|
|
+ConnectTo = laptop
|
|
|
|
|
|
|
|
|
+==== Testen von Tinc ====
|
|
|
|
|
|
+Anfangs am besten manuell mit debugging, ist unschädlich, wenn man's
|
|
|
+mal gesehen hat. Und wenn (wie üblich:) was schief geht, hilft's:
|
|
|
|
|
|
+tincd -n lan -D -d 3 &
|
|
|
|
|
|
-==== Initialisierungsscript "tinc-up" ====
|
|
|
+Stoppen zB mit "killall tincd". Wenn alles OK ist, verwendet man für den
|
|
|
+Normalbetrieb das mit dem tinc package installierte script zum Starten
|
|
|
+und Stoppen. Aber das hängt vom jeweiligen OS bzw. der Distribution ab.
|
|
|
+Ebenso, wie man den daemon/service/Dienst (tincd) rebootfest macht.
|
|
|
|
|
|
- vi /etc/tinc/'''''12_7'''''/tinc-up
|
|
|
+==== Tinc Konfigurieren ====
|
|
|
+Dazu konfiguriert man auf beiden Geräten das in der
|
|
|
+
|
|
|
+vi etc/tinc/lan/tinc.conftinc.conf
|
|
|
+angegebene Interface (tun) in ein gemeinsames IP-Netz, in meinem Fall
|
|
|
+der IP Adressbereich 192.168.39.0/24.
|
|
|
+Die APU kriegt die BindToAddress = 192.168.39.1, der Laptop die BindToAddress = 192.168.39.2 .
|
|
|
+
|
|
|
+==== IP Adressenliste für unser Netz ====
|
|
|
+Wer Nr/Name tap1-Netz public-IP APU public-IP Laptop
|
|
|
+Alle 1/nordstadt 193.43.220.129
|
|
|
+Frank 2/berghofen 192.168.37.0/24 193.43.220.130 193.43.220.158
|
|
|
+Julian 3/city 192.168.38.0/24 193.43.220.131 193.43.220.157
|
|
|
+Marcel 4/hagen 192.168.39.0/24 193.43.220.132 193.43.220.156
|
|
|
+Michael 5/? 192.168.40.0/24 193.43.220.133 193.43.220.155
|
|
|
+Stefan 6/duisburg 192.168.41.0/24 193.43.220.134 193.43.220.154
|
|
|
+Klaus 7/menden 192.168.42.0/24 193.43.220.135 193.43.220.153
|
|
|
+Joh. 8/hoerde 192.168.43.0/24 193.43.220.136 193.43.220.152
|
|
|
+
|
|
|
+Dann versucht man, von einem Gerät auf die Adresse das anderen zu
|
|
|
+pingen. Die Route für die Adresse des Gegenübers liegt auf dem tun
|
|
|
+Interface (prüfen!), deshalb gehen die (ICMP ECHO_REQUEST-)Pakete an
|
|
|
+den (für dieses Interface zuständigen) tincd. Der verschlüsselt die
|
|
|
+Pakete und schickt sie (via kernel) übers LAN an die IP-Adresse (und
|
|
|
+den Port) des anderen Geräts an den anderen tincd. Der entschlüsselt
|
|
|
+wieder und übergibt das ursprüngliche Paket dem lokalen kernel.
|
|
|
+Der antwortet mit einem (ICMP ECHO_RESPONSE-)Paket, und der Film läuft
|
|
|
+genau wie gerade nochmal ab, nur in Gegenrichtung.
|
|
|
+
|
|
|
+Wenn das funktioniert, kann man (endlich;-) traffic zwischen APU und
|
|
|
+Laptop verschlüsselt durch die F!Box schicken. Dafür muss man
|
|
|
+natürlich die Adressen der tun Interfaces benutzen. Zum Überprüfen der
|
|
|
+Konstruktion gleichzeitig ein tcpdump -X auf dem "äußeren" (dem LAN-)
|
|
|
+Interface (eth0, igb0, o.dgl.) und auf dem "inneren" Interface (tun)
|
|
|
+laufen lassen. Dann ein paar pings auf die "innere" Gegenstelle
|
|
|
+(192.168.39.2 bzw. .1) machen und deren Spuren in den beiden tcpdumps
|
|
|
+vergleichen. Auf dem LAN-Interface sollte der Klartext aus den
|
|
|
+ursprünglichen ping-Paketen nicht mehr zu sehen sein.
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+
|
|
|
+AB HIER NICHT MEHR ÜBERPRÜFT
|
|
|
+
|
|
|
+!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
|
|
|
+
|
|
|
+ vi /etc/tinc/lan/tinc-up
|
|
|
|
|
|
#!/bin/sh
|
|
|
# This file is for tinc startup
|
mmert