|
|
@@ -30,7 +30,11 @@ Die Variablen müssen natürlich durch die konkreten Werte für den jeweiligen R
|
|
|
|
|
|
Die üblichen freien Betriebssysteme sollten ein package für die stable version von Tinc (1.0) haben (20160215: 1.0.26). Die config Verzeichnisse für die Tinc-Instanzen liegen dann zB bei FreeBSD unter /usr/local/etc/tinc, bei Linux vmtl. unter /etc/tinc.
|
|
|
|
|
|
-## tinc.conf
|
|
|
+## Tinc Konfiguration
|
|
|
+
|
|
|
+Im Unterordner [.../tinc/](etc/tinc/) findest Du Musterdateien für Tinc-Instanzen des Labornetzes. Es folgt hier eine Version mit den obigen Variablenkonventionen:
|
|
|
+
|
|
|
+### tinc.conf
|
|
|
|
|
|
`Name = ffdor`X
|
|
|
`Device = /dev/tap`9+TN
|
|
|
@@ -43,7 +47,7 @@ Die üblichen freien Betriebssysteme sollten ein package für die stable version
|
|
|
`ConnectTo = ffdor`Y
|
|
|
`ConnectTo = ffdor`Z
|
|
|
|
|
|
-## tinc-up
|
|
|
+### tinc-up
|
|
|
|
|
|
`#!/bin/sh`
|
|
|
`IP=`IPint
|
|
|
@@ -54,6 +58,8 @@ Nicht vergessen:
|
|
|
|
|
|
`chmod +x .../tinc/ffdot`TA`/tinc-up`
|
|
|
|
|
|
+Und schließlich `chmod 700 .../tinc`.
|
|
|
+
|
|
|
## Kryptographische Schlüssel
|
|
|
|
|
|
Jeder Router generiert sich für jede Tinc-Instanz, an der er teilnimmt, ein Schlüsselpaar:
|
|
|
@@ -74,7 +80,11 @@ Ins Unterverzeichnis .../tinc/ffdot`TA`/hosts kommen die public keys der Router,
|
|
|
|
|
|
Also die externe IP Adresse von Router `Y` eintragen und die Portnummer dieser Tinc-Instanz. Außerdem für den aktiven Verbindungsaufbau die entsprechende Anweisung "ConnectTo = ffdor`Y`" in der [tinc.conf](#tinc.conf) nicht vergessen.
|
|
|
|
|
|
-# separate FIB für den tincd Prozess
|
|
|
+# Router hinter NAT
|
|
|
+
|
|
|
+Bei geNATeten Routern kann man die BindToAddress in der tinc.conf Zeile weglassen. Solche Router können nicht als Einstiegspunkt für's VPN dienen, d.h. sie dürfen nicht in einer ConnectTo Anweisung auftauchen. Wenn irgendwie möglich sollte man ein port forwarding auf dem NAT-Router einrichten, der Pakete für den port dieser Tinc-Instanz zu dem hinter ihm liegenden Tinc-Router (ffdor`X`) weiterleitet. Dadurch wird ffdor`X` wieder zu einem vollwertigen Tinc-Router.
|
|
|
+
|
|
|
+# Separate FIB für den tincd Prozess
|
|
|
|
|
|
Der tincd sollte auf einem Router nicht mit der default forwarding table des kernels laufen. (Grund dafür ist, dass man schließlich über das tap interface des tincd, also das (interne) VPN, routen will. Die externen Adressen, die ein tincd zum Aufbau des VPN benutzt, gehören vom VPN aus gesehen zu einem lower (transport) layer. Diese dürfen nie durch das VPN geroutet werden! Deshalb verschiende FIBs für transport layer und VPN.)
|
|
|
|
