Tinc.page 6.1 KB

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108
  1. ---
  2. format: markdown
  3. toc: yes
  4. title: Eine Tinc-Instanz aufsetzen
  5. categories: VPN HOWTO
  6. ...
  7. # Doku zu Tinc
  8. - [Homepage](http://www.tinc-vpn.org/)
  9. - [Handbuch](http://www.tinc-vpn.org/documentation/)
  10. - man pages zum [tincd](http://www.tinc-vpn.org/documentation/tincd.8) und zur [tinc.conf](http://www.tinc-vpn.org/documentation/tinc.conf.5)
  11. - Insb. für die Verwendung von Tinc unter Linux hilfreich ist das [Tinc-HOWTO](http://wiki.freifunk.net/IC-VPN/Tinc) des [IC-VPN](http://wiki.freifunk.net/IC-VPN), über das diverse Freifunk-Communities per eBGP miteinander verbunden sind. Dort gibt es auch eine Seite zu [Tinc auf OpenWRT](http://wiki.freifunk.net/IC-VPN/OpenWRT).
  12. # Bestandteile einer Tinc-Instanz
  13. ## Eindeutige Bezeichner und Adressen
  14. Konkrete Nummern und Adressen siehe [Adressen](Adressen). Dort bitte die eigenen Routernummern, Adressen etc. eintragen, *bevor* Du sie auf Deinem Gerät konfigurierst!-)
  15. ## Im Folgenden benutzte Variablen
  16. Bei der folgenden Beschreibung werden einige Variablen benutzt:
  17. - `X` = Nummer des eigenen Routers (1, 2, 3, ...)
  18. - `TN` = Nummer der Tinc-Instanz (1, 2, 3, ...)
  19. - `TA` = Buchstabe der Tinc-Instanz (a, b, c, ...)
  20. - `IPext` = externe IP Adresse, an die dieser tincd Prozess sich bindet (Adresse im transport layer)
  21. - `IPint` = IP Adresse des tap interfaces dieses tincd Prozesses (Adresse im VPN)
  22. - `IPintmask` = Präfixlänge des tap interfaces dieses tincd Prozesses
  23. - `Y`, `Z` = Nummern von Routern mit fester externer IP, zu denen im Rahmen dieser Tinc-Instanz eine (Meta-)Verbindung aufgebaut werden sollen
  24. Die Variablen müssen natürlich durch die konkreten Werte für den jeweiligen Router und die jeweilige Tinc-Instanz ersetzt werden.
  25. ## Tinc package
  26. Die üblichen freien Betriebssysteme sollten ein package für die stable version von Tinc (1.0) haben (20160215: 1.0.26). Die config Verzeichnisse für die Tinc-Instanzen liegen dann zB bei FreeBSD unter /usr/local/etc/tinc, bei Linux vmtl. unter /etc/tinc.
  27. ## Tinc Konfiguration
  28. Im Unterordner [.../tinc/](etc/tinc/) findest Du Musterdateien für Tinc-Instanzen des Labornetzes. Es folgt hier eine Version mit den obigen Variablenkonventionen:
  29. ### tinc.conf
  30. `Name = ffdor`X
  31. `Device = /dev/tap`9+TN
  32. `Mode = switch`
  33. `BindToAddress = `IPext
  34. `Port = `10009+TN
  35. `MaxTimeout = 60`
  36. `PingTimeout = 10`
  37. `GraphDumpFile = /var/run/tinc.ffdot`TA`.dot`
  38. `ConnectTo = ffdor`Y
  39. `ConnectTo = ffdor`Z
  40. ### tinc-up
  41. `#!/bin/sh`
  42. `IP=`IPint
  43. `NETLEN=`IPintmask
  44. `ifconfig $INTERFACE $IP/$NETLEN`
  45. Unter OpenWRT hat das tinc-up Skript von Johannes leider nicht funktioniert. Deshalb habe ich eine andere Variante erstellt...aus meiner Sicht sollte diese Variante auch auf anderen Systemen funktionieren.
  46. `#!/bin/sh`
  47. `ip addr add IPint/IPintmask dev $INTERFACE`
  48. `ip link set $INTERFACE up`
  49. Nicht vergessen:
  50. `chmod +x .../tinc/ffdot`TA`/tinc-up`
  51. Und schließlich `chmod 700 .../tinc`.
  52. ## Kryptographische Schlüssel
  53. Jeder Router generiert sich für jede Tinc-Instanz, an der er teilnimmt, ein Schlüsselpaar:
  54. `mkdir .../tinc/ffdot`TA`/hosts`
  55. `tincd -n ffdot`TA` --generate-keys=4096`
  56. Dabei `TA` durch den Buchstaben der Instanz ersetzen: a, b, c, ...
  57. Anschließend befindet sich der private key in rsa_key.priv, der public key in hosts/ffdor`X`.
  58. ## hosts Dateien
  59. Ins Unterverzeichnis .../tinc/ffdot`TA`/hosts kommen die public keys der Router, mit denen dieser Router eine Meta-Verbindung einzugehen bereit ist. Für jeden Router `Y`, zu dem aktiv eine Verbindung aufgebaut werden soll, muss die Datei hosts/ffdor`Y` vor dem public key von Router `Y` folgende Zeilen enthalten:
  60. `Address = `IPextY
  61. `Port = `10009+TN
  62. Also die externe IP Adresse von Router `Y` eintragen und die Portnummer dieser Tinc-Instanz. Außerdem für den aktiven Verbindungsaufbau die entsprechende Anweisung "ConnectTo = ffdor`Y`" in der [tinc.conf](#tinc.conf) nicht vergessen.
  63. # Router hinter NAT
  64. Bei geNATeten Routern kann man die BindToAddress in der tinc.conf Zeile weglassen. Solche Router können nicht als Einstiegspunkt für's VPN dienen, d.h. sie dürfen nicht in einer ConnectTo Anweisung auftauchen. Wenn irgendwie möglich sollte man ein port forwarding auf dem NAT-Router einrichten, der Pakete für den port dieser Tinc-Instanz zu dem hinter ihm liegenden Tinc-Router (ffdor`X`) weiterleitet. Dadurch wird ffdor`X` wieder zu einem vollwertigen Tinc-Router.
  65. # Separate FIB für den tincd Prozess
  66. Der tincd sollte auf einem Router nicht mit der default forwarding table des kernels laufen. (Grund dafür ist, dass man schließlich über das tap interface des tincd, also das (interne) VPN, routen will. Die externen Adressen, die ein tincd zum Aufbau des VPN benutzt, gehören vom VPN aus gesehen zu einem lower (transport) layer. Diese dürfen nie durch das VPN geroutet werden! Deshalb verschiende FIBs für transport layer und VPN.)
  67. Wie man den tincd in eine separate FIB sperrt, hängt vom OS ab, und sollte für die in der AG benutzten Routerplattformen separat dokumentiert werden (TBD). Das sieht dann üblicherweise einfach so aus, dass man eine separate FIB für den tincd anlegt, die nur eine default route enthält, über die der tincd die externen Adressen seiner peers erreichen kann. (Im Falle einer Tinc-Instanz, die als lower layer einen (bzw. den FF-DO-B.A.T.M.A.N.-) switch benutzt, braucht man nicht mal diese default route, da sich alle peers schon per interface route erreichen können).
  68. Unter Linux verwendet man [Policy Routing](https://wiki.freifunk.net/Glossar#Policy_Routing), das in "Session 6: Policy Based Routing" der [FFRL-RoutingDays-Folien](https://routingdays.ffrl.net/FFRL-RD.pdf) beschrieben wird. Ein weiteres Beispiel ist für die OpenWRT-basierte MeshKit-Firmware [dokumentiert](http://doc.meshkit.freifunk.net/daily/html/usage/policy-routing.html).
  69. Das Thema wird erst akut, wenn wir über die VPNs routen. D.h. für erste Tests, ob tincd funktioniert, kann man die FIB 0 benutzen. Aber nicht vergessen, sich anschließend um die FIBs für die tincd Prozesse zu kümmern - denn sonst fällt einem das später durch rekursives Routing übel auf die Füße, weil sich das VPN dabei permanent auf- und wieder abbaut => VPN unbenutzbar:-(