Home Verkennen Help
Inloggen
ffdo
/
wiki
2
0
Vork 0
Bestanden Issues 0 Pull-aanvragen 0 Wiki
Boom: 5f6ea27a68
Aftakkingen Labels
wiki
/
Community
/
Bildung
/
FF@home
/
12 Debian 10 mit Tinc und Bird.page

12 Debian 10 mit Tinc und Bird.page 11 KB
Geschiedenis Ruwe

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395 
  1. # Software 
    2. 

  2. - Debian 11 (bullseye), Debian 12 (bookworm) und auf dem Laptop Ubuntu 18.04
    3. 

  3. - Tinc 1.1pre18 oder tinc 1.0.36
    4. 

  4. - Bird 2.07  
    5. 

  5. 

  6.      ***** Bitte beachten, dass Bird2 installiert wird. Bei Installation von Bird1 erfolgt nur eine kryptische Fehlermeldung und Bird startet nicht.*****  
    7. 

  7. 

  8. 

  9. # Installation
    10. 

  10. - Installation des Betriebssystems wird hier nicht beschrieben.
    11. 

  11. - Hier werden die Schritte nach der Installation von Debian 11 (bullseye) zum Aufbau eines VPN mit Tinc und Bird beschrieben werden.
    12. 

  12. - Für die meisten Befehle sind root Rechte erforderlich.
    13. 

  13. - Tinc 1.0.36 und bird 2 können aus dem stable Repo installiert werden mit  
    14. 

  14.    apt install tinc bird2
    15. 

  15. - Tinc 1.1pre18 kann aus experimental installiert werden (hier nicht beschrieben) oder aus den Sourcen kompiliert werden:   
    16. 

  16.    
    17. 

  17.     sudo apt install build-essential libncurses-dev libreadline-dev liblzo2-dev libssl-dev   
    18. 

  18.     wget http://tinc-vpn.org/packages/tinc-1.1pre17tar.gz   
    19. 

  19.     tar zxvf tinc-1.1pre17.tar.gz   
    20. 

  20.     ./configure   
    21. 

  21.    Falls Fehler auftreten, fehlende Pakete nach installieren,dann   
    22. 

  22.     make   
    23. 

  23.     sudo make install   
    24. 

  24. 

  25. # Allgemein
    26. 

  26. - Informationen auf dieser Seite sind teilweise von anderen Wiki-Seiten übernommen.
    27. 

  27. 

  28. 

  29. Es werden für alle Interfaces statische IPV4 Adressen verwendet, auf dem Laptop ist auch DHCP aktiv.
    30. 

  30. Die hier verwendeten Adressen sind dem Wiki [IP-Adressen](IP-Adressen) für berghofen entnommen.
    31. 

  31. 

  32. # Hardware
    33. 

  33. - APU mit Debian 11 (Bullseye) ohne grafische Oberfläche 
    34. 

  34. - Laptop mit Ubuntu 18.04
    35. 

  35. 

  36. Berghofen, wie auch die anderen Standorte, besteht jeweils mindestens aus der APU und einem Laptop sowie einem Internetrouter (F!Box).  
    37. 

  37. An jedem Standort gibt es mehrere Tincverbindungen:  
    38. 

  38.  - lan: zwischen APU und Laptop  
    39. 

  39.  - wan: zwischen APU und den anderen Standorten  
    40. 

  40.  - wan: zwischen Laptop und den anderen Standorten  
    41. 

  41. 

  42. # Dateien der APU
    43. 

  43. /etc/network/interfaces
    44. 

  44.    
    45. 

  45.     # This file describes the network interfaces available on your system
    46. 

  46.     # and how to activate them. For more information, see interfaces(5).
    47. 

  47. 

  48.     source /etc/network/interfaces.d/*
    49. 

  49. 

  50.     # The loopback network interface
    51. 

  51.     auto lo
    52. 

  52.     iface lo inet loopback
    53. 

  53.         	up ip addr add 193.43.220.130/32 dev lo
    54. 

  54.     	
    55. 

  55.     # The primary network interface
    56. 

  56.     allow-hotplug enp1s0
    57. 

  57.     iface enp1s0 inet static
    58. 

  58.     	address 192.168.178.51/24
    59. 

  59.     	
    60. 

  60.     	#default gateway wird von bird erledigt
    61. 

  61.             # gateway 192.168.178.254 
    62. 

  62.     	broadcast 192.168.178.255
    63. 

  63.     	# dns-* options are implemented by the resolvconf package, if installed
    64. 

  64.     	dns-nameservers 192.168.178.254
    65. 

  65.     	dns-search fritz.box
    66. 

  66.     	up ip rule add from all iif enp1s0 lookup 1 prio 1000 || true
    67. 

  67.             up ip rule add from 192.168.178.0/24 lookup 1 prio 1010 || true
    68. 

  68. 

  69.     allow-hotplug wan
    70. 

  70.     iface wan inet static
    71. 

  71.     	address 193.43.220.162/27
    72. 

  72.     	broadcast 193.43.220.191
    73. 

  73.     	mtu 1504
    74. 

  74. 

  75.     allow-hotplug lan
    76. 

  76.     iface lan inet static
    77. 

  77.     	address 192.168.34.1/24
    78. 

  78.     	broadcast 192.168.34.255
    79. 

  79.     	mtu 1504
    80. 

  80. 

  81.     #allow-hotplug wlp5s0 # wlan z.Zt. nicht verwendet
    82. 

  82.     #iface wlp5s0 inet dhcp
    83. 

  83. 

  84. Die Schnittstellen der Interfacesdatei sind:   
    85. 

  85. - lo Standardloopback   
    86. 

  86. - enp1s0 ethernet    
    87. 

  87. - wan virtuelle Tinc Schnittstelle   
    88. 

  88. - lan virtuelle Tinc Schnittstelle  
    89. 

  89. - wlp5s0 nicht verwendet, auskommentierte WLAN Schnittstelle  
    90. 

  90. 

  91. ## Für die Datenweitergabe zwischen den Netzen ist der folgende Eintrag nötig. 
    92. 

  92. 

  93. /etc/sysctl.conf
    94. 

  94. 

  95.     # Uncomment the next line to enable packet forwarding for IPv4
    96. 

  96.     net.ipv4.ip_forward=1
    97. 

  97. 

  98. 

  99. 

  100. # Tinc Verzeichnistruktur Tinc APU und Laptop Einstellungen
    101. 

  101. 

  102. 

  103.     etc/tinc/
    104. 

  104.     |-- lan
    105. 

  105.     |   |-- hosts
    106. 

  106.     |   |   |-- berghofen
    107. 

  107.     |   |   `-- berglap
    108. 

  108.     |   |-- rsa_key.priv
    109. 

  109.     |   |-- ed25519_key.priv  ## nur bei tinc 1.1
    110. 

  110.     |   `-- tinc.conf
    111. 

  111.     `-- wan   
    112. 

  112.         |-- hosts
    113. 

  113.         |   |-- berghofen 
    114. 

  114.         |   |-- berglap
    115. 

  115.         |   |-- hoerde
    116. 

  116.         |   `-- nordstadt
    117. 

  117.         |-- rsa_key.priv
    118. 

  118.         |-- ed25519_key.priv  ## nur bei tinc 1.1
    119. 

  119.         `-- tinc.conf
    120. 

  120. 

  121. /etc/tinc/lan/tinc.conf der APU berghofen
    122. 

  122. 

  123.     ## APU lan tinc.conf
    124. 

  124.     Name = berghofen
    125. 

  125.     Device = /dev/net/tun
    126. 

  126.     Mode = switch
    127. 

  127.     AddressFamily = ipv4
    128. 

  128.     BindToAddress = 192.168.178.51
    129. 

  129.     Port = 10001
    130. 

  130.     MaxTimeout = 30
    131. 

  131.     GraphDumpFile = /var/run/tinc.lan.dot
    132. 

  132.     ConnectTo = berglap
    133. 

  133. 

  134. /etc/tinc/wan/tinc.conf der APU berghofen
    135. 

  135. 

  136.     ## APU wan tinc.conf
    137. 

  137.     Name = berghofen
    138. 

  138.     Device = /dev/net/tun
    139. 

  139.     Mode = switch
    140. 

  140.     AddressFamily = ipv4
    141. 

  141.     BindToaddress = 192.168.178.51
    142. 

  142.     Port = 661
    143. 

  143.     MaxTimeout = 30
    144. 

  144.     GraphDumpFile = /var/run/tinc.wan.dot
    145. 

  145.     ConnectTo = hoerde
    146. 

  146.     ConnectTo = nordstadt
    147. 

  147. 

  148. /etc/tinc/lan/tinc.conf des Laptop berglap
    149. 

  149. 

  150.     ## Laptop lan tinc.conf
    151. 

  151.     Name = berglap
    152. 

  152.     Device = /dev/net/tun
    153. 

  153.     Mode = switch
    154. 

  154.     AddressFamily = ipv4
    155. 

  155.     BindToAddress = 192.168.178.52
    156. 

  156.     Port = 10001
    157. 

  157.     MaxTimeout = 30
    158. 

  158.     GraphDumpFile = /var/run/tinc.lan.dot
    159. 

  159.     ConnectTo = berghofen
    160. 

  160. 

  161. /etc/tinc/wan/tinc.conf des Laptop berglap
    162. 

  162. 

  163.     ## Laptop wan tinc.conf
    164. 

  164.     Name = berglap
    165. 

  165.     Device = /dev/net/tun
    166. 

  166.     Mode = switch
    167. 

  167.     AddressFamily = ipv4
    168. 

  168.     BindToaddress = 192.168.178.52
    169. 

  169.     Port = 661
    170. 

  170.     MaxTimeout = 30
    171. 

  171.     GraphDumpFile = /var/run/tinc.wan.dot
    172. 

  172.     ConnectTo = hoerde
    173. 

  173.     ConnectTo = nordstadt
    174. 

  174. 

  175. Da auf jedem Rechner 2 Tincinstanzen an demselben Interface laufen, werden sie durch unterschiedliche Ports getrennt: WAN mit port 661, LAN mit Port 10001.
    176. 

  176. 

  177. Inhalt der hosts Dateien
    178. 

  178. 

  179. Die Public und private Keys werden von Tinc erzeugt: 
    180. 

  180. 

  181. bei tinc 1.0.36:
    182. 

  182. 

  183.     tincd -n wan -K 4096
    184. 

  184.     tincd -n lan -K 4096 
    185. 

  185.     
    186. 

  186. bei tinc 1.1:
    187. 

  187. 

  188.     tinc -n wan generate-keys 4096
    189. 

  189.     tinc -n lan generate-keys 4096
    190. 

  190. 

  191. Die ED25519PublicKey Zeile wird nur bei tinc 1.1 erzeugt/verwendet.
    192. 

  192. 

  193. Für hosts, die per ConnectTo in der tinc.conf angesprochen werden, ist in der zugehörigen hosts Datei die IPadresse des hosts und der port erforderlich für die aktive Verbindungsaufnahme. Mit anderen Worten: wenn Gerät1 zu Gerät2 verbinden will, müssen im öffentlichen Schlüssel von Gerät2, der von Gerät2 auf Gerät1 kopiert wurde, die Adresse und der Port des Zielrechners, also von Gerät2 eingefügt werden.   
    194. 

  194. 

  195. /etc/tinc/lan/hosts/berghofen auf APU und laptop
    196. 

  196. 

  197.     Address = 192.168.178.51
    198. 

  198.     Port = 10001
    199. 

  199. 

  200.     -----BEGIN RSA PUBLIC KEY-----
    201. 

  201.      Schlüsseldaten 
    202. 

  202.     -----END RSA PUBLIC KEY-----
    203. 

  203.     Ed25519PublicKey = WmAmMY95+B/A9FDQz7ZiV6WQcG2qAUUclRP52dwXSdD
    204. 

  204. 

  205. 

  206. /etc/tinc/lan/hosts/berglap auf APU und laptop
    207. 

  207. 

  208.     Address = 192.168.178.52
    209. 

  209.     Port = 10001
    210. 

  210. 

  211.     -----BEGIN RSA PUBLIC KEY-----
    212. 

  212.      Schlüsseldaten 
    213. 

  213.     -----END RSA PUBLIC KEY-----
    214. 

  214.     Ed25519PublicKey = WCkEAe/gohI7JAGLiHPKdE+ayxYrG1wuTfQQijAROuD
    215. 

  215. 

  216. 

  217. /etc/tinc/wan/hosts/berghofen auf APU
    218. 

  218. 

  219.     -----BEGIN RSA PUBLIC KEY-----
    220. 

  220.      Schlüsseldaten 
    221. 

  221.     -----END RSA PUBLIC KEY-----
    222. 

  222.     Ed25519PublicKey = Tkhp7t+MsmQKsWIkO5qimTKoWdkvRigKwctxtfOu2MF
    223. 

  223. 

  224. 

  225. /etc/tinc/wan/hosts/hoerde auf APU und berglap
    226. 

  226. 

  227.     Address = 130.180.53.22
    228. 

  228.     Port = 661
    229. 

  229. 

  230.     -----BEGIN RSA PUBLIC KEY-----
    231. 

  231.      Schlüsseldaten
    232. 

  232.     -----END RSA PUBLIC KEY-----
    233. 

  233.     Ed25519PublicKey = MjaltxtfPP1SdHgNH/dUuHmbYDXFdZMEUUbl0Qi/YCA
    234. 

  234. 

  235. 

  236. /etc/tinc/wan/hosts/nordstadt auf APU und berglap
    237. 

  237. 

  238.     Address = 91.204.4.53
    239. 

  239.     Port = 661
    240. 

  240. 

  241.     -----BEGIN RSA PUBLIC KEY-----
    242. 

  242.      Schlüsseldaten
    243. 

  243.     -----END RSA PUBLIC KEY-----
    244. 

  244.     Ed25519PublicKey = 4znU87BKnctOFb+/JQhIltGtYN3h3czOVInolRPWgvA
    245. 

  245. 

  246. /etc/tinc/wan/hosts/berglap auf berglap
    247. 

  247. 

  248.     -----BEGIN RSA PUBLIC KEY-----
    249. 

  249.      Schlüsseldaten
    250. 

  250.     -----END RSA PUBLIC KEY-----
    251. 

  251.     Ed25519PublicKey = 4znU87BKnctOFb+/JQhIltGtYN3h3czOVInolRPWgvA
    252. 

  252. 

  253. Die Tinc Instanzen können auf APU und berglap gestartet werden mit:
    254. 

  254. 

  255.     systemctl start tinc@lan
    256. 

  256.     systemctl start tinc@wan
    257. 

  257. 

  258. Beispielhaft tinc@lan abfragen:
    259. 

  259. 

  260. systemctl status tinc@lan   
    261. 

  261. 

  262.     tinc@lan.service - Tinc net lan
    263. 

  263.      Loaded: loaded (/lib/systemd/system/tinc@.service; enabled; vendor preset: enabled)
    264. 

  264.      Active: active (running) since Tue 2022-03-29 21:26:01 CEST; 1 months 0 days ago
    265. 

  265.        Docs: info:tinc
    266. 

  266.              man:tinc(8)
    267. 

  267.              man:tinc.conf(5)
    268. 

  268.              http://tinc-vpn.org/docs/
    269. 

  269.     Main PID: 472 (tincd)
    270. 

  270.       Tasks: 1 (limit: 4657)
    271. 

  271.      Memory: 4.1M
    272. 

  272.         CPU: 22min 34.347s
    273. 

  273.      CGroup: /system.slice/system-tinc.slice/tinc@lan.service
    274. 

  274.              └─472 /usr/sbin/tincd -n lan -D
    275. 

  275. ...
    276. 

  276. Dabei ist das enabled in der Loaded Zeile wichtig.  
    277. 

  277. 

  278. Falls die Statusabfrage eine Fehlermeldung "Bogus data ..." bringt, alle Schlüssel,  
    279. 

  279. also auch die privaten, löschen und wie oben beschrieben neu erzeugen und verteilen.  
    280. 

  280. 

  281. Um die Programme automatisch nach einem reboot zu starten, eventuell
    282. 

  282. falls nicht durch die Installation schon eingerichtet:
    283. 

  283. 

  284.     systemctl enable tinc@lan
    285. 

  285.     systemctl enable tinc@wan
    286. 

  286. 

  287. 

  288. # Bird auf der APU berghofen und Laptop berglap
    289. 

  289. 

  290. /etc/iproute2/rt_tables  identisch auf APU / laptop
    291. 

  291. 

  292.     #
    293. 

  293.     # reserved values
    294. 

  294.     #
    295. 

  295.     255	    local
    296. 

  296.     254	    main
    297. 

  297.     253	    default
    298. 

  298.     0	    unspec
    299. 

  299.     #
    300. 

  300.     # local
    301. 

  301.     #
    302. 

  302.     1       tinc
    303. 

  303. 

  304. 

  305. - Die bird.conf des laptops ist bis auf andere IP Adressen identisch
    306. 

  306. 

  307. /etc/bird/bird.conf
    308. 

  308. 

  309.     # bird.conf Alle Anpassungen als defines
    310. 

  310.     # damit keine übersehen wird
    311. 

  311. 

  312.     define publicIP = 193.43.220.130;
    313. 

  313.     define publicIP_32 = 193.43.220.130/32;
    314. 

  314.     define isprouter = 192.168.178.254;
    315. 

  315. 

  316.     # ab hier passt alles für unsere lan/wan Netze
    317. 

  317. 

  318.     router id publicIP;
    319. 

  319.     
    320. 

  320.     # log syslog { debug, info, trace, remote }; /* optional */
    321. 

  321. 

  322.     define AS35675_all = [
    323. 

  323.             193.43.220.0/23
    324. 

  324.             ];
    325. 

  325. 

  326.     define AS35675_any = [
    327. 

  327.             193.43.220.0/23+
    328. 

  328.             ];
    329. 

  329. 

  330.     protocol device device0 {
    331. 

  331.             scan time 10;
    332. 

  332.     }
    333. 

  333. 

  334. 

  335.     /* wg. BSD: */
    336. 

  336.     protocol direct direct0 {
    337. 

  337.             ipv4;
    338. 

  338.     }
    339. 

  339. 

  340.     protocol kernel kernel0 {
    341. 

  341.             learn on;
    342. 

  342.             scan time 120;
    343. 

  343.             ipv4 {
    344. 

  344.                     import all;
    345. 

  345.                     export where source != RTS_DEVICE;
    346. 

  346.             };
    347. 

  347.     }
    348. 

  348. 

  349.     # erstellt neue routing tabelle 
    350. 

  350.     ipv4 table fib1table;
    351. 

  351. 

  352.     #RTS route source
    353. 

  353.     #import / export
    354. 

  354.     protocol kernel kernel1 {
    355. 

  355.             kernel table 1;
    356. 

  356.             learn on;
    357. 

  357.             scan time 120;
    358. 

  358.             ipv4 {
    359. 

  359.                     table fib1table;
    360. 

  360.                     import all;
    361. 

  361.                     export where source != RTS_DEVICE;
    362. 

  362.             };
    363. 

  363.     }
    364. 

  364. 

  365.     protocol static static1 {
    366. 

  366.             ipv4 {
    367. 

  367.                     table fib1table;
    368. 

  368.             };
    369. 

  369.             route 0.0.0.0/0 via isprouter; /* zur F!Box */
    370. 

  370.     }
    371. 

  371. 

  372.     protocol ospf ospfwan {
    373. 

  373.             ipv4 {
    374. 

  374.                     import all;
    375. 

  375.                     export where net ~ AS35675_any;
    376. 

  376.             };
    377. 

  377.             area 0.0.0.0 {
    378. 

  378.                     stubnet publicIP_32 { cost 1; };
    379. 

  379.                     interface "wan" {    
    380. 

  380.                             type broadcast;
    381. 

  381.                             cost 100;
    382. 

  382.                     };
    383. 

  383.                     interface "lan" {
    384. 

  384.                             type broadcast;
    385. 

  385.                             cost 10;
    386. 

  386.                     };
    387. 

  387.             };
    388. 

  388.     }
    389. 

  389. 

  390. 

  391. Den bird starten und eventuell rebootfest machen:
    392. 

  392. 

  393.     systemctl start bird
    394. 

  394.     systemctl enable bird
    395. 

  395.