Strona główna Odkrywaj Pomoc
Zaloguj się
ffdo
/
wiki
2
0
Forkuj 0
Pliki Problemy 0 Oczekujące zmiany 0 Wiki
Drzewo: 843138067f
Gałęzie Tagi
wiki
/
Community
/
Bildung
/
FF@home
/
Tinc_Installation.page

Tinc_Installation.page 9.0 KB
Historia Czysty

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243 
  1. ACHTUNG!! In Bearbeitung!!!
    2. 

  2. 

  3. 

  4. Datenquelle https://wiki.leipzig.freifunk.net/
    5. 

  5. Anpassung an Freifunk Dortmund von Marcel
    6. 

  6. === Anmerkung ===
    7. 

  7. Erstellt wurde diese Anleitung mit dem VI-Editor. Wenn ihr es mit Putty installiert, müsst ihr nur das "vi" durch ein "edit" ersetzen. Diese Anleitung verwendet die 104.61.12.7 als Beispielnode.
    8. 

  8. Alle '''''fett und kursiv''''' geschriebenen Werte müssen für den eigenen Node angepasst und alle
    9. 

  9. Vorkommen von '''''12_7''''' durch die eigene Node-Nummer in der Form ''<Projekt>_<Node>'' ersetzt werden.
    10. 

  10. 

  11. === Installation von Tinc ===
    12. 

  12.  
    13. 

  13.  ipkg update
    14. 

  14.  ipkg install freifunk-tinc
    15. 

  15. 

  16. === Verzeichnisstruktur anlegen ===
    17. 

  17. 

  18.  mkdir -p /etc/tinc/'''''12_7'''''/hosts/
    19. 

  19. 

  20. === Konfigurationsdateien anlegen ===
    21. 

  21. 

  22. Nun müssen eine Reihe von Konfigurationsdateien und -scripten angelegt werden damit Tinc ordnungsgemäß
    23. 

  23. seinen Dienst verrichtet.
    24. 

  24. 

  25. ==== Tinc-Konfigurationsdatei ====
    26. 

  26. 

  27.  vi /etc/tinc/'''''12_7'''''/tinc.conf
    28. 

  28. 

  29.  # Symbolischer Name für diese Verbindung. (nur alphanumerische Werte und der _ sind erlaubt)
    30. 

  30.  Name = '''''12_7'''''
    31. 

  31.  
    32. 

  32.  # Mit welchen anderen Tinc-Daemons soll sich bei Programmstart verbunden werden.
    33. 

  33.  # Entsprechende Host-Konfiguation Dateien in "hosts/" müssen vorhanden sein.
    34. 

  34.  ConnectTo = 116_1
    35. 

  35.  ConnectTo = 17_35
    36. 

  36.  
    37. 

  37.  Device = /dev/net/tun
    38. 

  38.  
    39. 

  39.  # Name des Tunnelinterfaces, der vergeben werden soll z.B. tun0
    40. 

  40.  Interface = tinc0
    41. 

  41.  AddressFamily = ipv4
    42. 

  42.  
    43. 

  43.  Hostnames = yes
    44. 

  44.  Mode = switch
    45. 

  45.  PrivateKeyFile = /etc/tinc/'''''12_7'''''/rsa_key.priv
    46. 

  46.  PingTimeout = 30
    47. 

  47. 

  48. ==== Initialisierungsscript "tinc-up" ====
    49. 

  49. 

  50.  vi /etc/tinc/'''''12_7'''''/tinc-up
    51. 

  51. 

  52.  #!/bin/sh
    53. 

  53.  # This file is for tinc startup
    54. 

  54.  
    55. 

  55.  # -- Konfiguration Start --
    56. 

  56.  TINCPRT=655
    57. 

  57.  TINCADR=104.61.2.'''''12'''''       # <-- diese IP auch anpassen! (siehe "Teilnehmer")
    58. 

  58.  TINCBRC=104.61.2.255
    59. 

  59.  TINCPRE=24
    60. 

  60.  TINCDEV=$INTERFACE
    61. 

  61.  # -- Konfiguration Ende --
    62. 

  62.  
    63. 

  63.  # Netzparameter laden
    64. 

  64.  eval $(/usr/bin/netparam)
    65. 

  65.  
    66. 

  66.  # Tinc Interface konfigurieren
    67. 

  67.  ip addr add $TINCADR/$TINCPRE brd $TINCBRC dev $TINCDEV
    68. 

  68.  
    69. 

  69.  # Input auf den Tinc-Port aus dem WAN erlauben
    70. 

  70.  iptables -I INPUT -i $WANDEV -p udp --dport $TINCPRT -j ACCEPT
    71. 

  71.  iptables -I INPUT -i $WANDEV -p tcp --dport $TINCPRT -j ACCEPT
    72. 

  72.  
    73. 

  73.  # Input / Output auf dem Tinc-Interface
    74. 

  74.  iptables -I INPUT  -d $WIFIADR -i $TINCDEV -j ACCEPT
    75. 

  75.  iptables -I INPUT  -d $TINCADR/$TINCPRE -j ACCEPT
    76. 

  76.  iptables -I OUTPUT -s $WIFIADR -o $TINCDEV -j ACCEPT
    77. 

  77.  iptables -I OUTPUT -s $TINCADR/$TINCPRE -j ACCEPT
    78. 

  78.  
    79. 

  79.  # Weiterleitungen zwischen Wifi- und Tinc-Interface erlauben
    80. 

  80.  iptables -I FORWARD -i $WIFIDEV -o $TINCDEV -j ACCEPT
    81. 

  81.  iptables -I FORWARD -i $TINCDEV -o $WIFIDEV -j ACCEPT
    82. 

  82.  
    83. 

  83.  # Weiterleitungen zwischen LAN- und Tinc-Interface erlauben
    84. 

  84.  iptables -I FORWARD -i $LANDEV -o $TINCDEV -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
    85. 

  85.  iptables -I FORWARD -i $TINCDEV -o $LANDEV -m state --state RELATED,ESTABLISHED -j ACCEPT
    86. 

  86.  
    87. 

  87.  # LAN Richtung Tinc natten
    88. 

  88.  iptables -t nat -A POSTROUTING -o $TINCDEV -s $LANNET/$LANPRE -j MASQUERADE
    89. 

  89.  
    90. 

  90.  # Interface aktivieren
    91. 

  91.  ip link set dev $TINCDEV up
    92. 

  92. 

  93. ==== Shutdownscript "tinc-down" ====
    94. 

  94. 

  95.  vi /etc/tinc/'''''12_7'''''/tinc-down
    96. 

  96. 

  97.  #!/bin/sh
    98. 

  98.  # This file closes down the tunnel device und removes corresponding firewall rules.
    99. 

  99.  
    100. 

  100.  # -- Konfiguration Start --
    101. 

  101.  TINCPRT=655
    102. 

  102.  TINCADR=104.61.2.'''''12'''''       # <-- diese IP auch anpassen!
    103. 

  103.  TINCBRC=104.61.2.255
    104. 

  104.  TINCPRE=24
    105. 

  105.  TINCDEV=$INTERFACE
    106. 

  106.  # -- Konfiguration Ende --
    107. 

  107.  
    108. 

  108.  # Netzparameter laden
    109. 

  109.  eval $(/usr/bin/netparam)
    110. 

  110.  
    111. 

  111.  # Tinc Interface deaktivieren
    112. 

  112.  ip link set $TINCDEV down
    113. 

  113.  
    114. 

  114.  # Input auf den Tinc-Port aus dem WAN verbieten
    115. 

  115.  iptables -D INPUT -i $WANDEV -p udp --dport $TINCPRT -j ACCEPT
    116. 

  116.  iptables -D INPUT -i $WANDEV -p tcp --dport $TINCPRT -j ACCEPT
    117. 

  117.  
    118. 

  118.  # Input / Output auf dem Tinc-Interface verbieten
    119. 

  119.  iptables -D INPUT  -d $WIFIADR -i $TINCDEV -j ACCEPT
    120. 

  120.  iptables -D INPUT  -d $TINCADR/$TINCPRE -j ACCEPT
    121. 

  121.  iptables -D OUTPUT -s $WIFIADR -o $TINCDEV -j ACCEPT
    122. 

  122.  iptables -D OUTPUT -s $TINCADR/$TINCPRE -j ACCEPT
    123. 

  123.  
    124. 

  124.  # Weiterleitungen zwischen Wifi- und Tinc-Interface verbieten
    125. 

  125.  iptables -D FORWARD -i $WIFIDEV -o $TINCDEV -j ACCEPT
    126. 

  126.  iptables -D FORWARD -i $TINCDEV -o $WIFIDEV -j ACCEPT
    127. 

  127.  
    128. 

  128.  # Weiterleitungen zwischen LAN- und Tinc-Interface verbieten
    129. 

  129.  iptables -D FORWARD -i $LANDEV -o $TINCDEV -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
    130. 

  130.  iptables -D FORWARD -i $TINCDEV -o $LANDEV -m state --state RELATED,ESTABLISHED -j ACCEPT
    131. 

  131.  
    132. 

  132.  # LAN-Nat-Regel löschen
    133. 

  133.  iptables -t nat -D POSTROUTING -o $TINCDEV -s $LANNET/$LANPRE -j MASQUERADE
    134. 

  134.  
    135. 

  135.  # Interface dekonfigurieren
    136. 

  136.  ip addr del $TINCADR/$TINCPRE brd $TINCBRC dev $TINCDEV
    137. 

  137. 

  138. ==== Scripte ausführbar machen ====
    139. 

  139. 

  140. Die up- und down-Scripte ausführbar machen:
    141. 

  141.  chmod +x /etc/tinc/'''''12_7'''''/tinc-up
    142. 

  142.  chmod +x /etc/tinc/'''''12_7'''''/tinc-down
    143. 

  143. 

  144. ==== OLSR-Konfiguration für das Tinc-Interface ====
    145. 

  145. 

  146.  vi /etc/local.olsrd.conf-tinc0
    147. 

  147. 

  148.  Interface "tinc0"
    149. 

  149.  {
    150. 

  150.         HelloInterval		15.0
    151. 

  151.         HelloValidityTime	180.0
    152. 

  152.         TcInterval		10.0
    153. 

  153.         TcValidityTime		270.0
    154. 

  154.         MidInterval		30.0
    155. 

  155.         MidValidityTime		180.0
    156. 

  156.         HnaInterval		30.0
    157. 

  157.         HnaValidityTime		180.0
    158. 

  158.         Ip4Broadcast		104.61.2.255
    159. 

  159.  
    160. 

  160.         LinkQualityMult default 0.2
    161. 

  161.  }
    162. 

  162. 

  163. ==== Hinweis für den Betrieb hinter einem NAT ====
    164. 

  164. 

  165. Wenn der Rechner oder das Gerät, auf dem Tinc installiert ist hinter einer Firewall
    166. 

  166. hängt, muss zudem der TCP-Tunnelmodus aktiviert werden.
    167. 

  167. 

  168. Dazu sollten die Zertifikate der anderen Nodes bearbeitet werden:
    169. 

  169.  vi /etc/tinc/'''''12_7'''''/hosts/*
    170. 

  170. 

  171. Dort wird zusätzlich zu den Optionen für Adresse und Port folgende Zeile
    172. 

  172. vor dem Schlüssel eingefügt:
    173. 

  173.  TCPOnly = yes
    174. 

  174. 

  175. === Schlüssel erzeugen ===
    176. 

  176. 

  177.  tincd -n '''''12_7''''' -K
    178. 

  178. 

  179. Der generierte öffentliche Schlüssel sollte ungefähr so aussehen:
    180. 

  180.  cat /etc/tinc/'''''12_7'''''/hosts/'''''12_7'''''
    181. 

  181. 

  182.  -----BEGIN RSA PUBLIC KEY-----
    183. 

  183.  MIGJAoGBAKHymf+vQFBJzKUswWgCqfz9y0vCAtsH68ejWYwo2HUxEW3OZoPpEAb4
    184. 

  184.  belX9d9xs4PCU22O6lUvIbmUl4UGXXFKiWxhbY15K0+rzrJfdw1mfwo5uveaCGwu
    185. 

  185.  gzQ0hFpactWfL3EufX/fBG4tRreYQH3hDA2nLqam6ee0Gp46ZWr5AgMBAAE=
    186. 

  186.  -----END RSA PUBLIC KEY-----
    187. 

  187. 

  188. ==== Die Schlüsseldateien austauschen ====
    189. 

  189. 

  190. Beispiel für einen Schlüsselaustausch per ssh:
    191. 

  191. 

  192. Zertifikate von anderem Node auf den eig. Node kopieren
    193. 

  193.  scp root@104.61.x.y:/etc/tinc/'''''x_y'''''/hosts/* tinc/'''''12_7'''''/hosts/ 
    194. 

  194. 

  195. Eigenes Zertifikat auf anderen Node kopieren
    196. 

  196.  scp /etc/tinc/'''''12_7'''''/hosts/'''''12_7''''' root@104.61.x.y:/etc/tinc/'''''x_y'''''/hosts
    197. 

  197. 

  198. *Hinweis: Keys müssen mit anderen Nodes ausgestauscht werden (mind. 2 - mit Angabe der Nodes unter /etc/tinc/x_y/tinc.conf und ConnectTo = a_b, sowie ablegen deren Schlüssel unter tinc/x_y/hosts/a_b), ansonsten kann Tinc keine Verbindung aufbauen - hierzu hilft euch ein wenig das [http://wiki.leipzig.freifunk.net/Projekt2 Projekt 2], dort könnt ihr euch die Schlüssel von den anderen Tinc-Nodes kopieren und auch eure erzeugten '''öffentlichen'''-Schlüssel (in der Node unter /etc/tinc/x_y/hosts/x_y zu finden x_y = wieder eure Node-IP) ablegen. Nun müsst ihr nur noch die Tinc-Nodeadmins um Aufname eurer im Wiki abgelegten Keys  bitten, am besten über E-Mail oder im [http://wiki.leipzig.freifunk.net/Jabber Jabber].
    199. 

  199. 

  200. === Tinc beim Booten automatisch starten ===
    201. 

  201. 

  202. Damit Tinc beim Booten automatisch gestartet wird, muss nun
    203. 

  203. eine Datei mit dem Namen der verwendeten Konfiguration angelegt werden:
    204. 

  204.  vi /etc/tinc/nets.boot
    205. 

  205. Dort wird der Name der Konfiguration eingetragen:
    206. 

  206.  '''''12_7'''''
    207. 

  207. 

  208. === Konfiguration überprüfen ===
    209. 

  209. 

  210. Nach dem Anlegen der Konfiguration sollte jetzt folgendes Verzeichnis-Layout existieren:
    211. 

  211.  /etc/tinc/
    212. 

  212.  /etc/tinc/nets.boot
    213. 

  213.  /etc/tinc/'''''12_7'''''/
    214. 

  214.  /etc/tinc/'''''12_7'''''/tinc.conf
    215. 

  215.  /etc/tinc/'''''12_7'''''/tinc-up
    216. 

  216.  /etc/tinc/'''''12_7'''''/tinc-down
    217. 

  217.  /etc/tinc/'''''12_7'''''/rsa_key.priv
    218. 

  218.  /etc/tinc/'''''12_7'''''/hosts/
    219. 

  219.  /etc/tinc/'''''12_7'''''/hosts/'''''12_7'''''
    220. 

  220.  /etc/tinc/'''''12_7'''''/hosts/...
    221. 

  221. 

  222. === Tinc-VPN starten ===
    223. 

  223. 

  224. Nachdem die Konfiguration beendet wurde kann nun Tinc gestartet werden:
    225. 

  225.  /etc/init.d/S52tinc start
    226. 

  226. 

  227. OLSR muss auch neu gestartet werden damit das neue Tinc-Interface aufgenommen wird:
    228. 

  228.  /etc/init.d/S53olsrd restart
    229. 

  229. 

  230. In den Logdateien sollten sich nun Meldungen vom Tinc-Daemon finden:
    231. 

  231.  logread -f
    232. 

  232. 

  233. === Tinc-VPN-Installation sichern/wiederherstellen ===
    234. 

  234. 

  235. In der Node unter [Verwalten] > [Backup] > Backup-Muster:
    236. 

  236.        /etc/tinc/*
    237. 

  237.        /etc/local.olsrd.conf*
    238. 

  238. 

  239. ergänzen und auf "Jetzt sichern" drücken. 
    240. 

  240. *vor einem Firmewareupdate wieder/nochmal "Jetzt sichern" wählen (evtl. die Pfade für die Kabelkopplung oder andere Pakete/Verzeichnisse ergänzen) 
    241. 

  241. *Firmwareupdate durchführen, anschließend bei der IP-Vergabe den '''''Expertenmodus''''' wählen und dort das Häckchen bei '''''gesicherte Daten wiederherstellen''''' (evtl. noch LAN-/WAN-Einstellungen beibehalten) setzen und neustarten
    242. 

  242. *anschließend noch unter '''Software 2''' wieder das Paket freifunk-tinc-de installieren und Node mit dem einfachen Neustart starten
    243. 

  243. *nun sollten alle Tinc-VPN-Nachbarn wieder vorhanden sein (sofern ihr keinen Pfad beim Sichern vergessen habt - Beachtung liegt bei Kabelkopplungen und Firewallregeln für neue Interfaces wie z.B. bei WAN-LAN-Kopplungen, bei WAN-WAN könnt ihr das mit den Häcken drunter (Http / Https / Ssl / Ping) setzen)
    244.