Halaman utama Jelajahi Bantuan
Masuk
ffdo
/
wiki
2
0
Fork 0
Berkas Masalah 0 Tarik Permintaan 0 Wiki
Pohon: 865f6dca7b
Ranting Tag
wiki
/
Technik
/
Routing
/
Labornetz
/
Tinc.page

Tinc.page 6.1 KB
Riwayat Mentahan

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108 
  1. ---
    2. 

  2. format: markdown
    3. 

  3. toc: yes
    4. 

  4. title: Eine Tinc-Instanz aufsetzen
    5. 

  5. categories: VPN HOWTO
    6. 

  6. ...
    7. 

  7. 

  8. # Doku zu Tinc
    9. 

  9. 

  10. - [Homepage](http://www.tinc-vpn.org/)
    11. 

  11. - [Handbuch](http://www.tinc-vpn.org/documentation/)
    12. 

  12. - man pages zum [tincd](http://www.tinc-vpn.org/documentation/tincd.8) und zur [tinc.conf](http://www.tinc-vpn.org/documentation/tinc.conf.5)
    13. 

  13. - Insb. für die Verwendung von Tinc unter Linux hilfreich ist das [Tinc-HOWTO](http://wiki.freifunk.net/IC-VPN/Tinc) des [IC-VPN](http://wiki.freifunk.net/IC-VPN), über das diverse Freifunk-Communities per eBGP miteinander verbunden sind. Dort gibt es auch eine Seite zu [Tinc auf OpenWRT](http://wiki.freifunk.net/IC-VPN/OpenWRT).
    14. 

  14. 

  15. # Bestandteile einer Tinc-Instanz
    16. 

  16. 

  17. ## Eindeutige Bezeichner und Adressen
    18. 

  18. 

  19. Konkrete Nummern und Adressen siehe [Adressen](Adressen). Dort bitte die eigenen Routernummern, Adressen etc. eintragen, *bevor* Du sie auf Deinem Gerät konfigurierst!-)
    20. 

  20. 

  21. ## Im Folgenden benutzte Variablen
    22. 

  22. 

  23. Bei der folgenden Beschreibung werden einige Variablen benutzt:
    24. 

  24. 

  25. - `X` = Nummer des eigenen Routers (1, 2, 3, ...)
    26. 

  26. - `TN` = Nummer der Tinc-Instanz (1, 2, 3, ...)
    27. 

  27. - `TA` = Buchstabe der Tinc-Instanz (a, b, c, ...)
    28. 

  28. - `IPext` = externe IP Adresse, an die dieser tincd Prozess sich bindet (Adresse im transport layer)
    29. 

  29. - `IPint` = IP Adresse des tap interfaces dieses tincd Prozesses (Adresse im VPN)
    30. 

  30. - `IPintmask` = Präfixlänge des tap interfaces dieses tincd Prozesses
    31. 

  31. - `Y`, `Z` = Nummern von Routern mit fester externer IP, zu denen im Rahmen dieser Tinc-Instanz eine (Meta-)Verbindung aufgebaut werden sollen
    32. 

  32. 

  33. Die Variablen müssen natürlich durch die konkreten Werte für den jeweiligen Router und die jeweilige Tinc-Instanz ersetzt werden.
    34. 

  34. 

  35. ## Tinc package
    36. 

  36. 

  37. Die üblichen freien Betriebssysteme sollten ein package für die stable version von Tinc (1.0) haben (20160215: 1.0.26). Die config Verzeichnisse für die Tinc-Instanzen liegen dann zB bei FreeBSD unter /usr/local/etc/tinc, bei Linux vmtl. unter /etc/tinc.
    38. 

  38. 

  39. ## Tinc Konfiguration
    40. 

  40. 

  41. Im Unterordner [.../tinc/](etc/tinc/) findest Du Musterdateien für Tinc-Instanzen des Labornetzes. Es folgt hier eine Version mit den obigen Variablenkonventionen:
    42. 

  42. 

  43. ### tinc.conf
    44. 

  44. 

  45. `Name = ffdor`X  
    46. 

  46. `Device = /dev/tap`9+TN  
    47. 

  47. `Mode = switch`  
    48. 

  48. `BindToAddress = `IPext  
    49. 

  49. `Port = `10009+TN  
    50. 

  50. `MaxTimeout = 60`  
    51. 

  51. `PingTimeout = 10`  
    52. 

  52. `GraphDumpFile = /var/run/tinc.ffdot`TA`.dot`  
    53. 

  53. `ConnectTo = ffdor`Y  
    54. 

  54. `ConnectTo = ffdor`Z  
    55. 

  55. 

  56. ### tinc-up
    57. 

  57. 

  58. `#!/bin/sh`  
    59. 

  59. `IP=`IPint  
    60. 

  60. `NETLEN=`IPintmask  
    61. 

  61. `ifconfig $INTERFACE $IP/$NETLEN`
    62. 

  62. 

  63. Unter OpenWRT hat das tinc-up Skript von Johannes leider nicht funktioniert. Deshalb habe ich eine andere Variante erstellt...aus meiner Sicht sollte diese Variante auch auf anderen Systemen funktionieren.
    64. 

  64. 

  65. `#!/bin/sh`  
    66. 

  66. `ip addr add IPint/IPintmask dev $INTERFACE`  
    67. 

  67. `ip link set $INTERFACE up`  
    68. 

  68. 

  69. 

  70. Nicht vergessen:
    71. 

  71. 

  72. `chmod +x .../tinc/ffdot`TA`/tinc-up`
    73. 

  73. 

  74. Und schließlich `chmod 700 .../tinc`.
    75. 

  75. 

  76. ## Kryptographische Schlüssel
    77. 

  77. 

  78. Jeder Router generiert sich für jede Tinc-Instanz, an der er teilnimmt, ein Schlüsselpaar:
    79. 

  79. 

  80. `mkdir .../tinc/ffdot`TA`/hosts`  
    81. 

  81. `tincd -n ffdot`TA` --generate-keys=4096`
    82. 

  82. 

  83. Dabei `TA` durch den Buchstaben der Instanz ersetzen: a, b, c, ... 
    84. 

  84. 

  85. Anschließend befindet sich der private key in rsa_key.priv, der public key in hosts/ffdor`X`.
    86. 

  86. 

  87. ## hosts Dateien
    88. 

  88. 

  89. Ins Unterverzeichnis .../tinc/ffdot`TA`/hosts kommen die public keys der Router, mit denen dieser Router eine Meta-Verbindung einzugehen bereit ist. Für jeden Router `Y`, zu dem aktiv eine Verbindung aufgebaut werden soll, muss die Datei hosts/ffdor`Y` vor dem public key von Router `Y` folgende Zeilen enthalten:
    90. 

  90. 

  91. `Address = `IPextY  
    92. 

  92. `Port = `10009+TN
    93. 

  93. 

  94. Also die externe IP Adresse von Router `Y` eintragen und die Portnummer dieser Tinc-Instanz. Außerdem für den aktiven Verbindungsaufbau die entsprechende Anweisung "ConnectTo = ffdor`Y`" in der [tinc.conf](#tinc.conf) nicht vergessen.
    95. 

  95. 

  96. # Router hinter NAT
    97. 

  97. 

  98. Bei geNATeten Routern kann man die BindToAddress in der tinc.conf Zeile weglassen. Solche Router können nicht als Einstiegspunkt für's VPN dienen, d.h. sie dürfen nicht in einer ConnectTo Anweisung auftauchen. Wenn irgendwie möglich sollte man ein port forwarding auf dem NAT-Router einrichten, der Pakete für den port dieser Tinc-Instanz zu dem hinter ihm liegenden Tinc-Router (ffdor`X`) weiterleitet. Dadurch wird ffdor`X` wieder zu einem vollwertigen Tinc-Router.
    99. 

  99. 

  100. # Separate FIB für den tincd Prozess
    101. 

  101. 

  102. Der tincd sollte auf einem Router nicht mit der default forwarding table des kernels laufen. (Grund dafür ist, dass man schließlich über das tap interface des tincd, also das (interne) VPN, routen will. Die externen Adressen, die ein tincd zum Aufbau des VPN benutzt, gehören vom VPN aus gesehen zu einem lower (transport) layer. Diese dürfen nie durch das VPN geroutet werden! Deshalb verschiende FIBs für transport layer und VPN.)
    103. 

  103. 

  104. Wie man den tincd in eine separate FIB sperrt, hängt vom OS ab, und sollte für die in der AG benutzten Routerplattformen separat dokumentiert werden (TBD). Das sieht dann üblicherweise einfach so aus, dass man eine separate FIB für den tincd anlegt, die nur eine default route enthält, über die der tincd die externen Adressen seiner peers erreichen kann. (Im Falle einer Tinc-Instanz, die als lower layer einen (bzw. den FF-DO-B.A.T.M.A.N.-) switch benutzt, braucht man nicht mal diese default route, da sich alle peers schon per interface route erreichen können).
    105. 

  105. 

  106. Unter Linux verwendet man [Policy Routing](https://wiki.freifunk.net/Glossar#Policy_Routing), das in "Session 6: Policy Based Routing" der [FFRL-RoutingDays-Folien](https://routingdays.ffrl.net/FFRL-RD.pdf) beschrieben wird. Ein weiteres Beispiel ist für die OpenWRT-basierte MeshKit-Firmware [dokumentiert](http://doc.meshkit.freifunk.net/daily/html/usage/policy-routing.html).
    107. 

  107. 

  108. Das Thema wird erst akut, wenn wir über die VPNs routen. D.h. für erste Tests, ob tincd funktioniert, kann man die FIB 0 benutzen. Aber nicht vergessen, sich anschließend um die FIBs für die tincd Prozesse zu kümmern - denn sonst fällt einem das später durch rekursives Routing übel auf die Füße, weil sich das VPN dabei permanent auf- und wieder abbaut => VPN unbenutzbar:-(
    109.