Halaman utama Jelajahi Bantuan
Masuk
ffdo
/
wiki
2
0
Fork 0
Berkas Masalah 0 Tarik Permintaan 0 Wiki
Pohon: c8250b9234
Ranting Tag
wiki
/
Community
/
Bildung
/
FF@home
/
Tinc_Installation.page

Tinc_Installation.page 16 KB
Riwayat Mentahan

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402 
  1. ACHTUNG!! In Bearbeitung!!!
    2. 

  2. 

  3. 

  4. Datenquelle https://wiki.leipzig.freifunk.net/
    5. 

  5. Und Emailverkehr der Infa-ffdo Gruppe
    6. 

  6. Anpassung von Marcel
    7. 

  7. 

  8. APU mit Debian 10
    9. 

  9. Laptop mit Mate 20
    10. 

  10. 

  11. === Anmerkung ===
    12. 

  12. Anleitung für die Installation und Konfiguration für die Verwendung in unserem "Labor- Betrieb"
    13. 

  13. 

  14. === Installation von Tinc ===
    15. 

  15.  
    16. 

  16.  sudo apt-get update
    17. 

  17.  sudo apt-get install tinc
    18. 

  18. 

  19. === Lan Verbindung herstellen ===
    20. 

  20. 

  21. Per Netzwerkabel miteinander verbinden ;)
    22. 

  22. 

  23. === Feste IP Adresse Anlegen ===
    24. 

  24. 

  25. Um Fehler auszuschließen am besten statische IP-Adressen benutzen, die außerhalb des Bereiches vom lokalen DHCP-Servers (zB. F!Box) liegen.Default route dann manuell zum lokalen uplink gateway (zB zur
    26. 

  26. F!Box) setzen. Konfiguration rebootfest machen (/etc/rc.conf bei BSD, /etc/network/interfaces bei Debian). Die im Folgenden als Beispiel verwendeten private-IP-Adressen natürlich durch die real konfigurierten ersetzen. (Wenn man die Netzwerkkonfiguration der APU versemmelt und nicht mehr per ssh drankommt, gibt's ja zum Glück noch die serielle
    27. 

  27. Verbindung:-)
    28. 

  28. 

  29. In meinem Fall habe ich mich für die Adressen:
    30. 

  30. 

  31. Apu (Debian)  : 192.168.1.100
    32. 

  32. Laptop        : 192.168.1.99
    33. 

  33. 

  34. === Verzeichnisstruktur anlegen ===
    35. 

  35. 

  36.  mkdir -p /etc/tinc/lan/hosts/
    37. 

  37. 

  38. === Konfigurationsdateien "lan" anlegen ===
    39. 

  39. 

  40. Nun müssen eine Reihe von Konfigurationsdateien und -scripten angelegt werden damit Tinc ordnungsgemäß
    41. 

  41. seinen Dienst verrichtet.
    42. 

  42. 

  43. ==== Tinc-Konfigurationsdatei ====
    44. 

  44. 

  45.  vi /etc/tinc/lan/tinc.conf
    46. 

  46. 

  47. tinc Instanz aufsetzen (Beschreibung für tinc 1.0.x)
    48. 

  48. ! Tipp! Für das Übertragen der Einstellungen am besten jeweils mit dem Befehl "cat" arbeiten
    49. 

  49. 

  50. Für die tinc-Instanz mit dem Namen "lan" ungefähr Folgendes in die
    51. 

  51. config Datei vi etc/tinc/lan/tinc.conf schreiben:
    52. 

  52. 

  53. Name = apu
    54. 

  54. Device = /dev/net/tun
    55. 

  55. Mode = switch
    56. 

  56. AddressFamily = ipv4
    57. 

  57. BindToAddress = 192.168.1.100
    58. 

  58. Port = 10001
    59. 

  59. MaxTimeout = 30
    60. 

  60. GraphDumpFile = /var/run/tinc.lan.dot
    61. 

  61. #LocalDiscovery = yes
    62. 

  62. ConnectTo = laptop
    63. 

  63. 

  64. Und auf dem Laptop ähnliche Daten, bis auf: "Name,BindToAddress und ConnectTo".
    65. 

  65. 

  66. Name = laptop
    67. 

  67. Device = /dev/net/tun
    68. 

  68. Mode = switch
    69. 

  69. AddressFamily = ipv4
    70. 

  70. BindToAddress = 192.168.1.99
    71. 

  71. Port = 10001
    72. 

  72. MaxTimeout = 30
    73. 

  73. GraphDumpFile = /var/run/tinc.lan.dot
    74. 

  74. #LocalDiscovery = yes
    75. 

  75. ConnectTo = apu
    76. 

  76. 

  77. Nun auf beiden Geräten die Schlüsselpaare generieren:
    78. 

  78. 

  79. (Anmerkung: bei mir funktionierte der Befehl nur mit Angabe des Pfades)
    80. 

  80. 

  81. tincd -n lan -K 4096
    82. 

  82. oder
    83. 

  83. /etc/tinc/lan/inc.conf -n lan -K 4096
    84. 

  84. 

  85. Dann in der public key Datei ..
    86. 

  86. vi etc/tinc/lan/hosts/apu
    87. 

  87. und
    88. 

  88. vi etc/tinc/lan/hosts/laptop
    89. 

  89. die IP-Adresse des hosts oben ergänzen:
    90. 

  90. hier zum Beispiel die Änderung für den Apu
    91. 

  91. 

  92. Address = 192.168.1.100
    93. 

  93. Port = 10001
    94. 

  94. 

  95. -----BEGIN RSA PUBLIC KEY-----
    96. 

  96. MIICCgKCAgEAwirLKOYuwraf+MneMpzWqKhv8qCcZCC7yFAN2y+OnT5lXzV/LgwQ
    97. 

  97. [...]
    98. 

  98. 

  99. Nun die Datei .../tinc/lan/hosts/apu von der APU an die gleiche Stelle
    100. 

  100. auf dem Laptop kopieren. Und umgekehrt .../laptop auf die APU.
    101. 

  101. 

  102. 

  103. ! Zusatzinfos!
    104. 

  104.  # Hier die Erklärungen zu den einzelnen Parametern.
    105. 

  105. 

  106.  # Mit welchen anderen Tinc-Daemons soll sich bei Programmstart verbunden werden.
    107. 

  107.  # Entsprechende Host-Konfiguation Dateien in "hosts/" müssen vorhanden sein.
    108. 

  108.  ConnectTo = apu
    109. 

  109. 

  110.  # Name des Tunnelinterfaces, der vergeben werden soll z.B. tun0
    111. 

  111.  # Das zu verwendende virtuelle Netzwerkgerät. tinc erkennt automatisch, um welche Art von Gerät es sich handelt.
    112. 

  112.  # Beachten Sie, dass Sie nur ein Gerät pro Dämon verwenden können.
    113. 

  113. Device = /dev/net/tun 
    114. 

  114. 

  115.  #Diese Option wirkt sich auf die Adressfamilie der abhörenden und ausgehenden Sockets aus. 
    116. 

  116.  # Wenn "any" ausgewählt ist, werden je nach Betriebssystem sowohl IPv4- als auch IPv6- oder nur IPv6-Listening-Sockets erstellt.
    117. 

  117.  AddressFamily = ipv4
    118. 

  118.  
    119. 

  119.  # Mitdieser Option wird festgelegt, wie Pakete an andere Daemons weitergeleitet werden
    120. 

  120.  # switch = In diesem Modus werden die MAC-Adressen der Pakete im VPN verwendet, um wie bei 
    121. 

  121.  # einem Ethernet-Switch dynamisch eine Routing-Tabelle zu erstellen
    122. 

  122.  Mode = switch
    123. 

  123. 

  124.  # Wenn Ihr Computer mehr als eine IPv4- oder IPv6-Adresse hat, überwacht tinc standardmäßig alle auf eingehende Verbindungen.
    125. 

  125.  # Es können mehrere BindToAddress- Variablen angegeben werden. In diesem Fall werden Abhörsockets für jede angegebene Adresse erstellt.
    126. 

  126. BindToAddress = 
    127. 

  127. 

  128.  # Wenn kein Port angegeben ist, wird der Socket an den durch die Option Port angegebenen Port oder an Port 655 gebunden, 
    129. 

  129.  # wenn keiner angegeben ist. Um nur Bindung an einen bestimmten Port aber nicht an eine bestimmte Adresse, die Verwendung * für die Adresse .
    130. 

  130. Port = 10001
    131. 

  131. 

  132.  # Dies ist die maximale Verzögerung, bevor versucht wird, die Verbindung zu anderen Tinc-Daemons wiederherzustellen. 
    133. 

  133. MaxTimeout = 30
    134. 

  134. 

  135.  # Wenn diese Option vorhanden ist, speichert tinc das aktuelle Netzwerkdiagramm jede Minute in den Dateinamen der Datei , 
    136. 

  136.  # es sei denn, es wurden keine Änderungen am Diagramm vorgenommen. Die Datei hat ein Format, das von graphviz-Tools gelesen werden kann.           # Wenn der Dateiname mit einem Pipe-Symbol | beginnt, wird der Rest des Dateinamens als Shell-Befehl interpretiert, der ausgeführt wird.    #Das Diagramm wird dann an stdin gesendet.
    137. 

  137. GraphDumpFile = /var/run/tinc.lan.dot
    138. 

  138. 

  139.  #Wenn diese Option aktiviert ist, versucht tinc , Peers zu erkennen, die sich im selben lokalen Netzwerk befinden. 
    140. 

  140. Dies ermöglicht eine direkte Kommunikation über LAN-Adressen, selbst wenn sich beide Peers hinter einem NAT befinden und sich nur mit einem dritten Knoten außerhalb des NAT verbinden, was normalerweise verhindern würde, dass die Peers die LAN-Adresse des anderen lernen. 
    141. 

  141. LocalDiscovery = yes
    142. 

  142. 

  143.  # Gibt an, zu welchem ​​anderen Tinc-Daemon beim Start eine Verbindung hergestellt werden soll. Es können mehrere ConnectTo- 
    144. 

  144.  # Variablen   angegeben werden. In diesem Fall werden ausgehende Verbindungen zu jedem angegebenen tinc-Daemon hergestellt.
    145. 

  145.  # Die Namen sollten diesem tinc-Daemon bekannt sein (dh es sollte eine Host-Konfigurationsdatei für den Namen in der 
    146. 

  146.  # ConnectTo- Zeile vorhanden sein).Wenn Sie mit ConnectTo keinen Host angeben , versucht tinc überhaupt nicht, eine Verbindung 
    147. 

  147.  # zu anderen Daemons herzustellen , sondern wartet stattdessen nur auf eingehende Verbindungen.
    148. 

  148. ConnectTo = laptop 
    149. 

  149. 

  150. 

  151. ==== Testen von Tinc ====
    152. 

  152. 

  153. Anfangs am besten manuell mit debugging, ist unschädlich, wenn man's
    154. 

  154. mal gesehen hat. Und wenn (wie üblich:) was schief geht, hilft's:
    155. 

  155. 

  156. tincd -n lan -D -d 3 &
    157. 

  157. 

  158. Stoppen zB mit "killall tincd". Wenn alles OK ist, verwendet man für den
    159. 

  159. Normalbetrieb das mit dem tinc package installierte script zum Starten
    160. 

  160. und Stoppen. Aber das hängt vom jeweiligen OS bzw. der Distribution ab.
    161. 

  161. Ebenso, wie man den daemon/service/Dienst (tincd) rebootfest macht.
    162. 

  162. 

  163. ==== Tinc Konfigurieren ====
    164. 

  164. Dazu konfiguriert man auf beiden Geräten das in der 
    165. 

  165. 

  166. vi etc/tinc/lan/tinc.conftinc.conf
    167. 

  167. angegebene Interface (tun) in ein gemeinsames IP-Netz, in meinem Fall
    168. 

  168. der IP Adressbereich 192.168.39.0/24. 
    169. 

  169. Die APU kriegt die BindToAddress = 192.168.39.1, der Laptop die BindToAddress = 192.168.39.2  .
    170. 

  170. 

  171. ==== IP Adressenliste für unser Netz ====
    172. 

  172. Wer	Nr/Name		tap1-Netz	public-IP APU	public-IP Laptop
    173. 

  173. Alle	1/nordstadt			193.43.220.129
    174. 

  174. Frank	2/berghofen	192.168.37.0/24	193.43.220.130	193.43.220.158
    175. 

  175. Julian	3/city		192.168.38.0/24	193.43.220.131	193.43.220.157
    176. 

  176. Marcel	4/hagen		192.168.39.0/24	193.43.220.132	193.43.220.156
    177. 

  177. Michael	5/?		192.168.40.0/24	193.43.220.133	193.43.220.155
    178. 

  178. Stefan	6/duisburg	192.168.41.0/24	193.43.220.134	193.43.220.154
    179. 

  179. Klaus	7/menden	192.168.42.0/24	193.43.220.135	193.43.220.153
    180. 

  180. Joh.	8/hoerde	192.168.43.0/24	193.43.220.136	193.43.220.152
    181. 

  181. 

  182. Dann versucht man, von einem Gerät auf die Adresse das anderen zu
    183. 

  183. pingen. Die Route für die Adresse des Gegenübers liegt auf dem tun
    184. 

  184. Interface (prüfen!), deshalb gehen die (ICMP ECHO_REQUEST-)Pakete an
    185. 

  185. den (für dieses Interface zuständigen) tincd. Der verschlüsselt die
    186. 

  186. Pakete und schickt sie (via kernel) übers LAN an die IP-Adresse (und
    187. 

  187. den Port) des anderen Geräts an den anderen tincd. Der entschlüsselt
    188. 

  188. wieder und übergibt das ursprüngliche Paket dem lokalen kernel.
    189. 

  189. Der antwortet mit einem (ICMP ECHO_RESPONSE-)Paket, und der Film läuft
    190. 

  190. genau wie gerade nochmal ab, nur in Gegenrichtung.
    191. 

  191. 

  192. Wenn das funktioniert, kann man (endlich;-) Traffic zwischen APU und
    193. 

  193. Laptop verschlüsselt durch die F!Box schicken. Dafür muss man
    194. 

  194. natürlich die Adressen der tun Interfaces benutzen. Zum Überprüfen der
    195. 

  195. Konstruktion gleichzeitig ein tcpdump -X auf dem "äußeren" (dem LAN-)
    196. 

  196. Interface (eth0, igb0, o.dgl.) und auf dem "inneren" Interface (tun)
    197. 

  197. laufen lassen. Dann ein paar pings auf die "innere" Gegenstelle
    198. 

  198. (192.168.39.2 bzw. .1) machen und deren Spuren in den beiden tcpdumps
    199. 

  199. vergleichen. Auf dem LAN-Interface sollte der Klartext aus den
    200. 

  200. ursprünglichen ping-Paketen nicht mehr zu sehen sein.
    201. 

  201. 

  202. 

  203. 

  204. 

  205. AB HIER NICHT MEHR ÜBERPRÜFT 
    206. 

  206. 

  207. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    208. 

  208. 

  209.  vi /etc/tinc/lan/tinc-up
    210. 

  210. 

  211.  #!/bin/sh
    212. 

  212.  # This file is for tinc startup
    213. 

  213.  
    214. 

  214.  # -- Konfiguration Start --
    215. 

  215.  TINCPRT=655
    216. 

  216.  TINCADR=104.61.2.'''''12'''''       # <-- diese IP auch anpassen! (siehe "Teilnehmer")
    217. 

  217.  TINCBRC=104.61.2.255
    218. 

  218.  TINCPRE=24
    219. 

  219.  TINCDEV=$INTERFACE
    220. 

  220.  # -- Konfiguration Ende --
    221. 

  221.  
    222. 

  222.  # Netzparameter laden
    223. 

  223.  eval $(/usr/bin/netparam)
    224. 

  224.  
    225. 

  225.  # Tinc Interface konfigurieren
    226. 

  226.  ip addr add $TINCADR/$TINCPRE brd $TINCBRC dev $TINCDEV
    227. 

  227.  
    228. 

  228.  # Input auf den Tinc-Port aus dem WAN erlauben
    229. 

  229.  iptables -I INPUT -i $WANDEV -p udp --dport $TINCPRT -j ACCEPT
    230. 

  230.  iptables -I INPUT -i $WANDEV -p tcp --dport $TINCPRT -j ACCEPT
    231. 

  231.  
    232. 

  232.  # Input / Output auf dem Tinc-Interface
    233. 

  233.  iptables -I INPUT  -d $WIFIADR -i $TINCDEV -j ACCEPT
    234. 

  234.  iptables -I INPUT  -d $TINCADR/$TINCPRE -j ACCEPT
    235. 

  235.  iptables -I OUTPUT -s $WIFIADR -o $TINCDEV -j ACCEPT
    236. 

  236.  iptables -I OUTPUT -s $TINCADR/$TINCPRE -j ACCEPT
    237. 

  237.  
    238. 

  238.  # Weiterleitungen zwischen Wifi- und Tinc-Interface erlauben
    239. 

  239.  iptables -I FORWARD -i $WIFIDEV -o $TINCDEV -j ACCEPT
    240. 

  240.  iptables -I FORWARD -i $TINCDEV -o $WIFIDEV -j ACCEPT
    241. 

  241.  
    242. 

  242.  # Weiterleitungen zwischen LAN- und Tinc-Interface erlauben
    243. 

  243.  iptables -I FORWARD -i $LANDEV -o $TINCDEV -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
    244. 

  244.  iptables -I FORWARD -i $TINCDEV -o $LANDEV -m state --state RELATED,ESTABLISHED -j ACCEPT
    245. 

  245.  
    246. 

  246.  # LAN Richtung Tinc natten
    247. 

  247.  iptables -t nat -A POSTROUTING -o $TINCDEV -s $LANNET/$LANPRE -j MASQUERADE
    248. 

  248.  
    249. 

  249.  # Interface aktivieren
    250. 

  250.  ip link set dev $TINCDEV up
    251. 

  251. 

  252. ==== Shutdownscript "tinc-down" ====
    253. 

  253. 

  254.  vi /etc/tinc/'''''12_7'''''/tinc-down
    255. 

  255. 

  256.  #!/bin/sh
    257. 

  257.  # This file closes down the tunnel device und removes corresponding firewall rules.
    258. 

  258.  
    259. 

  259.  # -- Konfiguration Start --
    260. 

  260.  TINCPRT=655
    261. 

  261.  TINCADR=104.61.2.'''''12'''''       # <-- diese IP auch anpassen!
    262. 

  262.  TINCBRC=104.61.2.255
    263. 

  263.  TINCPRE=24
    264. 

  264.  TINCDEV=$INTERFACE
    265. 

  265.  # -- Konfiguration Ende --
    266. 

  266.  
    267. 

  267.  # Netzparameter laden
    268. 

  268.  eval $(/usr/bin/netparam)
    269. 

  269.  
    270. 

  270.  # Tinc Interface deaktivieren
    271. 

  271.  ip link set $TINCDEV down
    272. 

  272.  
    273. 

  273.  # Input auf den Tinc-Port aus dem WAN verbieten
    274. 

  274.  iptables -D INPUT -i $WANDEV -p udp --dport $TINCPRT -j ACCEPT
    275. 

  275.  iptables -D INPUT -i $WANDEV -p tcp --dport $TINCPRT -j ACCEPT
    276. 

  276.  
    277. 

  277.  # Input / Output auf dem Tinc-Interface verbieten
    278. 

  278.  iptables -D INPUT  -d $WIFIADR -i $TINCDEV -j ACCEPT
    279. 

  279.  iptables -D INPUT  -d $TINCADR/$TINCPRE -j ACCEPT
    280. 

  280.  iptables -D OUTPUT -s $WIFIADR -o $TINCDEV -j ACCEPT
    281. 

  281.  iptables -D OUTPUT -s $TINCADR/$TINCPRE -j ACCEPT
    282. 

  282.  
    283. 

  283.  # Weiterleitungen zwischen Wifi- und Tinc-Interface verbieten
    284. 

  284.  iptables -D FORWARD -i $WIFIDEV -o $TINCDEV -j ACCEPT
    285. 

  285.  iptables -D FORWARD -i $TINCDEV -o $WIFIDEV -j ACCEPT
    286. 

  286.  
    287. 

  287.  # Weiterleitungen zwischen LAN- und Tinc-Interface verbieten
    288. 

  288.  iptables -D FORWARD -i $LANDEV -o $TINCDEV -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
    289. 

  289.  iptables -D FORWARD -i $TINCDEV -o $LANDEV -m state --state RELATED,ESTABLISHED -j ACCEPT
    290. 

  290.  
    291. 

  291.  # LAN-Nat-Regel löschen
    292. 

  292.  iptables -t nat -D POSTROUTING -o $TINCDEV -s $LANNET/$LANPRE -j MASQUERADE
    293. 

  293.  
    294. 

  294.  # Interface dekonfigurieren
    295. 

  295.  ip addr del $TINCADR/$TINCPRE brd $TINCBRC dev $TINCDEV
    296. 

  296. 

  297. ==== Scripte ausführbar machen ====
    298. 

  298. 

  299. Die up- und down-Scripte ausführbar machen:
    300. 

  300.  chmod +x /etc/tinc/'''''12_7'''''/tinc-up
    301. 

  301.  chmod +x /etc/tinc/'''''12_7'''''/tinc-down
    302. 

  302. 

  303. ==== OLSR-Konfiguration für das Tinc-Interface ====
    304. 

  304. 

  305.  vi /etc/local.olsrd.conf-tinc0
    306. 

  306. 

  307.  Interface "tinc0"
    308. 

  308.  {
    309. 

  309.         HelloInterval		15.0
    310. 

  310.         HelloValidityTime	180.0
    311. 

  311.         TcInterval		10.0
    312. 

  312.         TcValidityTime		270.0
    313. 

  313.         MidInterval		30.0
    314. 

  314.         MidValidityTime		180.0
    315. 

  315.         HnaInterval		30.0
    316. 

  316.         HnaValidityTime		180.0
    317. 

  317.         Ip4Broadcast		104.61.2.255
    318. 

  318.  
    319. 

  319.         LinkQualityMult default 0.2
    320. 

  320.  }
    321. 

  321. 

  322. ==== Hinweis für den Betrieb hinter einem NAT ====
    323. 

  323. 

  324. Wenn der Rechner oder das Gerät, auf dem Tinc installiert ist hinter einer Firewall
    325. 

  325. hängt, muss zudem der TCP-Tunnelmodus aktiviert werden.
    326. 

  326. 

  327. Dazu sollten die Zertifikate der anderen Nodes bearbeitet werden:
    328. 

  328.  vi /etc/tinc/'''''12_7'''''/hosts/*
    329. 

  329. 

  330. Dort wird zusätzlich zu den Optionen für Adresse und Port folgende Zeile
    331. 

  331. vor dem Schlüssel eingefügt:
    332. 

  332.  TCPOnly = yes
    333. 

  333. 

  334. === Schlüssel erzeugen ===
    335. 

  335. 

  336.  tincd -n '''''12_7''''' -K
    337. 

  337. 

  338. Der generierte öffentliche Schlüssel sollte ungefähr so aussehen:
    339. 

  339.  cat /etc/tinc/'''''12_7'''''/hosts/'''''12_7'''''
    340. 

  340. 

  341.  -----BEGIN RSA PUBLIC KEY-----
    342. 

  342.  MIGJAoGBAKHymf+vQFBJzKUswWgCqfz9y0vCAtsH68ejWYwo2HUxEW3OZoPpEAb4
    343. 

  343.  belX9d9xs4PCU22O6lUvIbmUl4UGXXFKiWxhbY15K0+rzrJfdw1mfwo5uveaCGwu
    344. 

  344.  gzQ0hFpactWfL3EufX/fBG4tRreYQH3hDA2nLqam6ee0Gp46ZWr5AgMBAAE=
    345. 

  345.  -----END RSA PUBLIC KEY-----
    346. 

  346. 

  347. ==== Die Schlüsseldateien austauschen ====
    348. 

  348. 

  349. Beispiel für einen Schlüsselaustausch per ssh:
    350. 

  350. 

  351. Zertifikate von anderem Node auf den eig. Node kopieren
    352. 

  352.  scp root@104.61.x.y:/etc/tinc/'''''x_y'''''/hosts/* tinc/'''''12_7'''''/hosts/ 
    353. 

  353. 

  354. Eigenes Zertifikat auf anderen Node kopieren
    355. 

  355.  scp /etc/tinc/'''''12_7'''''/hosts/'''''12_7''''' root@104.61.x.y:/etc/tinc/'''''x_y'''''/hosts
    356. 

  356. 

  357. *Hinweis: Keys müssen mit anderen Nodes ausgestauscht werden (mind. 2 - mit Angabe der Nodes unter /etc/tinc/x_y/tinc.conf und ConnectTo = a_b, sowie ablegen deren Schlüssel unter tinc/x_y/hosts/a_b), ansonsten kann Tinc keine Verbindung aufbauen - hierzu hilft euch ein wenig das [http://wiki.leipzig.freifunk.net/Projekt2 Projekt 2], dort könnt ihr euch die Schlüssel von den anderen Tinc-Nodes kopieren und auch eure erzeugten '''öffentlichen'''-Schlüssel (in der Node unter /etc/tinc/x_y/hosts/x_y zu finden x_y = wieder eure Node-IP) ablegen. Nun müsst ihr nur noch die Tinc-Nodeadmins um Aufname eurer im Wiki abgelegten Keys  bitten, am besten über E-Mail oder im [http://wiki.leipzig.freifunk.net/Jabber Jabber].
    358. 

  358. 

  359. === Tinc beim Booten automatisch starten ===
    360. 

  360. 

  361. Damit Tinc beim Booten automatisch gestartet wird, muss nun
    362. 

  362. eine Datei mit dem Namen der verwendeten Konfiguration angelegt werden:
    363. 

  363.  vi /etc/tinc/nets.boot
    364. 

  364. Dort wird der Name der Konfiguration eingetragen:
    365. 

  365.  '''''12_7'''''
    366. 

  366. 

  367. === Konfiguration überprüfen ===
    368. 

  368. 

  369. Nach dem Anlegen der Konfiguration sollte jetzt folgendes Verzeichnis-Layout existieren:
    370. 

  370.  /etc/tinc/
    371. 

  371.  /etc/tinc/nets.boot
    372. 

  372.  /etc/tinc/'''''12_7'''''/
    373. 

  373.  /etc/tinc/'''''12_7'''''/tinc.conf
    374. 

  374.  /etc/tinc/'''''12_7'''''/tinc-up
    375. 

  375.  /etc/tinc/'''''12_7'''''/tinc-down
    376. 

  376.  /etc/tinc/'''''12_7'''''/rsa_key.priv
    377. 

  377.  /etc/tinc/'''''12_7'''''/hosts/
    378. 

  378.  /etc/tinc/'''''12_7'''''/hosts/'''''12_7'''''
    379. 

  379.  /etc/tinc/'''''12_7'''''/hosts/...
    380. 

  380. 

  381. === Tinc-VPN starten ===
    382. 

  382. 

  383. Nachdem die Konfiguration beendet wurde kann nun Tinc gestartet werden:
    384. 

  384.  /etc/init.d/S52tinc start
    385. 

  385. 

  386. OLSR muss auch neu gestartet werden damit das neue Tinc-Interface aufgenommen wird:
    387. 

  387.  /etc/init.d/S53olsrd restart
    388. 

  388. 

  389. In den Logdateien sollten sich nun Meldungen vom Tinc-Daemon finden:
    390. 

  390.  logread -f
    391. 

  391. 

  392. === Tinc-VPN-Installation sichern/wiederherstellen ===
    393. 

  393. 

  394. In der Node unter [Verwalten] > [Backup] > Backup-Muster:
    395. 

  395.        /etc/tinc/*
    396. 

  396.        /etc/local.olsrd.conf*
    397. 

  397. 

  398. ergänzen und auf "Jetzt sichern" drücken. 
    399. 

  399. *vor einem Firmewareupdate wieder/nochmal "Jetzt sichern" wählen (evtl. die Pfade für die Kabelkopplung oder andere Pakete/Verzeichnisse ergänzen) 
    400. 

  400. *Firmwareupdate durchführen, anschließend bei der IP-Vergabe den '''''Expertenmodus''''' wählen und dort das Häckchen bei '''''gesicherte Daten wiederherstellen''''' (evtl. noch LAN-/WAN-Einstellungen beibehalten) setzen und neustarten
    401. 

  401. *anschließend noch unter '''Software 2''' wieder das Paket freifunk-tinc-de installieren und Node mit dem einfachen Neustart starten
    402. 

  402. *nun sollten alle Tinc-VPN-Nachbarn wieder vorhanden sein (sofern ihr keinen Pfad beim Sichern vergessen habt - Beachtung liegt bei Kabelkopplungen und Firewallregeln für neue Interfaces wie z.B. bei WAN-LAN-Kopplungen, bei WAN-WAN könnt ihr das mit den Häcken drunter (Http / Https / Ssl / Ping) setzen)
    403.