Kezdőlap Felfedezés Súgó
Bejelentkezés
ffdo
/
wiki
2
0
Másolás 0
Fájlok Problémák 0 Beolvasztási kérések 0 Wiki
Fa: f305d8da62
Branch-ok Tag-ek
wiki
/
Community
/
Bildung
/
FF@home
/
12 Debian 10 mit Tinc und Bird.page

12 Debian 10 mit Tinc und Bird.page 11 KB
Előzmények Nyers

123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181182183184185186187188189190191192193194195196197198199200201202203204205206207208209210211212213214215216217218219220221222223224225226227228229230231232233234235236237238239240241242243244245246247248249250251252253254255256257258259260261262263264265266267268269270271272273274275276277278279280281282283284285286287288289290291292293294295296297298299300301302303304305306307308309310311312313314315316317318319320321322323324325326327328329330331332333334335336337338339340341342343344345346347348349350351352353354355356357358359360361362363364365366367368369370371372373374375376377378379380381382383384385386387388389390391392393394395396397398399400401402403404405406407408409410 
  1. # Software 
    2. 

  2. - Debian 11 (bullseye), Debian 12 (bookworm) und auf dem Laptop Ubuntu 18.04, inzwischen 22.04
    3. 

  3. - Tinc 1.0.36 oder tinc 1.1pre18
    4. 

  4. - Bird 2.07  
    5. 

  5. 

  6.      ***** Bitte beachten, dass Bird2 installiert wird. Bei Installation von Bird1 erfolgt nur eine kryptische Fehlermeldung und Bird startet nicht.*****  
    7. 

  7. 

  8. 

  9. # Installation
    10. 

  10. - Installation des Betriebssystems wird hier nicht beschrieben.
    11. 

  11. - Hier werden die Schritte nach der Installation von Debian 11 (bullseye) zum Aufbau eines VPN mit Tinc und Bird beschrieben.
    12. 

  12. - Für einige Befehle sind root Rechte erforderlich.
    13. 

  13. - Tinc 1.0.36 und bird 2 können aus dem Debian Repository installiert werden mit
    14. 

  14. 

  15.     sudo apt install tinc bird2
    16. 

  16. 

  17. - Tinc 1.1pre18 ist mit erweiterter control Schnittstelle tinc1.0.36 vorzuziehen und kann aus den Sourcen kompiliert werden:   
    18. 

  18.     Dafür sind Pakete der Entwicklungsumgebung für Debian erforderlich    
    19. 

  19.     sudo apt install build-essential libncurses-dev libreadline-dev liblzo2-dev libssl-dev zlib1g-dev texinfo 
    20. 

  20. 

  21.     Dann die tinc sourcen runterladen und entpacken      
    22. 

  22.     wget http://tinc-vpn.org/packages/tinc-1.1pre18.tar.gz   
    23. 

  23.     tar zxvf tinc-1.1pre18.tar.gz  
    24. 

  24.  
    25. 

  25.     In das von dem vorigen Befehl angelegte Verzeichnis wechseln:   
    26. 

  26.     cd tinc-1.1pre18 und configure / make / make install aufrufen
    27. 

  27.    
    28. 

  28.     ./configure --prefix=/usr --sysconfdir=/etc --runstatedir=/run --localstatedir=/var --with-systemd  
    29. 

  29.     (nicht mit copy und paste kopierbar!!!, führt zu Fehlermeldungen)
    30. 

  30. 

  31.     Falls Fehler auftreten, fehlende Pakete in der xxx-dev Version nachinstallieren, dann  
    32. 

  32.     make  
    33. 

  33.       
    34. 

  34.     sudo make install  
    35. 

  35. Damit alles richtig angelegt wird, auch die systemctl systemd Steuerung, muss tinc 1.1pre18 mit den Parametern oben konfiguriert werden:  
    36. 

  36. 

  37. 

  38. # Allgemein
    39. 

  39. - Informationen auf dieser Seite sind teilweise von anderen Wiki-Seiten übernommen.
    40. 

  40. 

  41. 

  42. Es werden für alle Interfaces statische IPV4 Adressen verwendet, auf dem Laptop ist auch DHCP aktiv.
    43. 

  43. Die hier verwendeten Adressen sind dem Wiki [IP-Adressen](40 IP-Adressen ff@home) für berghofen entnommen.
    44. 

  44. 

  45. # Hardware
    46. 

  46. - APU mit Debian 11 (Bullseye) ohne grafische Oberfläche 
    47. 

  47. - Laptop mit Ubuntu 22.04
    48. 

  48. 

  49. Berghofen, wie auch die anderen Standorte, besteht jeweils mindestens aus der APU und einem Laptop sowie einem Internetrouter (F!Box).  
    50. 

  50. An jedem Standort gibt es mehrere Tincverbindungen:  
    51. 

  51.  - lan: zwischen APU und Laptop  
    52. 

  52.  - wan: zwischen APU und den anderen Standorten  
    53. 

  53.  - wan: zwischen Laptop und den anderen Standorten  
    54. 

  54. 

  55. # Dateien der APU
    56. 

  56. /etc/network/interfaces
    57. 

  57.    
    58. 

  58.     # This file describes the network interfaces available on your system
    59. 

  59.     # and how to activate them. For more information, see interfaces(5).
    60. 

  60. 

  61.     source /etc/network/interfaces.d/*
    62. 

  62. 

  63.     # The loopback network interface
    64. 

  64.     auto lo
    65. 

  65.     iface lo inet loopback
    66. 

  66.         	up ip addr add 193.43.220.130/32 dev lo
    67. 

  67.     	
    68. 

  68.     # The primary network interface
    69. 

  69.     allow-hotplug enp1s0
    70. 

  70.     iface enp1s0 inet static
    71. 

  71.     	address 192.168.178.51/24
    72. 

  72.     	
    73. 

  73.     	#default gateway wird von bird erledigt
    74. 

  74.             # gateway 192.168.178.254 
    75. 

  75.     	broadcast 192.168.178.255
    76. 

  76.     	# dns-* options are implemented by the resolvconf package, if installed
    77. 

  77.     	dns-nameservers 192.168.178.254
    78. 

  78.     	dns-search fritz.box
    79. 

  79.     	up ip rule add from all iif enp1s0 lookup 1 prio 1000 || true
    80. 

  80.             up ip rule add from 192.168.178.0/24 lookup 1 prio 1010 || true
    81. 

  81. 

  82.     allow-hotplug wan
    83. 

  83.     iface wan inet static
    84. 

  84.     	address 193.43.220.162/27
    85. 

  85.     	broadcast 193.43.220.191
    86. 

  86.     	mtu 1504
    87. 

  87. 

  88.     allow-hotplug lan
    89. 

  89.     iface lan inet static
    90. 

  90.     	address 192.168.34.1/24
    91. 

  91.     	broadcast 192.168.34.255
    92. 

  92.     	mtu 1504
    93. 

  93. 

  94.     #allow-hotplug wlp5s0 # wlan z.Zt. nicht verwendet
    95. 

  95.     #iface wlp5s0 inet dhcp
    96. 

  96. 

  97. Die Schnittstellen der Interfacesdatei sind:   
    98. 

  98. - lo Standardloopback   
    99. 

  99. - enp1s0 ethernet    
    100. 

  100. - wan virtuelle Tinc Schnittstelle   
    101. 

  101. - lan virtuelle Tinc Schnittstelle  
    102. 

  102. - wlp5s0 nicht verwendet, auskommentierte WLAN Schnittstelle  
    103. 

  103. 

  104. ## Für die Datenweitergabe zwischen den Netzen ist der folgende Eintrag nötig. 
    105. 

  105. 

  106. /etc/sysctl.conf
    107. 

  107. 

  108.     # Uncomment the next line to enable packet forwarding for IPv4
    109. 

  109.     net.ipv4.ip_forward=1
    110. 

  110. 

  111. 

  112. 

  113. # Tinc Verzeichnistruktur Tinc APU und Laptop Einstellungen
    114. 

  114. 

  115. 

  116.     etc/tinc/
    117. 

  117.     |-- lan
    118. 

  118.     |   |-- hosts
    119. 

  119.     |   |   |-- berghofen
    120. 

  120.     |   |   `-- berglap
    121. 

  121.     |   |-- rsa_key.priv
    122. 

  122.     |   |-- ed25519_key.priv  ## nur bei tinc 1.1
    123. 

  123.     |   `-- tinc.conf
    124. 

  124.     `-- wan   
    125. 

  125.         |-- hosts
    126. 

  126.         |   |-- berghofen 
    127. 

  127.         |   |-- berglap
    128. 

  128.         |   |-- hoerde
    129. 

  129.         |   `-- nordstadt
    130. 

  130.         |-- rsa_key.priv
    131. 

  131.         |-- ed25519_key.priv  ## nur bei tinc 1.1
    132. 

  132.         `-- tinc.conf
    133. 

  133. 

  134. /etc/tinc/lan/tinc.conf der APU berghofen
    135. 

  135. 

  136.     ## APU lan tinc.conf
    137. 

  137.     Name = berghofen
    138. 

  138.     Device = /dev/net/tun
    139. 

  139.     Mode = switch
    140. 

  140.     AddressFamily = ipv4
    141. 

  141.     BindToAddress = 192.168.178.51
    142. 

  142.     Port = 10001
    143. 

  143.     MaxTimeout = 30
    144. 

  144.     GraphDumpFile = /var/run/tinc.lan.dot
    145. 

  145.     ConnectTo = berglap
    146. 

  146. 

  147. /etc/tinc/wan/tinc.conf der APU berghofen
    148. 

  148. 

  149.     ## APU wan tinc.conf
    150. 

  150.     Name = berghofen
    151. 

  151.     Device = /dev/net/tun
    152. 

  152.     Mode = switch
    153. 

  153.     AddressFamily = ipv4
    154. 

  154.     BindToaddress = 192.168.178.51
    155. 

  155.     Port = 661
    156. 

  156.     MaxTimeout = 30
    157. 

  157.     GraphDumpFile = /var/run/tinc.wan.dot
    158. 

  158.     ConnectTo = hoerde
    159. 

  159.     ConnectTo = nordstadt
    160. 

  160. 

  161. /etc/tinc/lan/tinc.conf des Laptop berglap
    162. 

  162. 

  163.     ## Laptop lan tinc.conf
    164. 

  164.     Name = berglap
    165. 

  165.     Device = /dev/net/tun
    166. 

  166.     Mode = switch
    167. 

  167.     AddressFamily = ipv4
    168. 

  168.     BindToAddress = 192.168.178.52
    169. 

  169.     Port = 10001
    170. 

  170.     MaxTimeout = 30
    171. 

  171.     GraphDumpFile = /var/run/tinc.lan.dot
    172. 

  172.     ConnectTo = berghofen
    173. 

  173. 

  174. /etc/tinc/wan/tinc.conf des Laptop berglap
    175. 

  175. 

  176.     ## Laptop wan tinc.conf
    177. 

  177.     Name = berglap
    178. 

  178.     Device = /dev/net/tun
    179. 

  179.     Mode = switch
    180. 

  180.     AddressFamily = ipv4
    181. 

  181.     BindToaddress = 192.168.178.52
    182. 

  182.     Port = 661
    183. 

  183.     MaxTimeout = 30
    184. 

  184.     GraphDumpFile = /var/run/tinc.wan.dot
    185. 

  185.     ConnectTo = hoerde
    186. 

  186.     ConnectTo = nordstadt
    187. 

  187. 

  188. Da auf jedem Rechner 2 Tincinstanzen an demselben Interface laufen, werden sie durch unterschiedliche Ports getrennt: WAN mit port 661, LAN mit Port 10001.
    189. 

  189. 

  190. Inhalt der hosts Dateien
    191. 

  191. 

  192. Die Public und private Keys werden von Tinc erzeugt: 
    193. 

  193. 

  194. bei tinc 1.0.36:
    195. 

  195. 

  196.     tincd -n wan -K 4096
    197. 

  197.     tincd -n lan -K 4096 
    198. 

  198.     
    199. 

  199. bei tinc 1.1:
    200. 

  200. 

  201.     tinc -n wan generate-keys 4096
    202. 

  202.     tinc -n lan generate-keys 4096
    203. 

  203. 

  204. Die ED25519PublicKey Zeile wird nur bei tinc 1.1 erzeugt/verwendet.
    205. 

  205. 

  206. Für hosts, die per ConnectTo in der tinc.conf angesprochen werden, ist in der zugehörigen hosts Datei die IPadresse des hosts und der port erforderlich für die aktive Verbindungsaufnahme. Mit anderen Worten: wenn Gerät1 zu Gerät2 verbinden will, müssen im öffentlichen Schlüssel von Gerät2, der von Gerät2 auf Gerät1 kopiert wurde, die Adresse und der Port des Zielrechners, also von Gerät2 eingefügt werden.   
    207. 

  207. 

  208. /etc/tinc/lan/hosts/berghofen auf APU und laptop
    209. 

  209. 

  210.     Address = 192.168.178.51
    211. 

  211.     Port = 10001
    212. 

  212. 

  213.     -----BEGIN RSA PUBLIC KEY-----
    214. 

  214.      Schlüsseldaten 
    215. 

  215.     -----END RSA PUBLIC KEY-----
    216. 

  216.     Ed25519PublicKey = WmAmMY95+B/A9FDQz7ZiV6WQcG2qAUUclRP52dwXSdD
    217. 

  217. 

  218. 

  219. /etc/tinc/lan/hosts/berglap auf APU und laptop
    220. 

  220. 

  221.     Address = 192.168.178.52
    222. 

  222.     Port = 10001
    223. 

  223. 

  224.     -----BEGIN RSA PUBLIC KEY-----
    225. 

  225.      Schlüsseldaten 
    226. 

  226.     -----END RSA PUBLIC KEY-----
    227. 

  227.     Ed25519PublicKey = WCkEAe/gohI7JAGLiHPKdE+ayxYrG1wuTfQQijAROuD
    228. 

  228. 

  229. 

  230. /etc/tinc/wan/hosts/berghofen auf APU
    231. 

  231. 

  232.     -----BEGIN RSA PUBLIC KEY-----
    233. 

  233.      Schlüsseldaten 
    234. 

  234.     -----END RSA PUBLIC KEY-----
    235. 

  235.     Ed25519PublicKey = Tkhp7t+MsmQKsWIkO5qimTKoWdkvRigKwctxtfOu2MF
    236. 

  236. 

  237. 

  238. /etc/tinc/wan/hosts/hoerde auf APU und berglap
    239. 

  239. 

  240.     Address = 130.180.53.22
    241. 

  241.     Port = 661
    242. 

  242. 

  243.     -----BEGIN RSA PUBLIC KEY-----
    244. 

  244.      Schlüsseldaten
    245. 

  245.     -----END RSA PUBLIC KEY-----
    246. 

  246.     Ed25519PublicKey = MjaltxtfPP1SdHgNH/dUuHmbYDXFdZMEUUbl0Qi/YCA
    247. 

  247. 

  248. 

  249. /etc/tinc/wan/hosts/nordstadt auf APU und berglap
    250. 

  250. 

  251.     Address = 91.204.4.53
    252. 

  252.     Port = 661
    253. 

  253. 

  254.     -----BEGIN RSA PUBLIC KEY-----
    255. 

  255.      Schlüsseldaten
    256. 

  256.     -----END RSA PUBLIC KEY-----
    257. 

  257.     Ed25519PublicKey = 4znU87BKnctOFb+/JQhIltGtYN3h3czOVInolRPWgvA
    258. 

  258. 

  259. /etc/tinc/wan/hosts/berglap auf berglap
    260. 

  260. 

  261.     -----BEGIN RSA PUBLIC KEY-----
    262. 

  262.      Schlüsseldaten
    263. 

  263.     -----END RSA PUBLIC KEY-----
    264. 

  264.     Ed25519PublicKey = 4znU87BKnctOFb+/JQhIltGtYN3h3czOVInolRPWgvA
    265. 

  265. 

  266. Die Tinc Instanzen können auf APU und berglap gestartet werden mit:
    267. 

  267. 

  268.     systemctl start tinc
    269. 

  269.     systemctl start tinc@lan
    270. 

  270.     systemctl start tinc@wan
    271. 

  271. 

  272. Beispielhaft tinc@lan abfragen:
    273. 

  273. 

  274. systemctl status tinc@lan   
    275. 

  275. 

  276.     tinc@lan.service - Tinc net lan
    277. 

  277.      Loaded: loaded (/lib/systemd/system/tinc@.service; enabled; vendor preset: enabled)
    278. 

  278.      Active: active (running) since Tue 2022-03-29 21:26:01 CEST; 1 months 0 days ago
    279. 

  279.        Docs: info:tinc
    280. 

  280.              man:tinc(8)
    281. 

  281.              man:tinc.conf(5)
    282. 

  282.              http://tinc-vpn.org/docs/
    283. 

  283.     Main PID: 472 (tincd)
    284. 

  284.       Tasks: 1 (limit: 4657)
    285. 

  285.      Memory: 4.1M
    286. 

  286.         CPU: 22min 34.347s
    287. 

  287.      CGroup: /system.slice/system-tinc.slice/tinc@lan.service
    288. 

  288.              └─472 /usr/sbin/tincd -n lan -D
    289. 

  289. ...
    290. 

  290. Dabei ist das enabled in der Loaded Zeile wichtig.  
    291. 

  291. 

  292. Falls die Statusabfrage eine Fehlermeldung "Bogus data ..." bringt, alle Schlüssel,  
    293. 

  293. also auch die privaten, löschen und wie oben beschrieben neu erzeugen und verteilen.  
    294. 

  294. 

  295. Um die Programme automatisch nach einem reboot zu starten, eventuell
    296. 

  296. falls nicht durch die Installation schon eingerichtet:
    297. 

  297. 

  298.     systemctl enable tinc
    299. 

  299.     systemctl enable tinc@lan
    300. 

  300.     systemctl enable tinc@wan
    301. 

  301. 

  302. 

  303. # Bird auf der APU berghofen und Laptop berglap
    304. 

  304. 

  305. /etc/iproute2/rt_tables  identisch auf APU / laptop
    306. 

  306. 

  307.     #
    308. 

  308.     # reserved values
    309. 

  309.     #
    310. 

  310.     255	    local
    311. 

  311.     254	    main
    312. 

  312.     253	    default
    313. 

  313.     0	    unspec
    314. 

  314.     #
    315. 

  315.     # local
    316. 

  316.     #
    317. 

  317.     1       tinc
    318. 

  318. 

  319. 

  320. - Die bird.conf des laptops ist bis auf andere IP Adressen identisch
    321. 

  321. 

  322. /etc/bird/bird.conf
    323. 

  323. 

  324.     # bird.conf Alle Anpassungen als defines
    325. 

  325.     # damit keine übersehen wird
    326. 

  326. 

  327.     define publicIP = 193.43.220.130;
    328. 

  328.     define publicIP_32 = 193.43.220.130/32;
    329. 

  329.     define isprouter = 192.168.178.254;
    330. 

  330. 

  331.     # ab hier passt alles für unsere lan/wan Netze
    332. 

  332. 

  333.     router id publicIP;
    334. 

  334.     
    335. 

  335.     # log syslog { debug, info, trace, remote }; /* optional */
    336. 

  336. 

  337.     define AS35675_all = [
    338. 

  338.             193.43.220.0/23
    339. 

  339.             ];
    340. 

  340. 

  341.     define AS35675_any = [
    342. 

  342.             193.43.220.0/23+
    343. 

  343.             ];
    344. 

  344. 

  345.     protocol device device0 {
    346. 

  346.             scan time 10;
    347. 

  347.     }
    348. 

  348. 

  349. 

  350.     /* wg. BSD: */
    351. 

  351.     protocol direct direct0 {
    352. 

  352.             ipv4;
    353. 

  353.     }
    354. 

  354. 

  355.     protocol kernel kernel0 {
    356. 

  356.             learn on;
    357. 

  357.             scan time 120;
    358. 

  358.             ipv4 {
    359. 

  359.                     import all;
    360. 

  360.                     export where source != RTS_DEVICE;
    361. 

  361.             };
    362. 

  362.     }
    363. 

  363. 

  364.     # erstellt neue routing tabelle 
    365. 

  365.     ipv4 table fib1table;
    366. 

  366. 

  367.     #RTS route source
    368. 

  368.     #import / export
    369. 

  369.     protocol kernel kernel1 {
    370. 

  370.             kernel table 1;
    371. 

  371.             learn on;
    372. 

  372.             scan time 120;
    373. 

  373.             ipv4 {
    374. 

  374.                     table fib1table;
    375. 

  375.                     import all;
    376. 

  376.                     export where source != RTS_DEVICE;
    377. 

  377.             };
    378. 

  378.     }
    379. 

  379. 

  380.     protocol static static1 {
    381. 

  381.             ipv4 {
    382. 

  382.                     table fib1table;
    383. 

  383.             };
    384. 

  384.             route 0.0.0.0/0 via isprouter; /* zur F!Box */
    385. 

  385.     }
    386. 

  386. 

  387.     protocol ospf ospfwan {
    388. 

  388.             ipv4 {
    389. 

  389.                     import all;
    390. 

  390.                     export where net ~ AS35675_any;
    391. 

  391.             };
    392. 

  392.             area 0.0.0.0 {
    393. 

  393.                     stubnet publicIP_32 { cost 1; };
    394. 

  394.                     interface "wan" {    
    395. 

  395.                             type broadcast;
    396. 

  396.                             cost 100;
    397. 

  397.                     };
    398. 

  398.                     interface "lan" {
    399. 

  399.                             type broadcast;
    400. 

  400.                             cost 10;
    401. 

  401.                     };
    402. 

  402.             };
    403. 

  403.     }
    404. 

  404. 

  405. 

  406. Den bird starten und eventuell rebootfest machen:
    407. 

  407. 

  408.     systemctl start bird
    409. 

  409.     systemctl enable bird
    410. 

  410.