ffdo
/
wiki


			
							123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137
							## Feste IP Adresse Anlegen 

Um Fehler auszuschließen am besten statische IP-Adressen benutzen, die außerhalb des Bereiches vom lokalen DHCP-Servers (zB. F!Box) liegen.Default route dann manuell zum lokalen uplink gateway (zB zur F!Box) setzen.  
Konfiguration rebootfest machen (/etc/rc.conf bei BSD, /etc/network/interfaces bei Debian). Die im Folgenden als Beispiel verwendeten private-IP-Adressen natürlich durch die real konfigurierten ersetzen. Wenn man die Netzwerkkonfiguration der APU versemmelt und nicht mehr per ssh drankommt, gibt's ja zum Glück noch die serielle
Verbindung:-)

In meinem Fall habe ich mich entschieden für die Adressen:
 
Apu (Debian)  : 192.168.1.100  
Laptop        : 192.168.1.99  

## Verzeichnisstruktur anlegen 

sudo mkdir -p /etc/tinc/lan/hosts/  # für ein lokales Netz  
sudo mkdir -p /etc/tinc/wan/hosts/  # für ein Netz mit öffentlicher ip  

Unter OpenBSD sind die Pfade hier zu finden: @hoerde:/usr/local/etc/tinc/...  
Der Parameter -p unterdrückt die Anzeige eines Fehlers, wenn /lan/ und/oder /hosts/ schon vorhanden sind; sonst werden die Verzeichnisse lan und hosts erzeugt.

## Konfigurationsdateien "lan" und "wan" anlegen 

Nun müssen eine Reihe von Konfigurationsdateien und -scripten angelegt werden damit Tinc ordnungsgemäß
seinen Dienst verrichtet.  
Die Inhalte und das Vorgehen werden weiter unten beschrieben.  

- /etc/tinc/lan/tinc.conf
- /etc/tinc/lan/rsa_key.priv (wird mit tincd erzeugt)
- /etc/tinc/lan/tinc-up 
- /etc/tinc/lan/hosts/apu
- /etc/tinc/lan/hosts/laptop  
Dabei sind hosts/apu und hosts/laptop auf beiden Geräten identisch, die anderen gerätespezifisch.  
Der Pfad lautet entweder /etc/tinc/lan/ oder /etc/tinc/wan/.  


## Tinc-Konfigurationsdatei 

vi /etc/tinc/lan/tinc.conf  
tinc Instanz aufsetzen (Beschreibung für tinc 1.0.x) Tipp! Für das Übertragen der Einstellungen am besten jeweils mit dem Befehl "cat" arbeiten.  
Für die tinc-Instanz mit dem Namen "lan" ungefähr Folgendes in die config Datei vi etc/tinc/lan/tinc.conf schreiben:

 Name = apu  
 Device = /dev/net/tun  
 Mode = switch  
 AddressFamily = ipv4  
 BindToAddress = 192.168.1.100  
 Port = 10001  
 MaxTimeout = 30  
 GraphDumpFile = /var/run/tinc.lan.dot  
 #LocalDiscovery = yes  
 ConnectTo = laptop  

Und auf dem Laptop ähnliche Daten, bis auf: "Name,BindToAddress und ConnectTo".

Name = laptop  
Device = /dev/net/tun  
Mode = switch  
AddressFamily = ipv4  
BindToAddress = 192.168.1.99  
Port = 10001  
MaxTimeout = 30  
GraphDumpFile = /var/run/tinc.lan.dot  
#LocalDiscovery = yes  
ConnectTo = apu  

## Auf beiden Geräten die Schlüsselpaare generieren:
Anmerkung: bei mir funktionierte der Befehl nur mit Angabe des Pfades.

tincd -n lan -K 4096 oder mit Pfad  
/usr/sbin/tincd -n lan -K 4096  
ebenso für wan:  
tincd -n wan -K 4096  

Die Ausgabe sieht etwa so aus:  
Generating 4096 bits keys:  
.............................................................................  
.............................................................................  
............................................................................................++++ p  
...........................................................++++ q  
Done.  
Please enter a file to save private RSA key to [/etc/tinc/lan/rsa_key.priv]:  
...  

## /etc/tinc/wan/tinc-up erstellen  
In tinc.conf haben wir das Device /dev/net/tun festgelegt. Dieses wird unter Debian beim Aufruf von tincd erstellt  
und muss aktiviert werden. Dies geschieht mit der Datei tinc-up.  

!/bin/sh   # Diese Datei ist ausführbar.  
IP=193.43.220.165 # Die Variable IP wird gesetzt.  
# Diese öffentliche ip ist die des tun Gerätes für das wan. Debian erstellt also 2 unabhängige Geräte tun,  
# einmal im Verzeichnis /etc/tinc/lan/ für das lan und dann für das wan, beide müssen aktiviert werden.  
# Die ip für das tun im lan ist z.B. 192.168.40.1  
NETLEN=27  
# Die Variable $NETLEN wird gesetzt, sie bestimmt die Netzmaske, also 3 x 8 Bit -1.  

ifconfig `$INTERFACE $IP/$NETLEN` mtu 1504  
# der Wert von INTERFACE ist wan. Die Netztmaske $ip/$NETLEN ist 193.43.220.165/27.  
# Das Setzen der MTU ist besonders wichtig, voreingestellt sind 1500, hier werden aber  
# wegen der vpn im Nordstadtrechner 4 Byte mehr benötigt, also 1504.  
Nochmal ohne Kommentare:  
`IP=193.43.220.165`   
`NETLEN=27`  
`ifconfig $INTERFACE $IP/$NETLEN mtu 1504`  

## Die IP-Adressen eintragen  
Dann in den public key Dateien ..  
vi etc/tinc/lan/hosts/apu  
und  
vi etc/tinc/lan/hosts/laptop  
die IP-Adresse des hosts oben ergänzen:
hier zum Beispiel die Änderung für den Apu

Address = 192.168.1.100  
Port = 10001  
für das 192er Netz und  
Address = 130.180.53.22 #hoerde  
Port = 661

-----BEGIN RSA PUBLIC KEY-----  
MIICCgKCAgEAwirLKOYuwraf+MneMpzWqKhv8qCcZCC7yFAN2y+OnT5lXzV/LgwQ  
[...]  

Nun die Datei .../tinc/lan/hosts/apu von der APU an die gleiche Stelle
auf dem Laptop kopieren.  
Und umgekehrt .../laptop auf die APU.  
Für das wan netz müssen entsprechend die publickey dateien der partner (hoerde, nordstadt,...) auf die APU kopiert werden.     
Genauso muss die publickey Datei der APU nach hoerde und nordstadt kopiert werden.  

## Funktionstest
In Debian kann man mit systemctl überprüfen, ob tinc automatisch nach einem Reboot läuft und ob es nach dem Einstellen der Schlüssel  
auch funktioniert:  
`:sudo systemctl status tinc@lan` für das lan  
`:sudo systemctl status tinc@wan` für das wan  
oder nach Änderungen:  
`:sudo systemctl restart tinc@lan` für das lan  
`:sudo systemctl restart tinc@wan` für das wan