Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- vpn [23.10.2017 15:19] – [tinc] thooge
+++ vpn [13.08.2024 09:59] (aktuell) – [Wireguard] thooge
@@ Zeile 5: / Zeile 5: @@
 Mit ''tinc'' können mehrere Server zu einem gemeinsamen internen Netzwerk zusammengeschaltet werden.
 Das Netzwerk bekommt einen Namen, der auch für das jeweilige Netzwerkinterface gilt.
+Die nachfolgende Anleitung soll nur erste Hinweise geben, es handelt sich *nicht* um
+eine vollständige Installationsdokumentation.
 Netzwerk anlegen, die folgenden Beispiele beziehen sich dann immer auf den im folgenden verwendeten Namen.
@@ Zeile 11: / Zeile 14: @@
 mkdir ffpi
 chmod 700 ffpi
+cd ffpi
+mkdir hosts
+chmod 700 hosts
 </code>
+<file conf /etc/tinc/ffpi/tinc.conf>
+Name = host1
+Mode = Switch
+</file>
+<file bash tinc-up>
+#!/bin/sh
+ifconfig $INTERFACE 192.168.42.1 netmask 255.255.255.0 up
+</file>
+<file bash tinc-down>
+#!/bin/sh
+ifconfig $INTERFACE down
+</file>
 Schlüssel erstellen, Ausgabe ist ein Schlüsselpaar im angegebenen Netzwerkverzeichnis
@@ Zeile 19: / Zeile 40: @@
 </code>
+Abschließend wird das Netzwerk noch in die Daten ''nets.boot'' eingetragen, damit die
+Verbindungen automatisch gestartet werden.
+Im ''hosts''-Verzeichnis werden die öffentlichen Schlüssel aller Netzwerkteilnehmer
+in jeweils eine Verbindungsdatei eingetragen, zusammen mit der Adresse über die dieser
+Server erreicht werden kann und der Adresse des Servers im tinc-Netz.
-===== OpenOPN =====
+Infos von tinc erfragen
+  * ''kill -USR1 <tinc pid>'' - dumps the connection list
+  * ''kill -USR2 <tinc pid>'' - dumps virtual network statistics
+==== Systemd ====
+Systemd macht anscheinend mal wieder sein eigenes Ding, damit funktioniert tinc nicht out of the box.
+Anscheinend wird nets.boot nicht beachtet.
+Starten eines einzelnen VPNs:
+  systemctl start tinc@<networkname>
+Automatisch beim Booten:
+  systemctl enable tinc@<networkname>
+===== OpenVPN =====
+Normalerweise verwendet um ein Endgerät mit einem Server zu verbinden.
+Es werden Zertifikate benötigt, folglich ist eine PKI zu verwalten.
+==== TODO ====
+Ser
+===== Wireguard =====
+Anleitung speziell für Debian
+  apt-get install wireguard
+Schlüsselpaar für den Server erstellen
+<code>
+cd /etc/wireguard
+wg genkey | tee privatekey | wg pubkey > publickey
+chmod 600 privatekey
+chmod 640 publickey
+</code>
+Konfigurationsdatei für den Server anlegen
+<file conf /etc/wireguard/wg0.conf>
+[Interface]
+ListenPort = 51820
+PrivateKey = <INSERT PRIVATEKEY HERE>
+[Peer]
+# Peer 1
+PublicKey = <INSERT PEER1-PUBLICKEY HERE>
+AllowedIPs = 192.168.68.101/32
+[Peer]
+# Peer 2
+PublicKey = <INSERT PEER2-PUBLICKEY HERE>
+AllowedIPs = 192.168.68.102/32
+</file>
+Berechtigungen für Konfigurationsdatei setzen
+<code>
+chmod 600 /etc/wireguard/wg0.conf
+</code>
+Netzwerkkarte, Firewalregeln fehlen hier noch
+<file conf /etc/network/interfaces>
+iface wg0 inet static
+    address 192.168.68.1/24
+    pre-up ip link add $IFACE type wireguard
+    pre-up wg setconf $IFACE /etc/wireguard/$IFACE.conf
+    #post-up sysctl --quiet --write net.ipv4.ip_forward=1
+    #post-down sysctl --quiet --write net.ipv4.ip_forward=0
+    post-down ip link del $IFACE
+</file>
+==== Client ====
+<code>
+apt-get install wireguard
+wg genkey | tee /etc/wireguard/private.key
+chmod go= /etc/wireguard/private.key
+cat /etc/wireguard/private.key | wg pubkey | sudo tee /etc/wireguard/public.key
+chmod go= /etc/wireguard/public.key
+</code>
-TODO
+Für einen Client muß in der Konfiguration der Endpoint (Server-Adresse:Port) angegeben werden.