Schlüsseldienst

Nachdem die Grundkonfiguration für den ersten Knoten steht, fehlen nur noch ein öffentlicher und ein privater Schlüssel, die Tinc später zur Authentifizierung der übertragenen Pakete heranzieht. Dazu genügt schon das einfache Kommando »sudo tincd -K« . Die vorgeschlagenen Speicherorte übernimmt man einfach mit der Eingabetaste. Damit wandert dann der öffentliche Schlüssel als Anhängsel in die Host-Datei »aachen« und der private Teil in die »/etc/tinc/rsa_key.priv« .

Hoch und runter

Mit den bisherigen Einstellungen erstellt Tinc gleich eine virtuelle Netzwerkschnittstelle, die alles, was man in sie hineinsteckt, an den Daemon schickt. Dieser empfängt, verschlüsselt und verpackt die Daten, bevor er sie über die reale Netzwerkkarte (also über die mit der Adresse »100.1.2.3« ) Richtung Ziel versendet. Allerdings besitzt die virtuelle Netzwerkkarte noch keine IP-Adresse. Diese vergibt unter Linux für gewöhnlich das Kommandozeilenwerkzeug »ifconfig« . Man müsste also nach jedem (Neu-)Start von Tinc zum einen den Namen der neuen Schnittstelle ausfindig machen und dann auch noch »ifconfig« manuell aufrufen. Um das Leben des Administrators zu erleichtern, bietet Tinc die Skripte »tinc-up« und »tinc-down« an. Ersteres aktiviert der Daemon direkt nach seinem Start, letzteres wenn er wieder herunterfährt. Beide Skripte liegen neben »tinc.conf« im Unterverzeichnis »/etc/tinc/« . Um der virtuellen Netzwerkkarte des Aachener Computers eine IP-Adresse zuzuweisen, genügt eine »tinc-up« mit folgendem Inhalt:

#!/bin/sh
ifconfig $INTERFACE 192.168.1.119 netmask ↩
255.255.255.0

Die Variable »$INTERFACE« stellt der Daemon bereit. Sie enthält den Namen der virtuellen Netzwerkschnittstelle. Die Netzmaske ist übrigens die Maske des gesamten VPN-Netzwerks, nicht nur des eigenen Subnetzes. Abschließend darf man nicht vergessen, das Skript noch ausführbar zu machen.

Als IP-Adresse wurde für die virtuelle Schnittstelle einfach die noch freie »192.168.1.119« gewählt, unter der im Anschluss der Standort Bochum den Aachener Rechner erreicht. Damit muss aber insbesondere der Administrator noch eine weitere IP-Adresse pflegen. Aus diesem Grund empfehlen die Tinc-Entwickler einen kleinen Trick anzuwenden und der virtuellen Schnittstelle die Adresse der realen Netzwerkkarte zu verpassen. Das klappt allerdings nur, wenn sich die Netzmasken unterscheiden. Die neue »tinc-up« sieht damit in Aachen wie folgt aus:

#!/bin/sh
ifconfig $INTERFACE 192.168.1.111 netmask ↩
255.255.0.0
comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2022