Creiamo la cartella:
#> mkdir /etc/tinc/VPNISOLE
all'interno della quale creiamo la coppia di chiavi (privata/pubblica)
#> tincd -K
creiamo la cartella:
#> mkdir /etc/tinc/VPNISOLE/hosts
dentro cui ci spostemo la chiave pubblica rinominata bgpLAMIACITTA mentre la privata (rsa_key.priv) la lasciamo lì. (Nota: il nome bgpLAMIACITTA andrà tutto in minuscolo)
Daremo copia della chiave pubblica a contatti_at_ninux.org e dentro host metteremo la chiave del server di Roma (bgproma)
Le chiavi pubbliche possono essere scaricate con il comando:
wget https://github.com/ninuxorg/pubkeysVpnIsole/archive/master.zip
se restituisce errore wget: not an http or ftp url: e non avete problemi di spazio sul device date i seguenti comandi in ordine
opkg update opkg install wget wget --no-check-certificate https://github.com/ninuxorg/pubkeysVpnIsole/archive/master.zip
Se invece non potete installare il pacchetto wget per problemi di spazio scaricatele su un pc e poi trasferitele oppure scaricatele sul device con
git clone https://github.com/ninuxorg/pubkeysVpnIsole.git
A questo punto da Gestione indirizzi ci assegnamo:
- Il numero dell AS privato
- Un indirizzo ip della rete 10.150.254.0/24
Con questi dati passiamo alla configurazione dell file /etc/config/tinc:
config tinc-net VPNISOLE option enabled 1 #option log /tmp/log/tinc.VPNISOLE.log #option debug 3 ## Server Configuration (tinc.conf) option AddressFamily any list ConnectTo bgproma option Interface vpnisole option Mode switch option Name bgpLAMIACITTA option Port 777 option PrivateKeyFile /etc/tinc/VPNISOLE/rsa_key.priv # QUESTO è il FILE HOSTS config tinc-host bgproma option enabled 1 option net VPNISOLE list Address 176.62.53.98 #questo è l'ipv4 del server de Roma option PMTUDiscovery yes option Port 777 option Subnet 10.150.254.0/24
sempre nella cartella /etc/tinc/VPNISOLE creiamo due script utilzzando l'ip preso da gestione indirizzi:
tinc-up:
ip link set dev $INTERFACE up ip addr add 10.150.254.X/24 brd 10.150.254.255 dev $INTERFACE #Mettere l'ip corretto iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
tinc-down:
ip link set dev $INTERFACE down iptables -D FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
che rendiamo eseguibili:
#> chmod +x tinc-*
Prima di provarla è necessario modificare il policy routing come descritto in basso. Senza tale modifica NF1C.
Se la VPN funziona dovremmo riuscire a pingare il server di Roma:
#> ping 10.150.254.4