PDF de programación - Manual de tinc - Preparando una Red Privada Virtual con tinc

Manual de tinc

Preparando una Red Privada Virtual con tinc

Ivo Timmermans <[email protected]>

Introducción

Tinc es un demonio de Red Privada Virtual (VPN) que usa túnel y cifrado de datos para crear una red privada segura entre hosts
en Internet.

El túnel se realiza en la capa del protocolo IP como un dispositivo de red normal, por lo cual hay necesidad de adaptar el
software existente.

Este túnel permite que sitios VPN compartan información entre ellos en Internet sin exponer esta información a otros.

Este documento es el manual de tinc. Incluye capítulos sobre cómo configurar su computadora para usar tinc, así como el
proceso de configuración de tinc.

Redes Privadas Virtuales

Una Red Privada Virtual o VPN es una red que sólo puede ser accedida por computadoras elegidas para participar. Esta meta es
alcanzable en más de una manera.

Por ejemplo, una VPN puede consistir en una ethernet LAN. O incluso dos computadoras conectadas usando un cable módem
nulo(1). En estos casos, es obvio que la red es privada, nadie puede acceder a esta desde afuera. Pero si estas si estas
computadoras están conectadas a internet, la red deja de ser privada, a menos que use cortafuego para bloquear el trafico
privado. Pero entonces, no hay manera de enviar datos privado a una computadora de confianza en otro lugar de internet.

Este problema puede resolverse usando redes virtuales. Las redes virtuales pueden vivir arriba de otras redes, pero no
interfieren interfieren entre ellas. En su mayor parte, las redes virtuales se ven como simples LAN, aun cuando pueden
extenderse a lo largo del mundo. Pero las redes virtuales pueden no ser seguras aunque se uso cortafuegos, porque el trafico que
fluye a traves de estas hacia internet puede ser visto por otras personas.

Cuando se introduce cifrado de datos, podemos formar una verdadera VPN, Otras personas pueden ver el trafico cifrado, pero
no pueden saber como decifrar este (necesitan conocer la llave para esto), no pueden leer la información que fluye a traves de la
VPN, Esto es para lo que tinc fue hecho.

Tinc usa datagramas IP normales para encapsular datos que viajan sobre el enlace de red VPN. En este caso está también claro
que la red es virtual, porque ningún enlace de red directo tiene que existir entre los participantes.

Como es el caso con cualquier tipo de VPN, alguien podría escuchar secretamente, o peor, alterar datos. Aquí es probablemente
aconsejable el cifrar los datos que fluyen sobre la red.

TINC

Yo realmente no recuerdo lo que nos llevó a empezar, pero debe de haber sido idea de Guus. Él escribió una aplicación simple
(aproximadamente 50 líneas en C) que usó el dispositivo ethertap que linux tiene desde el núcleo 2.1.60. No funcionó
inmediatamente y él la mejoró un poco. En esta fase, el proyecto se llamó simplemente ‘vpnd’.

Desde entonces, mucho ha cambiado -- por así decirlo.

Tinc ahora soporta cifrado, consiste en un solo demonio (tincd) para la recepción y el envío de información, se ha vuelto un
paquete profesional completo.

Mucho puede ser, y será, mejorado. Hay varias cosas que me gustaría ver en las futuras versiones de tinc. No todo estará
disponible en el futuro cercano. Nuestro primer objetivo es hacer que tinc trabaje perfectamente, y luego agregar rasgos más
avanzados.

Entretanto, siempre estaremos abiertos y disponibles hacia las nuevas ideas.

Configurando un sistema Linux

Este capítulo contiene información sobre cómo configurar un sistema Linux para el uso de tinc.

Configurando el Núcleo

Dado que esta implementación particular sólo corre en núcleos 2.1 o mayores, debería conseguir uno (los 2.2 son actuales en
este momento). Una migración a 2.0 no es posible, a menos que alguien migre los dispositivos ethertap y netlink a 2.0.

Si no esta familiarizado con el proceso de configurar y compilar un nuevo núcleo, debería leer primero el Núcleo COMO.
¡Haga eso ahora!

Aquí están las opciones que usted tiene que activar al configurar un nuevo núcleo.

Code maturity level options
[*] Prompt for development and/or incomplete code/drivers
Networking options
[*] Kernel/User netlink socket
<*> Netlink device emulation
Network device support
<*> Ethertap network tap

Cualquier otra opción no mencionada aquí no es relevante a tinc. Si usted decide construirlos como módulos dinámicos, es una
buena idea agregar estas líneas en ‘/etc/modules.conf’.

alias tap0 ethertap
alias char-major-36 netlink_dev

Finalmente, construya el núcleo y reinicie la maquina. Desgraciadamente no es posible insertar estos módulos en un Núcleo que
se esta ejecutando.

Archivos Necesarios

Archivos de dispositivos

Primero, necesitará el archivo de dispositivo especial que forma la interfaz entre el Núcleo y el demonio.

mknod -m 600 /dev/tap0 c 36 16
chown 0.0 /dev/tap0

Los permisos serán ahora tales que sólo el super usuario(root) puede leer y escribir en este archivo. Esto debería ser así, porque
es más fácil que se filtre información por aquí. Esto, sin embargo, implica que usted tendría que ejecutar tincd como root.

Si usted quiere, también se puede crear más archivos de dispositivos que se numerarían de 0 a 15 con números menores de
dispositivos de 16 a 31. Todos deben pertenecer al root y deben tener permisos 600.

‘/etc/networks’

Puede agregar una línea en ‘/etc/networks’ para que sus vpn tengan nombres simbólicos. Por ejemplo:

Mi_vpn 10.0.0.0

‘/etc/services’

Puede agregar estas líneas en ‘/etc/services’. El resultado es que puede proporcionar a una ‘tinc’ como un número de puerto
válido a algunos programas. El número 655 esta registrado en el IANA.

tinc 655/tcp TINC
tinc 655/udp TINC
# Ivo Timmermans <[email protected]>
62;

Preparando los dispositivos

Antes de que pueda empezar a transmitir datos sobre el túnel tinc, debe preparar los dispositivos de red ethertap.

Primero, decida qué direcciones IP quiere asociar con estos dispositivos, y qué máscara de red deben tener. También
necesitara estos números cuando configure tinc. Vea la sección section Configurando tinc.

No importa mucho que se hace primero, si preparar los dispositivos red o configurar tinc. Pero deben hacerse ante de usar tincd.

La configuración de dispositivo ethertap es bastante simple, simplemente escriba esto:

ifconfig tapn hw ether fe:fd:xx:xx:xx:xx

El n aquí es el número del dispositivo ethertap que quiere usar. Debe ser uno de los mismos n que uso para ‘/dev/tapn’. Las xxs
son cuatro números hexadecimales (0--ff). En las versiones anteriores de tincd no importaban lo que eran, pero los nuevos
Núcleos requieren que sean puestas las direcciones de ethernet. De hecho, el comportamiento estaba equivocado, se requiere
que los xxs mapeen Mi_IP_VPN.

ifconfig tapn IP netmask mask

Esto activará el dispositivo con una dirección red IP y con una máscara de red mask.

Instalando Tinc

Primero consígalo. Esta es la página principal , que tiene las suma de verificación (checksums) de los archivos listados; puede
desear verificar éstos con md5sum antes de continuar.

Tinc viene en un paquete autoconf/automake, que simplemente puede tratar como cualquier otro paquete. Sólo tiene que
descomprimirlo, escribir "Configure" y luego "Make".

Las instrucciones más detalladas están en el archivo ‘INSTALL’, que es incluido en la distribución fuente.

Configurando Tinc

Redes múltiples

Es perfectamente aceptable correr más de un demonio tinc. Sin embargo, en su forma predefinida, pronto notará que no puede
usar dos archivos diferentes de configuración sin la opción -c.

Hemos pensado en otra manera de tratar esto: nombres de red. Esto significa que usted llama a tincd con el argumento -n que
asignará un nombre a este demonio.

El efecto de esto es que los demonios buscaran su configuración en /etc/tinc/nn/, donde nn es un argumento a la opción -n.
Notará que aparece en syslog como "tincd.nn."

Sin embargo, no es estrictamente un requisito llamar a tinc con la opción -n. En este caso, el nombre de la red estaría
simplemente vacío, y se usará como tal. Tinc busca archivos ahora en /etc/tinc/, en lugar de /etc/tinc/nn/; el archivo de
configuración debe ser /etc/tinc/tincd.conf, y se espera ahora que los passphrases (N.T. passphrases es una contraseña o palabra
de paso(password), que al ser bastante larga se le llama frase de paso) estén en /etc/tinc/passphrases/.

Es recomendable usar este rasgo de tinc, porque será él quien decida con que demonio hablar. Asumiremos que lo usa.

Cómo trabajan las conexiones

Antes de seguir, primero un poco de cómo tinc ve las conexiones.

Cuando tinc se pone en marcha, lee en el archivo la configuración y analiza las opciones de la línea de comandos. Si ve un
valor "ConnectTo" en el archivo, intentará conectarse a ese servidor, en el puerto dado. Si esto falla, tinc termina.

Archivo de configuración

La configuración actual del demonio se hace en el archivo ‘/etc/tinc/nn/tinc.conf’.

Este archivo consiste en comentarios (las líneas empiezan con #) o asignaciones de la forma:

Variable = Valor.

En los nombres de variables se distingue entre mayúsculas o minúsculas, y se ignora cualquier espacio, etiquetas, nueva línea y
retorno de carro. Nota: no se requiere que ponga "=", pero se usa para mejorar la legibilidad. Si lo omite, recuerde reemplazarlo
con por lo menos un carácter espacial.

Variables

Aquí está todas las variables válidas, listadas en orden alfabético:

ConnectPort = port

Conéctese al host (dado en la directiva ConnectTo) en el puerto "port". El puerto puede darse en decimal (valor por
defecto), octal (cuando es precedido por un solo cero) o hexadecimal (prefijó con 0x). El puerto es el número del puerto
para las conexiones UDP y TCP (meta).

ConnectTo = (IP address|hostname)

Especifica a qué host conectarse al arrancar. Si la variable "ConnectPort" se omite, entonces tinc intentará conectarse al
puerto 655. Si usted no especifica un host con "ConnectTo", sin tener en cuenta s