VPN tinc (long)

Tomas Valousek valy na valousek.cz
Středa Červen 6 15:34:16 CEST 2001 

Dobry den,
marne se jiz nekolik dni snazim rozjet VPN mezi dvemi sitemi pomoci
nastroje tinc. Pouzivam tinc verze tinc-1.0pre2-1 nainstalovanou z RPM
balicku. Postupoval jsem podle dokumentace a prikladu, myslim si, ze mam
vse zkonfigurovane spravne, presto to nefunguje.

POPIS SITE:

                 ------------               -----------
pocitacova       |Linux     |    Internet   |Linux    |    pocitacova
sit STRAZ     ---|eth0  ppp0|---xxxxxxxxxx--|eth0 eth1|----sit CHRASTAVA
192.168.45.0/24  ------------               -----------    192.168.46.0/24

KONFIGURACE STRAZ:
~~~~~~~~~~~~~~~~~
eth0  inet adr:192.168.45.10  Všesměr:192.168.45.255  Maska:255.255.255.0
ppp0  inet adr:195.70.151.194 P-t-P:195.70.140.38     Maska:255.255.255.255
tap0  inet adr:192.168.45.10  Všesměr:192.168.255.255 Maska:255.255.0.0

[root na ns /root]# route -n
Adresát      Brána           Maska           Přízn Metrik Odkaz  Užt
Rozhraní
127.0.0.1    0.0.0.0         255.255.255.255 UH    0      0        0 lo
192.168.45.0 0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0  0.0.0.0         255.255.0.0     U     0      0        0 tap0
127.0.0.0    0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0      195.70.140.38   0.0.0.0         UG    0      0        0 ppp0

[root na ns /root]# cat /etc/tinc/straz/tinc.conf
AllowConnect = yes
Hostnames = no
MyOwnVPNIP = 192.168.45.0/24
VpnMask = 255.255.255.0

KONFIGURACE CHRASTAVA:
~~~~~~~~~~~~~~~~~~~~~
eth0  inet adr:195.47.70.246  Všesměr:195.47.70.247   Maska:255.255.255.252
eth1  inet adr:192.168.46.11  Všesměr:192.168.46.255  Maska:255.255.255.0
tap0  inet adr:192.168.46.11  Všesměr:192.168.255.255 Maska:255.255.0.0

[root na chrastava /root]# route -n
Adresát       Brána           Maska           Přízn Metrik Odkaz  Užt
Rozhraní
195.47.70.244 0.0.0.0         255.255.255.252 U     0      0        0 eth0
192.168.46.0  0.0.0.0         255.255.255.0   U     0      0        0 eth1
192.168.0.0   0.0.0.0         255.255.0.0     U     0      0        0 tap0
127.0.0.0     0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0       195.47.70.245   0.0.0.0         UG    0      0        0 eth0

[root na chrastava /root]# cat /etc/tinc/chrastava/tinc.conf
TapDevice = /dev/tap0
ConnectTo = 195.70.151.194
MyOwnVPNIP = 192.168.46.0/24
VpnMask = 255.255.255.0
AllowConnect = no

Popis problemu:
Spustim tincd ve Strazi (tincd --net=straz -dddd) a v Chrastave (tincd
--net="chrastava" -dddddd). Podle vypisu z logu se vse tvari byt OK.

CHRASTAVA /var/log/messages:
chrastava tinc.chrastava[7399]: tincd 1.0pre2 (May 31 2000 20:53:55)
starting,
debug level 6.
chrastava tinc.chrastava[7399]: Generating 128 bits keys.
chrastava tinc.chrastava[7399]: Ready: listening on port 655.
chrastava tinc.chrastava[7399]: Connected to 195.70.151.194:655
chrastava tinc.chrastava[7399]: Passphrase OK
chrastava tinc.chrastava[7399]: Connection with 195.70.151.194 activated.

STRAZ /var/log/messages:
ishopy tinc.straz[10044]: Connection from 195.47.70.246:1092
ishopy tinc.straz[10044]: Passphrase OK
ishopy tinc.straz[10044]: Connection with 195.47.70.246 activated.
ishopy tinc.straz[10044]: Generating 128 bits keys.

Nyni pustim ping ze Straze do Chrastavy (ping 192.168.46.11), ktery vsak
neodpovida (to je prave ten problem ;-))
Na obou stranach pustim tcpdump, abych se dosvedel neco vice

[root na chrastava /root]# tcpdump -i tap0& tcpdump host 195.70.151.194&
...
14:09:55.748247 eth0 < 195.70.151.194.1104 > chrastava.ishopy.cz.655: udp 96
14:09:56.764164 P 192.168.45.10 > 192.168.46.11: icmp: echo request
14:09:56.761700 eth0 < 195.70.151.194.1104 > chrastava.ishopy.cz.655: udp 96
14:09:57.763422 P 192.168.45.10 > 192.168.46.11: icmp: echo request
14:09:57.761070 eth0 < 195.70.151.194.1104 > chrastava.ishopy.cz.655: udp 96
14:09:58.764261 P 192.168.45.10 > 192.168.46.11: icmp: echo request
...
Takze zjevne packety ze Straze do Chrastavy dorazi, ale zadna odezva se
nekona.

[root na ns /root]# tcpdump -i tap0
14:10:14.470826 > 192.168.45.10 > 192.168.46.11: icmp: echo request
14:10:15.470826 > 192.168.45.10 > 192.168.46.11: icmp: echo request

Pokud zkousim pingat z Chrastavy do Straze, vysledek je uplne stejny.

Ani v logu se neobjevuje nic zvlastniho:
[root na ns /root]# tail -f /var/log/messages --lines=30
ishopy tinc.straz[10044]: Sent 96 bytes to c0a82e00
ishopy last message repeated 31 times

Zkousel jsem namisto pingu pouzit napr. telnet 192.168.46.11 80, ale
vysledek byl taktez stejny (stejne spatny).

Predem dekuji za kazdy namet, omlouvam se trosku delsi mail a jsem s
pozdravem.

                        Tomas Valousek

Další informace o konferenci Linux