OPNsense上的Tinc

Question

有了这样的网络布局https://imgur.com/rhLepAU，我可以让它在tinc中使用mode=switch，但不使用mode=routed。

，这些是网络详细信息

在量子上，这些是路由/配置(提示，外部IP已被混淆为1.1.1.1)

netstat -rn4
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            1.1.1.1     UGS      vtnet0
8.8.8.8            1.1.1.1     UGHS     vtnet0
10.1.5.0/24        link#2             U        vtnet1
10.1.5.1           link#2             UHS         lo0
10.1.6.0/24        tinc0              US        tinc0
127.0.0.1          link#4             UH          lo0
172.16.0.0/24      link#7             U         tinc0
172.16.0.5         link#7             UHS         lo0
1.1.1.0/29  link#1             U        vtnet0
1.1.1.1     link#1             UHS         lo0


ifconfig vtnet1 | grep inet
    inet 10.1.5.1 netmask 0xffffff00 broadcast 10.1.5.255

ifconfig tinc0 | grep inet
    inet 172.16.0.5 netmask 0xffffff00 broadcast 172.16.0.255

使用此tinc主机项

Address=1.1.1.1 655
Subnet=10.1.5.0/24
Cipher=aes-256-cbc
Digest=sha256
-----BEGIN RSA PUBLIC KEY-----
...
-----END RSA PUBLIC KEY-----

在火箭上(提示，外部ip被混淆到2.2.2.2)

netstat -rn4
Routing tables

Internet:
Destination        Gateway            Flags     Netif Expire
default            2.2.2.2      UGS      vtnet0
8.8.8.8            2.2.2.2      UGHS     vtnet0
10.1.5.0/24        tinc0              US        tinc0
10.1.6.0/24        link#2             U        vtnet1
10.1.6.1           link#2             UHS         lo0
2.2.2.0/29   link#1             U        vtnet0
2.2.2.2      link#1             UHS         lo0
127.0.0.1          link#4             UH          lo0
172.16.0.0/24      link#7             U         tinc0
172.16.0.6         link#7             UHS         lo0

ifconfig vtnet1 | grep inet
    inet 10.1.6.1 netmask 0xffffff00 broadcast 10.1.6.255

ifconfig tinc0 | grep inet
    inet 172.16.0.6 netmask 0xffffff00 broadcast 172.16.0.255

使用此tinc主机项

Address=2.2.2.2 655
Subnet=10.1.6.0/24
Cipher=aes-256-cbc
Digest=sha256
-----BEGIN RSA PUBLIC KEY-----
...
-----END RSA PUBLIC KEY-----

进一步详细信息

当执行从量子到火箭的ping -S 10.1.5.1 10.1.6.1时，我在FW上看到ICMP包通过防火墙，但它从来没有到达火箭，没有阻塞或通过。

问题

我的设置有什么问题，为什么mode=routed不能工作？

Answer 1

在我把头绕了一段时间之后，我发现了两个问题，它们堆叠在一起，阻碍了我更早地找到解决方案：

1.这实际上是一个opnsense的东西，

这就是我所拥有的/你将需要的:两者都需要

• 安装https://github.com/EugenMayer/tinc-opnsense，有关更多信息，请参见自述文件
• 按照自述创建网络，如果您愿意，可以使用/usr/local/etc/tinc/example作为样板

量子

• 您需要创建一个网关火箭，它被配置为使用“动态”通过tinc0 (不要在网关上输入IP，请参阅下面的问题并更新)
• 您需要一条通过TINCGW到达10.1.6.0/24的路线
• 将您的tinc0接口添加到接口部分，命名为TINCLAN。您可以配置ipv4地址，也可以不配置，这并不重要。如果需要，请使用您的tinc-up配置地址。这样做使您能够为TINCLAN创建FW规则--这是我们所需要的。提示:接口是以tinc0而不是tun0的形式创建的，因为否则无法将它添加到out意义上，因为所有tun*都被过滤掉了(遗留错误)
• 允许TINCLAN 2 TINCLAN的FW规则
• 适用于allo 2 LAN的FW规则( Lan为10.1.5.0/24 )

火箭

• 您需要创建一个网关火箭，它被配置为通过带有“动态”的tinc0 (不要在网关上输入IP，下面的问题和更新)
• 您需要一条通过TINCGW通往10.1.5.0/24的路线
• 将您的tinc0接口添加到接口部分，命名为TINCLAN。见上面的量子
• TINCLAN选项卡上的FW规则"dest TINCLAN“允许TINCLAN 2 TINCLAN
• TINCLAN选项卡上的FW规则"dest LAN“允许TINCLAN 2 LAN ( Lan为10.1.6.0/24 )

这个/欺骗我的问题:当您重新启动tincd时，tinc0接口将失去它的IP，并且路由将被自动删除，启动tincd将不会读取这些。或者您需要opnsense强制重新应用它们，重新启动服务器，或者最有可能的情况下，但是这些路由进入tinc-up。然而，我并没有就此找到一个完美的解决方案，但也许这也超出了这个问题的范围。

当你开始整理并在那之后设置路线时，一切都会正常的。

2.错误，不重要(愚蠢的第二个问题，但给了我一个教训)

实际上，我将Subnet 10.0.6.0/24，而不是10.1.6.0/24放在火箭主机/火箭文件中--这是阻止tinc级别上的软件包的

更新1

最后，我还解决了1的故障/明显的设置问题。

• 创建网关TINCGW时，不要在“网关”字段中输入网关IP --因此它是s dynamic. This way the route is created to be10.1.6.0/24 tinc0‘，而不是在ip 172.16.0.5上输入。这样，当您结束tincd和tinc0松开它的ip时，该路由就不会被删除，因为tinc0仍然存在。因此，这样就可以存活下来，重新启动或类似的。

稍后，我将把它合并到我的答案中，让人们了解这个问题/工作流。