Voici le nom du VPN, et l’exemple d’implémentation que décrira la suite de cet article.
Je les précise ici car nous en aurons besoin pour la configuration de notre VPN.

Nom du VPN : gulustan

Exemple d’implémentation :

Le nom de votre machine est silav et le nom de la terminaison avec laquelle vous souhaitez communiquer est lordon.
Votre VPN se compose donc de deux machines.
L’adresse du réseau VPN est 192.168.1.0/24.
L’adresse IP de silav est 172.16.1.1
L’adresse IP de lordon est 172.16.20.1
silav est le client et lordon le server.

Nous pouvons maintenant nous attaquer à l’installation des fichiers de configuration.

Voici les opérations à effectuer sur silav :

Tout d’abord, il s’agit d’éditer le fichier de configuration principal /etc/tinc/gulustan/tinc.conf .
Votre fichier /etc/tinc/gulustan/tinc.conf doit contenir ceci :

Name = silav
ConnectTo = lordon
HostNames = no
KeyExpire = 7200
PingTimeout = 60
PrivateKeyFile = /etc/tinc/gulustan/rsa_key.priv
TapDevice = /dev/tun

L’option Name, permet de définir un nom symbolique à la machine, c’est par ce nom qu’elle sera connue sur le VPN.
L’option ConnectTo indique à Tinc qu’il doit se connecter à un hôte nommé lordon.
L’option HostName = no implique que Tinc ne résoudra pas les noms de machine en adresses IP. Cela est nécessaire dés lors que les machines ne sont pas référencées par un serveur DNS.
L’option KeyExpire, définie en seconde le temps pendant lequel les clés symétriques sont valides. Ici je l’ai fixée à 2 heures.
L’option PingTimeout spécifie un temps d’inactivité au bout duquel il émet un paquet destiné à maintenir la liaison en service. Si aucune réponse n’est reçue après une nouvelle attente, Tinc met fin à la connexion et met à jour les informations de routage.
L’option PrivateKeyFile dirige Tinc vers la clé privée qu’il devra utiliser pour déchiffrer les packets arrivant.

Enfin, l’option TapDevice indique à Tinc le coupleur réseau qui servira à la connexion VPN.

Voici la partie crypto de l’article. Générons la paire de clés R.S.A.

[root@silav]# tincd –n gulustan –K

Après génération des deux clés il vous sera demandé le répertoire où vous souhaitez les stocker. Contentez-vous de valider par la touche Entrée. En effet, tinc vous proposera par défaut le répertoire spécifié dans le fichier de configuration principal.
Par défaut la taille des clés est de 1024 bits.
Après que Tinc ait généré la clé publique dans le fichier /etc/tinc/gulustan/hosts/silav , vous devez rajouter ces quelques lignes au début du fichier :

# Adresse de sous réseau du VPN présentant un masque 255.255.255.255
Subnet = 192.168.1.1/32
# Adresse réelle de cette machine. Il s’agit ici d’une adresse non routable sur #Internet.
Address = 172.16.1.1

Voici les opérations à effectuer sur lordon :

Copiez le fichier /etc/tinc/gulustan/hosts/silav de la machine silav dans le répertoire /etc/tinc/gulustan/hosts/

A son tour lordon a besoin de la configuration de son fichier /etc/tinc/gulustan/tinc.conf

Editez-le pour y rajouter les lignes suivantes :

Name = lordon
HostName = no
KeyExpire = 7200
PingTimeout = 60
PrivateKeyFile = /etc/tinc/gulustan/rsa_key.priv
TapDevice = /dev/tun

Générez les paires de clés R.S.A. de Tinc. La commande est similaire à celle que vous avez effectuée sur silav. Suivez donc la même procédure.

Copiez les informations suivantes dans le fichier /etc/tinc/gulustan/hosts/lordon :

# Adresse de sous réseau du VPN qui est l’adresse locale de la machine.
Subnet = 192.168.1.2/32
# IP réelle de lordon
Addres = 172.16.20.1
# 655 est le port par défaut, vous pouvez le changer.
Port = 655

Enfin, vous devez copier le fichier que vous venez d’éditer ( /etc/tinc/gulustan/hosts/lordon ) dans le répertoire /etc/tinc/gulustan/hosts de silav .

En conclusion de notre configuration, si la communication de vos machines est filtrée par un firewall, iptables ou autre, n’oubliez pas d’autoriser le trafic entrant et sortant de tinc sur le port défini (655 par défaut).