IndirectData = Yes  is I think a legacy statement for versions prior to 1.0.10 that allowed Tinc to function in UDP mode behind NAT.  I don&#39;t actually think it&#39;s needed any more, but I have not scrubbed my host configuration files yet for anything not necessary.  Guss could speak with more authority on that.<br>
<br>PMTUDiscovery = Yes  is I believe still best practice to use in Switch Mode, enabling Tinc to identify the largest Frame or Packet that can traverse across the VPN without fragmenting.<br><br>The ConnectTo statement is in the tinc.conf file.  So you would want your tinc.conf file on your Client host to point to the host file of your Server.<br>
<br>tinc-up is a script that will be executed when Tinc is launched, if it exists.  It&#39;s not actually necessary, but it makes things a bit simpler.<br><br>If you want your Tinc server to act as a gateway for it&#39;s LAN, you&#39;ll need to bridge it&#39;s Tun adapter, which talks on the VPN, with it&#39;s LAN adapter.<br>
<br><div class="gmail_quote">On Sun, Feb 7, 2010 at 6:43 PM, M.Farghaly <span dir="ltr">&lt;<a href="mailto:m@farghaly.com">m@farghaly.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Hello Donald,<br>
<br>
thank you very much for your very fast reply.<br>
<br>
This makes sense. So until now I am only connecting to the<br>
tun-interface on the home server. And I somehow need to bridge the<br>
un-interface and eth0.<br>
<br>
Another question, is this :<br>
<br>
&gt; IndirectData = Yes<br>
&gt; PMTUDiscovery = Yes<br>
<br>
needed for this to work ?<br>
<br>
What about the client (ConnectTo) tinc-up, what is still in there ?<br>
<br>
Otherwise I will look into linux bridging to understand exactly the<br>
command sequence you gave me for tinc-up.<br>
<br>
Then I will give this a try.<br>
<br>
Mansour Farghaly<br>
<div><div></div><div class="h5"><br>
On Sun, Feb 7, 2010 at 11:46 PM, Donald Pearson<br>
&lt;<a href="mailto:donaldwhpearson@gmail.com">donaldwhpearson@gmail.com</a>&gt; wrote:<br>
&gt; I&#39;m doing exactly what I think you&#39;re trying to do.<br>
&gt;<br>
&gt; You are using switched mode, so you can remove the Subnet statements.<br>
&gt; Otherwise, if you mean to have your VPN routed instead of switched, you need<br>
&gt; to remove the mode=switch statements.<br>
&gt;<br>
&gt; I recommend keeping switch mode, and removing the un-necessary Subnet<br>
&gt; statements.<br>
&gt;<br>
&gt; Now, you need to bridge your tun interface with your physical interface at<br>
&gt; home.  This will open the rest of your home network to your VPN provided all<br>
&gt; hosts use the same network and netmask.<br>
&gt;<br>
&gt; You say you are using Ubuntu, so you can do &quot;apt-get install bridge utils&quot;<br>
&gt;<br>
&gt; You will need your tinc-up script to be something like this;<br>
&gt;<br>
&gt; #!/bin/sh<br>
&gt; modprobe tun<br>
&gt; ifconfig vpn 0.0.0.0<br>
&gt; ifconfig vpn up<br>
&gt; ifconfig eth0 0.0.0.0<br>
&gt; ifconfig eth0 up<br>
&gt;<br>
&gt; brctl addbr bridge<br>
&gt; brctl addif bridge vpn<br>
&gt; brctl addif bridge eth0<br>
&gt; ifconfig bridge 10.10.0.30 netmask 255.255.255.0<br>
&gt; route add default gw 10.10.0.254 bridge<br>
&gt; ifconfig bridge up<br>
&gt;<br>
&gt; Here&#39;s my tinc.conf.  it&#39;s *very* simple.<br>
&gt;<br>
&gt; donald@DonaldTincVM:/etc/tinc/vpn$ cat tinc.conf<br>
&gt; Name = Donald<br>
&gt; ConnectTo = Pat<br>
&gt; Device = /dev/net/tun<br>
&gt; Mode = switch<br>
&gt; PrivateKeyFile = /etc/tinc/vpn/rsa_key.priv<br>
&gt;<br>
&gt;<br>
&gt; And here&#39;s my host files.<br>
&gt;<br>
&gt; donald@DonaldTincVM:/etc/tinc/vpn/hosts$ cat Donald<br>
&gt; Address = xxxx<br>
&gt; Port = 8002<br>
&gt; IndirectData = Yes<br>
&gt; Compression = 0<br>
&gt; PMTUDiscovery = Yes<br>
&gt; RSA stuff.<br>
&gt;<br>
&gt; donald@DonaldTincVM:/etc/tinc/vpn/hosts$ cat Pat<br>
&gt; Address = <a href="http://nixon.endoftheinternet.org" target="_blank">nixon.endoftheinternet.org</a><br>
&gt; Port = 8003<br>
&gt; IndirectData = Yes<br>
&gt; Compression = 0<br>
&gt; PMTUDiscovery = Yes<br>
&gt; RSA stuff.<br>
&gt;<br>
&gt; On Sun, Feb 7, 2010 at 5:26 PM, M.Farghaly &lt;<a href="mailto:m@farghaly.com">m@farghaly.com</a>&gt; wrote:<br>
&gt;&gt;<br>
&gt;&gt; Hi there,<br>
&gt;&gt;<br>
&gt;&gt; I am using tinc since some monthes. I think the basic idea of<br>
&gt;&gt; extending vpn to a mesh of systems via tun/tap is great. And I think<br>
&gt;&gt; it is one of the useable developments compared to the much more<br>
&gt;&gt; complex vpn solutions I had used in the past. Great work.<br>
&gt;&gt;<br>
&gt;&gt; Setting up tinc I have fought with the configuration (and with the<br>
&gt;&gt; concepts) for a while as I have found no example that covers my<br>
&gt;&gt; special setup until I reached this fairly minimal config below.<br>
&gt;&gt;<br>
&gt;&gt; The setup is as follows:<br>
&gt;&gt; Home network is 10.10.0.x/24, Ubuntu Unix Server has internal IP<br>
&gt;&gt; 10.10.0.30, Gateway is 10.10.0.254<br>
&gt;&gt; I have a dynamic ip on this network and a masquerading firewall router.<br>
&gt;&gt;<br>
&gt;&gt; I am accessing home network via Ubuntu linux laptop via UMTS which<br>
&gt;&gt; means dynamic IP-Address, normally also in the 10.x.y.z Range (can<br>
&gt;&gt; this be a problem ?).<br>
&gt;&gt;<br>
&gt;&gt; From the forum answers I think I can delete the entries<br>
&gt;&gt; &quot;PrivateKeyFile&quot; as this is default, otherwise configuration is quite<br>
&gt;&gt; minimal.<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; ======= Configuration =========<br>
&gt;&gt;<br>
&gt;&gt; Server Side<br>
&gt;&gt; ===========<br>
&gt;&gt; # cat tinc.conf<br>
&gt;&gt; Name = fsvpns3f30<br>
&gt;&gt; Mode = switch<br>
&gt;&gt; Device = /dev/net/tun<br>
&gt;&gt; AddressFamily = ipv4<br>
&gt;&gt; PingInterval = 30<br>
&gt;&gt; PrivateKeyFile = /etc/tinc/fsvpn/rsa_key.priv<br>
&gt;&gt;<br>
&gt;&gt; # cat tinc-up<br>
&gt;&gt; #!/bin/sh<br>
&gt;&gt; ifconfig $INTERFACE 10.10.100.30 netmask 255.255.0.0<br>
&gt;&gt;<br>
&gt;&gt; # cat hosts/fsvpns3f30<br>
&gt;&gt; Address = <a href="http://xyz.dyndns.org" target="_blank">xyz.dyndns.org</a><br>
&gt;&gt; Port=655<br>
&gt;&gt; Compression=9<br>
&gt;&gt; Subnet=<a href="http://10.10.0.0/16" target="_blank">10.10.0.0/16</a><br>
&gt;&gt; TCPonly=yes<br>
&gt;&gt; -----BEGIN RSA PUBLIC KEY-----<br>
&gt;&gt; ...<br>
&gt;&gt; -----END RSA PUBLIC KEY-----<br>
&gt;&gt;<br>
&gt;&gt; Client Side<br>
&gt;&gt; ========<br>
&gt;&gt; # cat tinc.conf<br>
&gt;&gt; Name = fsvpnmf<br>
&gt;&gt; Mode = switch<br>
&gt;&gt; Device = /dev/net/tun<br>
&gt;&gt; AddressFamily = ipv4<br>
&gt;&gt; PingInterval = 30<br>
&gt;&gt; ConnectTo = fsvpns3f30<br>
&gt;&gt; PrivateKeyFile=/etc/tinc/fsvpn/rsa_key.priv<br>
&gt;&gt;<br>
&gt;&gt; # cat tinc-up<br>
&gt;&gt; #!/bin/sh<br>
&gt;&gt; ifconfig $INTERFACE 10.10.101.1 netmask 255.255.0.0<br>
&gt;&gt;<br>
&gt;&gt; # cat fsvpnmf<br>
&gt;&gt; Port = tinc<br>
&gt;&gt; Compression = 9<br>
&gt;&gt; Subnet = <a href="http://10.10.101.1/32" target="_blank">10.10.101.1/32</a><br>
&gt;&gt; TCPonly=yes<br>
&gt;&gt; ConnectTo = <a href="http://xyz.dyndns.org" target="_blank">xyz.dyndns.org</a><br>
&gt;&gt; -----BEGIN RSA PUBLIC KEY-----<br>
&gt;&gt; ...<br>
&gt;&gt; -----END RSA PUBLIC KEY-----<br>
&gt;&gt;<br>
&gt;&gt; This setup works now for a while with the restriction that I can<br>
&gt;&gt; directly only reach one machine on my network. I can ssh through it to<br>
&gt;&gt; reach the other machines in the network, but this is not ideal (e.g.<br>
&gt;&gt; if  I want to directly reach windows machines). That means from my<br>
&gt;&gt; laptop I can only directly reach the <a href="http://10.10.0.30/10.10.100/30" target="_blank">10.10.0.30/10.10.100/30</a> machine.<br>
&gt;&gt; It looks like a routing problem. I guess I will have to add on tinc-up<br>
&gt;&gt; script on both sides but in combination with the vpn device I need<br>
&gt;&gt; some guidance.<br>
&gt;&gt;<br>
&gt;&gt; Can you see how the configuration can be enhanced to reach the whole<br>
&gt;&gt; network of machines on the home network from laptops directly ?<br>
&gt;&gt;<br>
&gt;&gt; Any suggestions are welcome.<br>
&gt;&gt;<br>
&gt;&gt; Mansour Farghaly<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; tinc mailing list<br>
&gt;&gt; <a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
&gt;&gt; <a href="http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" target="_blank">http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc</a><br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; tinc mailing list<br>
&gt; <a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
&gt; <a href="http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" target="_blank">http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc</a><br>
&gt;<br>
&gt;<br>
_______________________________________________<br>
tinc mailing list<br>
<a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
<a href="http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" target="_blank">http://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc</a><br>
</div></div></blockquote></div><br>