<div dir="ltr">Hi All,<br><br>I've been playing around with TINC and like what I've seen so far.<br><br>I wanted a TINC tunnel like this, where I have a server on the Internet<br>with a public IPv4 address as my TINC server.  Then I can have clients<br>connect to it and see each other except that the client at a customer<br>site would allow me to route behind it so I could see hosts on site beyond<br>my device on premise.  I do this with -R and -L port redirects in SSH BUT<br>I need friendlier URL's and host names.  With ssh I always have to do<br>localhost:xxxxx instead of x.x.x.x (IP) or http(s)://hostname or whatever<br>else I want to connect to like RDP servers, etc.<br><br>Internal Devices <-- Customer Site with a rasperry pi --> Internet --> Public Server <-- Laptop, PC, whatever<br><br>Here is my config (I don't have a "Laptop , PC , whatever" config yet):<br><br>Server with public IPv4 address:<br><br>/etc/tinc/tinc.conf<br>  <br>  Name = devtun<br>  AddressFamily = ipv4<br>  Interface = tuu0<br>  Mode = router<br><br>/etc/tinc/devtun/tinc-up<br><br>  #!/bin/sh<br>  ifconfig $INTERFACE <a href="http://192.168.2.1/29">192.168.2.1/29</a><br>  route add -net <a href="http://192.168.0.0/24">192.168.0.0/24</a> gw 192.168.2.1 dev $INTERFACE<br><br>/etc/tinc/devtun/hosts/devtun<br>  TunnelServer = yes<br>  Address = 10.0.10.3<br>  Subnet = <a href="http://192.168.2.1/32">192.168.2.1/32</a><br>  <br>  -----BEGIN RSA PUBLIC KEY-----<br>  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br>  -----END RSA PUBLIC KEY-----<br><br>  * Note that I also tried putting in another "Subnet" for the 192.168.0.0 but it<br>    didn't seem to do anything.<br><br><br>Command:  tincd -n devtun -d5 -D<br><br>  tincd 1.0.26 (Jul  5 2015 23:17:54) starting, debug level 5<br>  /dev/net/tun is a Linux tun/tap device (tun mode)<br>  Executing script tinc-up<br>  Listening on 0.0.0.0 port 655<br>  Ready<br><br><br><br>Client config (rasperry pi at the client site):<br><br>/etc/tinc/tinc.conf<br><br>  Name = demo<br>  AddressFamily = ipv4<br>  Interface = tuu0<br>  ConnectTo = devtun<br>  Mode = router<br><br>/etc/tinc/tinc-up<br><br>  #!/bin/sh<br>  ifconfig $INTERFACE <a href="http://192.168.2.2/29">192.168.2.2/29</a><br>  # This route breaks networking!  Definitely don't use this!<br>  # route add -net <a href="http://192.168.0.0/24">192.168.0.0/24</a> gw 192.168.2.2 dev $INTERFACE<br><br>/etc/tinc/demo/hosts/demo<br>  <br>  TunnelServer = yes<br>  Address = 67.219.201.3<br>  Subnet = <a href="http://192.168.2.2/32">192.168.2.2/32</a><br>  Subnet = <a href="http://192.168.0.0/24">192.168.0.0/24</a><br>  Mode = router<br>  <br>  -----BEGIN RSA PUBLIC KEY-----<br>  xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx<br>  -----END RSA PUBLIC KEY-----<br><br><br>Command:  tincd -n demo -d5 -D<br><br><br><br>Server logs of interest:<br><br>Sending ADD_SUBNET to demo (75.134.104.213 port 54059): 10 1b9f2ab0 devtun <a href="http://192.168.2.1/32#10">192.168.2.1/32#10</a><br>Got ADD_SUBNET from demo (75.134.104.213 port 54059): 10 3d2ef9c2 demo <a href="http://192.168.2.2/32#10">192.168.2.2/32#10</a><br>Ignoring unauthorized ADD_SUBNET from demo (75.134.104.213 port 54059): <a href="http://192.168.2.2/32#10">192.168.2.2/32#10</a><br>Got ADD_SUBNET from demo (75.134.104.213 port 54059): 10 79c41aff demo <a href="http://192.168.0.0/24#10">192.168.0.0/24#10</a><br>Ignoring unauthorized ADD_SUBNET from demo (75.134.104.213 port 54059): <a href="http://192.168.0.0/24#10">192.168.0.0/24#10</a><br><br><br>Both server and client can ping each other.<br><br>So...why would I be getting that "unauthorized subnet" from the demo site?<br><br>Once I iron out the subnet issue how can I "route" from the server or other clients connected<br>to the server beyond the client (which is my pi)?<br><br>I have played about with various route adds but nothing seems to work and get me PAST the pi.<br><br>I've tried paying with adding the routes but something isn't right.<br><br>OH and also...when I have the client config files like this on each host:<br><br>server has:<br>  devtun <-- what I actually fire up with tincd to "listen"<br>  demo<br><br>client has:<br>  devtun<br>  demo <-- what I actually fire up with tincd to "connect"<br><br>...does the client really care what the "devtun" config file has in it besides the authentication key?<br>...does the server really care what the "demo" config file has in it besides the autnetication key?<br><br>I'm a bit confused besides the KEY if the client really cares what's in that file since it's not "called"<br>by the daemon.<br><br>Thanks for any insight and help!<br><br><br></div>