tinc-vpn.org Git - tinc/blob - README

   1 This is the README file for tinc version 1.0pre5. Installation
   2 instructions may be found in the INSTALL file.
   3
   4 tinc is Copyright (C) 1998-2002 by:
   5
   6 Ivo Timmermans <itimmermans@bigfoot.com>,
   7 Guus Sliepen <guus@sliepen.warande.net>,
   8 and others.
   9
  10 For a complete list of authors see the AUTHORS file.
  11
  12 This program is free software; you can redistribute it and/or modify
  13 it under the terms of the GNU General Public License as published by
  14 the Free Software Foundation; either version 2 of the License, or (at
  15 your option) any later version. See the file COPYING for more details.
  16
  17
  18 Security statement
  19 ------------------
  20
  21 In August 2000, we discovered the existence of a security hole in all versions
  22 of tinc up to and including 1.0pre2. This had to do with the way we exchanged
  23 keys. Since then, we have been working on a new authentication scheme to make
  24 tinc as secure as possible. The current version uses the OpenSSL library and
  25 uses strong authentication with RSA keys.
  26
  27 On the 29th of December 2001, Jerome Etienne posted a security analysis of tinc
  28 1.0pre4. Due to a lack of sequence numbers and a message authentication code
  29 for each packet, an attacker could possibly disrupt certain network services or
  30 launch a denial of service attack by replaying intercepted packets.
  31
  32 Cryptography is a hard thing to get right. We cannot make any
  33 guarantees. Time, review and feedback are the only things that can
  34 prove the security of any cryptographic product. If you wish to review
  35 tinc or give us feedback, you are stronly encouraged to do so.
  36
  37
  38 Changes to configuration file format
  39 ------------------------------------
  40
  41 Some configuration variables have different names now. Most notably "TapDevice"
  42 should be changed into "Device", and "Device" should be changed into
  43 "BindToDevice".
  44
  45
  46 Requirements
  47 ------------
  48
  49 Since 1.0pre3, we use OpenSSL for all cryptographic functions.  So you
  50 need to install this library first; grab it from
  51 http://www.openssl.org/.  We recommend version 0.9.5 or better.  If
  52 this library is not installed on you system, configure will fail.  The
  53 manual in doc/tinc.texi contains more detailed information on how to
  54 install this library.
  55
  56 In order to compile tinc, you will also need autoconf, automake, GNU make, m4
  57 and gettext.
  58
  59
  60 Features
  61 --------
  62
  63 This version of tinc supports multiple virtual networks at once. To
  64 use this feature, you may supply a netname via the -n or --net
  65 options. The standard locations for the config files will then be
  66 /etc/tinc/<net>/. Because of this feature, tinc will send packets
  67 directly to their destinations, instead of to the uplink. If this
  68 behaviour is undesirable (for instance because of firewalls or other
  69 restrictions), please use an older version of tinc (I would recommend
  70 tinc-0.2.19).
  71
  72 In order to force the kernel to accept received packets, the
  73 destination MAC address will be set to FE:FD:00:00:00:00 upon
  74 reception. The MAC address of the ethertap or tun/tap interface must
  75 also be set to this address. See the manual for more detailed
  76 information.
  77
  78 tincd regenerates its encryption key pairs. It does this on the first
  79 activity after the keys have expired. This period is adjustable in the
  80 configuration file, and the default time is 3600 seconds (one hour).
  81
  82 This version supports multiple subnets at once. They are also sorted
  83 on subnet mask size. This means that it is possible to have
  84 overlapping subnets on the VPN, as long as their subnet mask sizes
  85 differ.
  86
  87 Since pre5, tinc can operate in several routing modes. The default mode,
  88 "router", works exactly like the older version, and uses Subnet lines to
  89 determine the destination of packets. The other two modes, "switch" and "hub",
  90 allow the tinc daemons to work together like a single network switch or hub.
  91 This is useful for bridging networks.
  92
  93 The algorithms used for encryption and generating message authentication codes
  94 can now be changed in the configuration files. All cipher and digest algorithms
  95 supported by OpenSSL can be used. Useful ciphers are "blowfish" (default),
  96 "bf-ofb", "des", "des3", etcetera. Useful digests are "sha1" (default), "md5",
  97 etcetera.
  98
  99 Preliminary support for routing IPv6 packets has been added. Just add Subnet
 100 lines with IPv6 addresses (without using :: abbreviations) and use ifconfig to
 101 give the virtual network interface corresponding IPv6 addresses.
 102 Autoconfiguration will not work in router mode.