<div dir="ltr">So does this mean that without TunnelServer enabed, any two tinc nodes can exchange data directly with one another, even if one/both don't have ConnectTo set for the other, and/or don't have a hosts file for the other?<div><br></div><div>Does this apply to both the meta (tcp) and data (udp) connections?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Feb 13, 2017 at 6:59 AM, Yazeed Fataar <span dir="ltr"><<a href="mailto:yazeedfataar@gmail.com" target="_blank">yazeedfataar@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Thank you Guillermo. I will give it a go and revert back with my results.</div><div class="gmail_extra"><br clear="all"><div><div class="m_-968381950890030661gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr">Regards<span class="HOEnZb"><font color="#888888"><br>Yazeed Fataar<br></font></span></div><a href="mailto:yazeedfataar@hotmail.com" target="_blank"></a></div></div></div></div></div><div><div class="h5">
<br><div class="gmail_quote">On Mon, Feb 13, 2017 at 2:26 PM, Guillermo Bisheimer <span dir="ltr"><<a href="mailto:gbisheimer@bys-control.com.ar" target="_blank">gbisheimer@bys-control.com.ar</a><wbr>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr" class="m_-968381950890030661m_5272289376170136649gmail_msg">Hi Yazeed,<div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">You have to add this to tinc.conf</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">TunnelServer = yes</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">Otherwise tinc will manage package routing internally. Then you can manage forwarding rules using IPTABLES as usual.</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">Hope it helps.</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div></div><br class="m_-968381950890030661m_5272289376170136649gmail_msg"><div class="gmail_quote m_-968381950890030661m_5272289376170136649gmail_msg"><div><div class="m_-968381950890030661h5"><div dir="ltr" class="m_-968381950890030661m_5272289376170136649gmail_msg">El lun., 13 feb. 2017 a las 8:11, Yazeed Fataar (<<a href="mailto:yazeedfataar@gmail.com" class="m_-968381950890030661m_5272289376170136649gmail_msg" target="_blank">yazeedfataar@gmail.com</a>>) escribió:<br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div></div></div><blockquote class="gmail_quote m_-968381950890030661m_5272289376170136649gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="m_-968381950890030661h5"><div dir="ltr" class="m_-968381950890030661m_5272289376170136649gmail_msg">Hi<div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">I have a simple hub and spoke topology where all my nodes connect to a central node. Below is tinc.conf for main node</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><b class="m_-968381950890030661m_5272289376170136649gmail_msg">tinc.conf</b></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><div class="m_-968381950890030661m_5272289376170136649gmail_msg">Name = main</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">Interface = tun0</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">Forwarding = kernel</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">and the remote nodes have same with ConnectTo = main.</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">I have tried to apply a basic iptable policy on the main node but the traffic still seems to passthough and the nodes can communicate with each other. How do I apply policy between the two remote nodes on the main hub node? I would like in future to only allow a selected ports to be allowed between the nodes but for now I want iptables to manage policy between nodes.</div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><b class="m_-968381950890030661m_5272289376170136649gmail_msg">Main node IPTABLES rule</b></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"> iptables -A FORWARD -s <site1-ip> -d <site2-ip> -j DROP</div></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"> iptables -A FORWARD -s <site2-ip> -d <site1-ip> -j DROP<br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><div class="m_-968381950890030661m_5272289376170136649gmail_msg">default DENY </div><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><br clear="all" class="m_-968381950890030661m_5272289376170136649gmail_msg"><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><div class="m_-968381950890030661m_5272289376170136649m_-8017354606726620611m_-6722165310070614394gmail_signature m_-968381950890030661m_5272289376170136649gmail_msg"><div dir="ltr" class="m_-968381950890030661m_5272289376170136649gmail_msg"><div class="m_-968381950890030661m_5272289376170136649gmail_msg"><div dir="ltr" class="m_-968381950890030661m_5272289376170136649gmail_msg"><div dir="ltr" class="m_-968381950890030661m_5272289376170136649gmail_msg">Regards<br class="m_-968381950890030661m_5272289376170136649gmail_msg">Yazeed<br class="m_-968381950890030661m_5272289376170136649gmail_msg"></div><a href="mailto:yazeedfataar@hotmail.com" class="m_-968381950890030661m_5272289376170136649gmail_msg" target="_blank"></a></div></div></div></div></div>
</div></div></div></div></div>
______________________________<wbr>_________________<br class="m_-968381950890030661m_5272289376170136649gmail_msg">
tinc mailing list<br class="m_-968381950890030661m_5272289376170136649gmail_msg">
<a href="mailto:tinc@tinc-vpn.org" class="m_-968381950890030661m_5272289376170136649gmail_msg" target="_blank">tinc@tinc-vpn.org</a><br class="m_-968381950890030661m_5272289376170136649gmail_msg">
<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" class="m_-968381950890030661m_5272289376170136649gmail_msg" target="_blank">https://www.tinc-vpn.org/cgi-b<wbr>in/mailman/listinfo/tinc</a><br class="m_-968381950890030661m_5272289376170136649gmail_msg">
</blockquote></div></div><div dir="ltr">-- <br></div><div data-smartmail="gmail_signature"><div dir="ltr"><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><b><i><span style="font-family:arial,sans-serif;color:rgb(31,73,125)">Ing. Guillermo Bisheimer</span></i></b><span style="font-family:arial,sans-serif"></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><b><span style="font-family:arial,sans-serif;color:rgb(31,73,125)">B&S Sistemas de Control y Equipamientos</span></b><span style="font-family:arial,sans-serif"></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><span style="font-family:arial,sans-serif;color:rgb(79,129,189)">Av. de los Constituyentes 1172</span><span style="font-family:arial,sans-serif"></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><span style="font-family:arial,sans-serif;color:rgb(79,129,189)">(E3116CIX) Crespo, Entre Ríos</span><span style="font-family:arial,sans-serif"></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><span style="background-color:rgb(255,255,0)"><span style="font-family:arial,sans-serif;color:rgb(79,129,189)">Tel/Fax: (</span><font color="#4f81bd" face="Arial, sans-serif">0343) 407-8990 (Nuevo número)</font></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><span style="font-family:arial,sans-serif;color:rgb(79,129,189)">Cel: (0343) 154679052</span><span style="font-family:arial,sans-serif"></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><span style="font-family:arial,sans-serif;color:rgb(31,73,125)">WEB: </span><span style="font-size:10pt;font-family:arial,sans-serif;color:rgb(31,73,125)"><a href="http://www.bys-control.com.ar/" target="_blank">www.bys-control.com.ar</a></span><span style="font-family:arial,sans-serif"></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><span style="font-family:arial,sans-serif;color:rgb(31,73,125)">e-mail: <a href="mailto:gbisheimer@bys-control.com.ar" target="_blank">gbisheimer@bys-control<wbr>.com.ar</a></span><span style="font-family:arial,sans-serif"></span></p><p style="font-family:"helvetica neue",helvetica,arial,sans-serif;line-height:19.5px;margin:0cm 0cm 0.0001pt"><span style="font-family:arial,sans-serif;color:rgb(31,73,125)">skype: guillermo.bisheimer</span></p></div></div>
<br>______________________________<wbr>_________________<br>
tinc mailing list<br>
<a href="mailto:tinc@tinc-vpn.org" target="_blank">tinc@tinc-vpn.org</a><br>
<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-b<wbr>in/mailman/listinfo/tinc</a><br>
<br></blockquote></div><br></div></div></div>
<br>______________________________<wbr>_________________<br>
tinc mailing list<br>
<a href="mailto:tinc@tinc-vpn.org">tinc@tinc-vpn.org</a><br>
<a href="https://www.tinc-vpn.org/cgi-bin/mailman/listinfo/tinc" rel="noreferrer" target="_blank">https://www.tinc-vpn.org/cgi-<wbr>bin/mailman/listinfo/tinc</a><br>
<br></blockquote></div><br></div>