www.tinc-vpn.org Git - tinc/blob - README.md

   1 # tinc
   2
   3 This is the README file for tinc version 1.1pre18. Installation instructions may be found in the [INSTALL](INSTALL.md) file.
   4
   5 ## Copyright
   6
   7 tinc is Copyright © 1998-2021 Ivo Timmermans, Guus Sliepen <guus@tinc-vpn.org>, and others.
   8
   9 For a complete list of authors see the AUTHORS file.
  10
  11 This program is free software; you can redistribute it and/or modify
  12 it under the terms of the GNU General Public License as published by
  13 the Free Software Foundation; either version 2 of the License, or (at
  14 your option) any later version. See the file COPYING for more details.
  15
  16 ## Nightly builds
  17
  18 You can download pre-built binary packages for multiple Linux distributions and Windows here:
  19
  20 - [development version](https://github.com/gsliepen/tinc/releases/tag/latest)
  21 - [latest release](https://github.com/gsliepen/tinc/releases/latest)
  22
  23 Note that these packages have not been heavily tested and are not officialy supported by the project. Use them at your own risk. You are advised to use tinc shipped by your distribution, or build from source.
  24
  25 ## This is a pre-release
  26
  27 Please note that this is NOT a stable release. Until version 1.1.0 is released,
  28 please use one of the 1.0.x versions if you need a stable version of tinc.
  29
  30 Although tinc 1.1 will be protocol compatible with tinc 1.0.x, the
  31 functionality of the tinc program may still change, and the control socket
  32 protocol is not fixed yet.
  33
  34 ## Security statement
  35
  36 This version uses an experimental and unfinished cryptographic protocol. Use it
  37 at your own risk.
  38
  39 When connecting to nodes that use the legacy protocol used in tinc 1.0, be
  40 aware that any security issues in tinc 1.0 will apply to tinc 1.1 as well. On
  41 September 6th, 2018, Michael Yonly contacted us and provided proof-of-concept
  42 code that allowed a remote attacker to create an authenticated, one-way
  43 connection with a node using the legacy protocol, and also that there was a
  44 possibility for a man-in-the-middle to force UDP packets from a node to be sent
  45 in plaintext. The first issue was trivial to exploit on tinc versions prior to
  46 1.0.30, but the changes in 1.0.30 to mitigate the Sweet32 attack made this
  47 weakness much harder to exploit. These issues have been fixed in tinc 1.0.35
  48 and tinc 1.1pre17. The new protocol in the tinc 1.1 branch is not susceptible
  49 to these issues. However, be aware that SPTPS is only used between nodes
  50 running tinc 1.1pre\* or later, and in a VPN with nodes running different
  51 versions, the security might only be as good as that of the oldest version.
  52
  53 ## Compatibility
  54
  55 Version 1.1pre18 is compatible with 1.0pre8, 1.0 and later, but not with older
  56 versions of tinc.
  57
  58 When the ExperimentalProtocol option is used, tinc is still compatible with
  59 1.0.X, 1.1pre11 and later, but not with any version between 1.1pre1 and
  60 1.1pre10.
  61
  62 ## Requirements
  63
  64 In order to compile tinc, you will need a GNU C compiler environment. Please
  65 ensure you have the latest stable versions of all the required libraries:
  66
  67 - LibreSSL (http://www.libressl.org/) or OpenSSL (https://openssl.org/) version 1.1.0 or later.
  68
  69 The following libraries are used by default, but can be disabled if necessary:
  70
  71 - zlib (https://zlib.net/)
  72 - LZO (https://www.oberhumer.com/opensource/lzo/)
  73 - ncurses (https://invisible-island.net/ncurses/)
  74 - readline (https://cnswww.cns.cwru.edu/php/chet/readline/rltop.html)
  75
  76 ## Features
  77
  78 Tinc is a peer-to-peer VPN daemon that supports VPNs with an arbitrary number
  79 of nodes. Instead of configuring tunnels, you give tinc the location and
  80 public key of a few nodes in the VPN. After making the initial connections to
  81 those nodes, tinc will learn about all other nodes on the VPN, and will make
  82 connections automatically. When direct connections are not possible, data will
  83 be forwarded by intermediate nodes.
  84
  85 Tinc 1.1 support two protocols. The first is a legacy protocol that provides
  86 backwards compatibility with tinc 1.0 nodes, and which by default uses 2048 bit
  87 RSA keys for authentication, and encrypts traffic using AES256 in CBC mode
  88 and HMAC-SHA256. The second is a new protocol which uses Curve25519 keys for
  89 authentication, and encrypts traffic using Chacha20-Poly1305, and provides
  90 forward secrecy.
  91
  92 Tinc fully supports IPv6.
  93
  94 Tinc can operate in several routing modes. In the default mode, "router", every
  95 node is associated with one or more IPv4 and/or IPv6 Subnets. The other two
  96 modes, "switch" and "hub", let the tinc daemons work together to form a virtual
  97 Ethernet network switch or hub.
  98
  99 Normally, when started tinc will detach and run in the background. In a native
 100 Windows environment this means tinc will install itself as a service, which will
 101 restart after reboots. To prevent tinc from detaching or running as a service,
 102 use the -D option.
 103
 104 The status of the VPN can be queried using the "tinc" command, which connects
 105 to a running tinc daemon via a control connection. The same tool also makes it
 106 easy to start and stop tinc, and to change its configuration.