www.tinc-vpn.org Git - tinc/blob - README

   1 This is the README file for tinc version 1.0.1. Installation
   2 instructions may be found in the INSTALL file.
   3
   4 tinc is Copyright (C) 1998-2003 by:
   5
   6 Ivo Timmermans <ivo@o2w.nl>,
   7 Guus Sliepen <guus@sliepen.eu.org>,
   8 and others.
   9
  10 For a complete list of authors see the AUTHORS file.
  11
  12 This program is free software; you can redistribute it and/or modify
  13 it under the terms of the GNU General Public License as published by
  14 the Free Software Foundation; either version 2 of the License, or (at
  15 your option) any later version. See the file COPYING for more details.
  16
  17
  18 Security statement
  19 ------------------
  20
  21 In August 2000, we discovered the existence of a security hole in all versions
  22 of tinc up to and including 1.0pre2. This had to do with the way we exchanged
  23 keys. Since then, we have been working on a new authentication scheme to make
  24 tinc as secure as possible. The current version uses the OpenSSL library and
  25 uses strong authentication with RSA keys.
  26
  27 On the 29th of December 2001, Jerome Etienne posted a security analysis of tinc
  28 1.0pre4. Due to a lack of sequence numbers and a message authentication code
  29 for each packet, an attacker could possibly disrupt certain network services or
  30 launch a denial of service attack by replaying intercepted packets. The current
  31 version adds sequence numbers and message authentication codes to prevent such
  32 attacks.
  33
  34 Cryptography is a hard thing to get right. We cannot make any
  35 guarantees. Time, review and feedback are the only things that can
  36 prove the security of any cryptographic product. If you wish to review
  37 tinc or give us feedback, you are stronly encouraged to do so.
  38
  39
  40 Changes to configuration file format since 1.0pre5
  41 --------------------------------------------------
  42
  43 Some configuration variables have different names now. Most notably "TapDevice"
  44 should be changed into "Device", and "Device" should be changed into
  45 "BindToDevice".
  46
  47 Compatibility
  48 -------------
  49
  50 Version 1.0.1 is compatible with 1.0 and 1.0pre8 but not with older versions
  51 of tinc.
  52
  53
  54 Requirements
  55 ------------
  56
  57 Since 1.0pre3, we use OpenSSL for all cryptographic functions.  So you
  58 need to install this library first; grab it from
  59 http://www.openssl.org/.  You will need version 0.9.7 or later.  If
  60 this library is not installed on you system, configure will fail.  The
  61 manual in doc/tinc.texi contains more detailed information on how to
  62 install this library.
  63
  64 Since 1.0pre6, the zlib library is used for optional compression. You need this
  65 library whether or not you plan to enable the compression. You can find it at
  66 http://www.gzip.org/zlib/. Because of a possible exploit in earlier versions we
  67 recommand that you download version 1.1.4 or later.
  68
  69 Since 1.0, the lzo library is also used for optional compression. You need this
  70 library whether or not you plan to enable compression. You can find it at
  71 http://www.oberhumer.com/opensource/lzo/.
  72
  73 In order to compile tinc, you will need a GNU C compiler environment.
  74
  75
  76 Features
  77 --------
  78
  79 This version of tinc supports multiple virtual networks at once. To
  80 use this feature, you may supply a netname via the -n or --net
  81 options. The standard locations for the config files will then be
  82 /etc/tinc/<net>/.
  83
  84 tincd regenerates its encryption key pairs. It does this on the first
  85 activity after the keys have expired. This period is adjustable in the
  86 configuration file, and the default time is 3600 seconds (one hour).
  87
  88 This version supports multiple subnets at once. They are also sorted
  89 on subnet mask size. This means that it is possible to have
  90 overlapping subnets on the VPN, as long as their subnet mask sizes
  91 differ.
  92
  93 Since pre5, tinc can operate in several routing modes. The default mode,
  94 "router", works exactly like the older version, and uses Subnet lines to
  95 determine the destination of packets. The other two modes, "switch" and "hub",
  96 allow the tinc daemons to work together like a single network switch or hub.
  97 This is useful for bridging networks. The latter modes only work properly on
  98 Linux, FreeBSD and Windows.
  99
 100 The algorithms used for encryption and generating message authentication codes
 101 can now be changed in the configuration files. All cipher and digest algorithms
 102 supported by OpenSSL can be used. Useful ciphers are "blowfish" (default),
 103 "bf-ofb", "des", "des3", etcetera. Useful digests are "sha1" (default), "md5",
 104 etcetera.
 105
 106 Support for routing IPv6 packets has been added. Just add Subnet lines with
 107 IPv6 addresses (without using :: abbreviations) and use ifconfig or ip (from
 108 the iproute package) to give the virtual network interface corresponding IPv6
 109 addresses. tinc does not provide autoconfiguration for IPv6 hosts, if you need
 110 it use radvd or zebra. Tunneling IPv6 packets only works on Linux, FreeBSD,
 111 Windows and possibly OpenBSD.
 112
 113 It is also possible to make tunnels to other tinc daemons over IPv6 networks,
 114 if the operating system supports IPv6.  tinc will automatically use both IPv6
 115 and IPv4 when available, but this can be changed by adding the option
 116 "AddressFamily = ipv4" or "AddressFamily = ipv6" to the tinc.conf file.
 117
 118 Normally, when started tinc will detach and run in the background. In a native
 119 Windows environment this means tinc will intall itself as a service, which will
 120 restart after reboots.  To prevent tinc from detaching or running as a service,
 121 use the -D option.
 122