INSTALL

   1 INSTALLATION INSTRUCTIONS for SECNET
   2
   3 USE AT YOUR OWN RISK.  THIS IS ALPHA TEST SOFTWARE.  I DO NOT
   4 GUARANTEE THAT THERE WILL BE PROTOCOL COMPATIBILITY BETWEEN DIFFERENT
   5 VERSIONS.
   6
   7 * Preparation
   8
   9 ** System software support
  10
  11 Ensure that you have libgmp3-dev and adns installed (and bison and
  12 flex, and for that matter gcc...).
  13
  14 [On BSD install /usr/ports/devel/bison]
  15
  16 If you intend to configure secnet to obtain packets from the kernel
  17 through userv-ipif, install and configure userv-ipif.  It is part of
  18 userv-utils, available from ftp.chiark.greenend.org.uk in
  19 /users/ian/userv
  20
  21 If you intend to configure secnet to obtain packets from the kernel
  22 using the universal TUN/TAP driver, make sure it's configured in your
  23 kernel (it's under "network device support" in Linux-2.4) and that
  24 you've created the appropriate device files; see
  25 linux/Documentation/networking/tuntap.txt
  26
  27 If you're using TUN/TAP on a platform other than Linux-2.4, see
  28 http://vtun.sourceforge.net/tun/
  29
  30 You will probably be using the supplied `make-secnet-sites' program to
  31 generate your VPN's list of sites as a secnet configuration from a
  32 more-human-writeable form.  If so you need to install the standard
  33 `future' and `ipaddr' Python modules (python-future and python-ipaddr
  34 on Debian-derived systems).
  35
  36 ** System and network configuration
  37
  38 If you intend to start secnet as root, I suggest you create a userid
  39 for it to run as once it's ready to drop its privileges.  Example (on
  40 Debian):
  41 # adduser --system --no-create-home secnet
  42
  43 If you're using the 'soft routes' feature (for some classes of mobile
  44 device) you'll have to run as root all the time, to enable secnet to
  45 add and remove routes from your kernel's routing table.  (This
  46 restriction may be relaxed later if someone writes a userv service to
  47 modify the routing table.)
  48
  49 If you are joining an existing VPN, read that VPN's documentation now.
  50 It may supersede the next paragraph.
  51
  52 In most configurations, you will need to allocate two IP addresses for
  53 use by secnet.  One will be for the tunnel interface on your tunnel
  54 endpoint machine (i.e. the address you see in 'ifconfig' when you look
  55 at the tunnel interface).  The other will be for secnet itself.  These
  56 addresses should probably be allocated from the range used by your
  57 internal network: if you do this, you should provide appropriate
  58 proxy-ARP on the internal network interface of the machine running
  59 secnet (eg. add an entry net/ipv4/conf/eth_whatever/proxy_arp = 1 to
  60 /etc/sysctl.conf on Debian systems and run sysctl -p).  Alternatively
  61 the addresses could be from some other range - this works well if the
  62 machine running secnet is the default route out of your network - but
  63 this requires more thought.
  64
  65 http://www.ucam.org/cam-grin/ may be useful.
  66
  67 * Installation
  68
  69 If you installed the Debian package of secnet, skip to "If installing
  70 for the first time", below, and note that example.conf can be found in
  71 /usr/share/doc/secnet/examples.
  72
  73 To install secnet do
  74
  75 $ ./configure
  76 $ make
  77 # make install
  78 # mkdir /etc/secnet
  79
  80 (Note: you may see the following warning while compiling
  81 conffile.tab.c; this is a bug in bison-1.28:
  82 /usr/share/bison/bison.simple: In function `yyparse':
  83 /usr/share/bison/bison.simple:285: warning: `yyval' might be used
  84  uninitialized in this function
  85
  86 You may if you wish apply the following patch to bison.simple:
  87 diff -pu -r1.28.0.1 -r1.28.0.3
  88 --- bison.s1    1999/08/30 19:23:24     1.28.0.1
  89 +++ bison.s1    1999/08/30 21:15:18     1.28.0.3
  90 @@ -523,8 +523,14 @@ yydefault:
  91  /* Do a reduction.  yyn is the number of a rule to reduce with.  */
  92  yyreduce:
  93    yylen = yyr2[yyn];
  94 -  if (yylen > 0)
  95 -    yyval = yyvsp[1-yylen]; /* implement default value of the action */
  96 +
  97 +  /* If yylen is nonzero, implement the default value of the action.
  98 +     Otherwise, the following line sets yyval to the semantic value of
  99 +     the lookahead token.  This behavior is undocumented and bison
 100 +     users should not rely upon it.  Assigning to yyval
 101 +     unconditionally makes the parser a bit smaller, and it avoids a
 102 +     GCC warning that yyval may be used uninitialized.  */
 103 +  yyval = yyvsp[1-yylen];
 104
 105  #if YYDEBUG != 0
 106    if (yydebug)
 107 )
 108
 109 Any other warnings or errors should be reported to
 110 steve@greenend.org.uk.
 111
 112 If installing for the first time, do
 113
 114 # cp example.conf /etc/secnet/secnet.conf
 115 # cd /etc/secnet
 116 # ssh-keygen -f key -t rsa1 -N ""
 117
 118 (You may need ssh-keygen1, instead, which might be found in
 119 openssh-client-ssh1.)
 120
 121 [On BSD use
 122 $ LDFLAGS="-L/usr/local/lib" ./configure
 123 $ gmake CFLAGS="-I/usr/local/include" LDFLAGS="-L/usr/local/lib"
 124 XXX this should eventually be worked out automatically by 'configure'.]
 125
 126 Generate a site file fragment for your site (see your VPN's
 127 documentation, or see below), and submit it for inclusion in your
 128 VPN's 'sites' file.  Download the vpn-sites file to /etc/secnet/sites
 129 - MAKE SURE YOU GET AN AUTHENTIC COPY because the sites file contains
 130 public keys for all the sites in the VPN.  Use the make-secnet-sites
 131 program provided with the secnet distribution to convert the
 132 distributed sites file into one that can be included in a secnet
 133 configuration file:
 134
 135 # make-secnet-sites /etc/secnet/sites /etc/secnet/sites.conf
 136
 137 * Configuration
 138
 139 Should be reasonably obvious - edit /etc/secnet/secnet.conf as
 140 prompted by the comments in example.conf.  XXX Fuller documentation of
 141 the configuration file format should be forthcoming in time.  Its
 142 syntax is described in the README file at the moment.
 143
 144 * Constructing your site file fragment
 145
 146 You need the following information:
 147
 148 1. the name of your VPN.
 149
 150 2. the name of your location(s).
 151
 152 3. a short name for your site, eg. "sinister".  This is used to
 153 identify your site in the vpn-sites file, and should probably be the
 154 same as its hostname.
 155
 156 4. the DNS name of the machine that will be the "front-end" for your
 157 secnet installation.  This will typically be the name of the gateway
 158 machine for your network, eg. sinister.dynamic.greenend.org.uk
 159
 160 secnet does not actually have to run on this machine, as long as the
 161 machine can be configured to forward UDP packets to the machine that
 162 is running secnet.
 163
 164 5. the port number used to contact secnet at your site.  This is the
 165 port number on the front-end machine, and does not necessarily have to
 166 match the port number on the machine running secnet.  If you want to
 167 use a privileged port number we suggest 410.  An appropriate
 168 unprivileged port number is 51396.
 169
 170 6. the list of networks accessible at your site over the VPN.
 171
 172 7. the public part of the RSA key you generated during installation
 173 (in /etc/secnet/key.pub if you followed the installation
 174 instructions).  This file contains three numbers and a comment on one
 175 line.
 176
 177 If you are running secnet on a particularly slow machine, you may like
 178 to specify a larger value for the key setup retry timeout than the
 179 default, to prevent unnecessary retransmissions of key setup packets.
 180 See the notes in the example configuration file for more on this.
 181
 182 The site file fragment should look something like this:
 183
 184 vpn sgo
 185 location greenend
 186 contact steve@greenend.org.uk
 187 site sinister
 188   networks 192.168.73.0/24 192.168.1.0/24 172.19.71.0/24
 189   address sinister.dynamic.greenend.org.uk 51396
 190   pubkey 1024 35 142982503......[lots more].....0611 steve@sinister