Re: Fw: Reglas a poner en iptables para dar acceso a una VPN

To: debian-user-spanish@lists.debian.org
Subject: Re: Fw: Reglas a poner en iptables para dar acceso a una VPN
From: Iñaki <ibc2@euskalnet.net>
Date: Fri, 13 Jan 2006 18:27:46 +0100
Message-id: <[🔎] 200601131827.46175.ibc2@euskalnet.net>
In-reply-to: <[🔎] 001301c6181e$98bdaa10$2224a8c0@institutoas.es>
References: <[🔎] 001301c6181e$98bdaa10$2224a8c0@institutoas.es>

El Viernes, 13 de Enero de 2006 09:51, Fernando García Cabrera escribió:
> Muchas gracias Iñaki por las molestias, pero la VPN de la que estoy
> hablando no
> es mía, es del Gobierno de Canarias o sea que tiene que ser por IPSec la
> conexión.
> Yo sólo estoy configurando el firewall para  dar acceso a un PC que tiene
> que
> conectarse con esa VPN. Incluso llamé a los técnicos que mantienen la VPN
> y ellos no sabían o no querían ayudarme.
> En fin, seguiré investigando y si averiguo como se hace lo publicaré aquí.


Que alguien me corrija si me equivoco, pero me atrevo a afirmar que con Ipsec, 
los equipos que hacen la VPN deben ser los que hacen de router NAT. No puedes 
poner un router en medio de los equipos que hacen la VPN (con IPsec).

Y creo que tampoco puedes poner en medio un firewall, aunque tal vez si lo 
configuras para que redirija los paquetes que lleven datos IPsec al router 
que hace la VPN... no lo sé. Ojalá alguien explique esto porque es una duda 
que tengo desde hace tiempo y no logro resolver.





> ----- Original Message -----
> From: "IÃ±aki" <ibc2@euskalnet.net>
> To: <debian-user-spanish@lists.debian.org>
> Sent: Wednesday, January 11, 2006 3:05 PM
> Subject: Re: Reglas a poner en iptables para dar acceso a una VPN
>
> El Miércoles, 11 de Enero de 2006 11:44, Fernando García Cabrera escribió:
> > Saludos listeros, estoy en la tesitura de dar acceso a través de mi
> > cortafuegos a un cliente de una VPN. En la documentación que enviaron los
> > de la VPN me dice que tengo que abrir los siguientes puertos: 1) Puerto
> > 500
> > UDP (IKE): Negociación del túnel IPSec
> >     2) Puerto 4500 UDP: encapsulación del protocolo de seguridad ESP
> > sobre UDP para NAT-T 3) Puerto 10000 TCP: encapsulación del protocolo de
> > seguridad ESP sobre TCP 4) Protocolo 50 (ESP).
> > Para cada una de estas acciones he escrito una regla de iptables en la
> > cadena FORWARD, que son: 1) iptables -A FORWARD -s 192.168.0.0/16 -p udp
> > --dport 500 -j ACCEPT 2) iptables -A FORWARD -s 192.168.0.0/16 -p udp
> > --dport 4500 -j ACCEPT 3) iptables -A FORWARD -s 192.168.0.0/16 -p tcp
> > --dport 10000 -j ACCEPT 4) iptables -A FORWARD -s 192.168.0.0/16 -p
> > sp  -j
> > ACCEPT
> > Sin embargo, la conexión entre el cliente de la VPN (en mi red local) y
> > el servidor (en la red remota) no se establece. Leyendo por ahí he visto
> > que si el cortafuegos hace NAT es un problema para la VPN, este es mi
> > caso puesto que las direcciones salientes se enmascaran, y ahora llega el
> > meollo
> > de la cuestión, a saber: 1) ¿Qué paquetes tengo que instalar para NAT-T?
> >     2) ¿Cómo configuro el cortafuegos para NAT-T?, sólo cuando se utilice
> > la VPN desde el cliente, ya que los demás equipos de la red no usan la
> > VPN.
> >
> > La verdad es que es la primera vez que ando con VPN's y agradecería mucho
> > cualquier indicación que pudieran hacerme. Gracias a todos por su
> > atención.
>
> Que yo sepa, las VPN con Ipsec no se pueden hacer entre dos equipos si uno
> de
> ellos está detrás de un router NAT. Los equipos que hagan la VPN con Ipsec
> deben "verse" directamente por internet (ambos con IP pública, resumiendo).
>
> Esos puertos que te han dicho tienes que abrirlos en el equipo que hace la
> VPN, y no en un firewall intermedio. De hecho como digo arriba, al haber
> ese firewall intermedio haciendo NAT es IMPOSIBLE la VPN con Ipsec.
>
> Ojalá alguien me contradiga y explique cómo se hace VPN Ipsec entre dos
> equipos estando uno de ellos detrás de un router NAT.
>
> Yo el consejo que te doy es muy simple:
>
> Si te es posible olvídate de Ipsec (que es un coñazo para hacer VPN) y usa
> OpenVPN, que es MUCHO más fácil y útil, ya que son paquetes UDP que llevan
> dentro cifrados los paquetes IP originales. Como son paquetes UDP puedes
> establecer una VPN entre dos equipos estando ambos detrás de un router NAT,
> tan sólo tienes que redirigir el tráfico entrante por el puerto 1194 en el
> router al equipo de la LAN que hace la VPN (o el puerto que prefieras).
>
> OpenVPN cifra los datos bien con una clave común o mediante TLS, por lo que
> la
> confidencialildad y privacidad está asegurada.
>
> Además permite hacer VPN's entre delegaciones fijas (incluso sin IP fija
> usando un dominio dinámico tipo dyndns.org) o establecer un servidor
> OpenVPN y configurar clientes remotos móviles que se conecten desde
> cualquier IP a ese servidor estableciendo en cada momento la VPN.
>
> Yo mismo hice hace poco un pequeño HowTo sobre OpenVPN, te lo pongo por si
> te
> interesa:
>   http://eureka-linux.com.ar/docs/openvpn.html
>
> Y por supuesto te recomiendo que visites la página oficial:
>   http://www.openvpn.net
> Ahí mucha documentación, ejemplos, clientes en modo gráfico para Windows...
>
>
>
> Saludos.
>
>
>
>
>
>
>
>
>
>
> --
> y hasta aquí puedo leer...

-- 
y hasta aquí puedo leer...

Reply to:

Follow-Ups:
- Re: Fw: Reglas a poner en iptables para dar acceso a una VPN
  - From: "Ricardo Marcelo Alvarez" <debianarg@yahoo.com.ar>

References:
- Fw: Reglas a poner en iptables para dar acceso a una VPN
  - From: Fernando García Cabrera <fernandogc@instituto-as.es>

Prev by Date: Re: ¿No hay PPPOA en Debian?
Next by Date: Re: iptables-restore no pone en marcha el cortafuegos
Previous by thread: Fw: Reglas a poner en iptables para dar acceso a una VPN
Next by thread: Re: Fw: Reglas a poner en iptables para dar acceso a una VPN
Index(es):
- Date
- Thread