Re: vpn

To: debian-user-spanish@lists.debian.org
Subject: Re: vpn
From: Iñaki <ibc2@euskalnet.net>
Date: Sat, 08 Jul 2006 19:13:31 +0200
Message-id: <[🔎] 200607081913.31182.ibc2@euskalnet.net>
In-reply-to: <[🔎] 200607072357.16963.rroldan@drim.com.ar>
References: <44726F78.6000207@argentina.com> <200605232206.57164.ibc2@euskalnet.net> <[🔎] 200607072357.16963.rroldan@drim.com.ar>

El Sábado, 8 de Julio de 2006 04:57, Roldyx escribió:

> Quizás sea muy 
> complejo para vos y te limites a instalar openssl por que es mas simple,

O quizás es que tú no puedes llegar a entender que Ipsec NO fue desarrollado 
para realizar VPN's, de ahí su dificultad de implementación y de ahí su poca 
flexibilidad y posibilidades.

Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo  
autenticación, integridad y confidencialidad a las comunicaciones. 
Posteriormente fue añadido en plan parche a IPv4, y en uno de sus modos (en 
el modo túnel) permite implementar VPN's de manera un pelín tediosa e 
inflexible.

Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz virtual 
específico para la VPN así que monitorizar el tráfico de la misma se hace 
algo más complejo, mientras que OpenVPN y otras soluciones de VPN en capa de 
transporte crean interfaces tipo "tun0" que permiten ser monitorizados de 
manera mucho más sencilla.

Dado tu tono despectivo hacia mí te reto a que coloques de manera elegante con 
cualquier solución Ipsec una VPN entre dos ubicaciones teniendo cada una IP 
dinámica (cuando te veas obligado a montar scripts que permanentemente 
monitorizan la IP del interfaz y cuando cambia modifican los archivos de 
configuración de Ipsec y reinician la VPN igual entonces te gusta más 
OpenVPN).

Y ya puestos, te reto también a que hagas una VPN con Ipsec entre dos 
delegaciones estando el Linux de una de ellas detrás de un router NAT (es 
decir, sin implementar Ipsec en el router, sino en un Linux). => Es evidente 
que no se puede, Ipsec no atraviesa routers NAT. Sin embargo en OpenVPN se 
hace todo por un puerto UDP así que puedes crear una VPN entre lo que 
quieras.



> pero bue.. cada quien con su librito. Yo recomiendo ipsec pero es solo mi
> experiencia realizada con las sucursales y la casa central del Banco en el
> que estoy trabajando.

Es una opinión perfectamente válida, no tanto como el tono ofensivo de tu 
mensaje.


> Un abrazo y evitemos flames!!!

Saludos.

> Saludos. Roldyx.
>
> >El Martes 23 Mayo 2006 17:06, Iñaki escribió:
> >
> >  El Martes, 23 de Mayo de 2006 21:23, Roldyx escribió:
> >  > Iñaki:
> >  > 		No es cuestion de complejidad, operan a distintos niveles.
> >  > Si uno quiere hacer algo pero para un empresa, algo profesional, lo
> >  > mejor es openswan (vpn usando ipsec).
> >
> >  <ironic mode=on>
> >  Vaya, entonces tendré que quitar mis instalaciones de OpenVPN y poner
> > IPsec... snif.
> >  </ironic>
> >
> >  > Openvpn usa ssl y es mucho mas facil de integrar.
> >
> >  No es que sea más fácil, es que IPsec NO fue diseñado para hacer VPN's,
> > fue diseñado para ofrecer seguridad y autenticidad de origen en IPv6, y
> > posteriormente fue portado a IPv4 y aprovechado también para hacer VPN's
> > de manera infernal.
> >
> >  Luego apareció OpenSwan (FreeSwan) que es otra implementación de IPsec,
> > más humana pero con las mismas limitaciones.
> >
> >  En una ocasión tuve que crear una VPN entre dos máquinas ambas con IP
> >  dinámica. Oí de gente que lo había hecho con FreeSwan creando scripts
> > que detectan el cambio de IP y modifican en consecuencia los ficheros de
> > FreeSwan y reinician el servicio... y de repente encontré OpenVPN, donde
> > hacer lo que quería era ridículamente fácil.
> >
> >  Para mí que algo sea más flexible significa que es mejor. No creo que
> > nadie pueda aportar pruebas de que IPsec es más "robusto" o estable que
> > OpenVPN, o de que funciona mejor, o de que da manos latencia, etc.
> >
> >  La única ventaja de IPsec es que es la VPN que implementan diversos
> > routers, nada más (que yo sepa).
> >
> >  En cambio desventajas de IPsec hay muchas:
> >  - Los equipos que hacen la VPN no pueden estar detrás de un NAT, ambos
> >  extremos deben estar directamente expuestos a internet (con esto
> > eliminamos ya un montón de escenarios y posibilidades).
> >  - La configuración es infernal (que si racoon , que si setkey, varios
> > ficheros de configuración...).
> >  - No vale para IP's dinamicas porque necesita valores de IP's y no sabe
> >  consultar dominios.
> >
> >
> >  No obstante estoy seguro de que mucha gente se siente más cómoda con
> > IPsec, de acuerdo, pero para reconocer que IPsec es mejor yo pido pruebas
> > y justificaciones.
> >
> >
> >  PD: Las VPN's que he puesto hasta ahora con OpenVPN funcionan de fábula.
> >
> >
> >  Saludos.

-- 
Por el bien de todos respetemos las normas de la lista:
  http://wiki.debian.org/NormasLista

Reply to:

Follow-Ups:
- Re: vpn
  - From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>

References:
- Re: vpn
  - From: Roldyx <rroldan@drim.com.ar>

Prev by Date: Re: Re: Crear una initrd.img para mi kernel
Next by Date: Re: [OT] Re: Xgl en ubuntu (quizás sea algo offtopic)
Previous by thread: Re: vpn
Next by thread: Re: vpn
Index(es):
- Date
- Thread