Re: vpn

To: debian-user-spanish@lists.debian.org
Subject: Re: vpn
From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>
Date: Sun, 9 Jul 2006 12:19:52 +0100
Message-id: <[🔎] 200607091219.53996.rabs@dimension-virtual.com>
In-reply-to: <[🔎] 200607081913.31182.ibc2@euskalnet.net>
References: <44726F78.6000207@argentina.com> <[🔎] 200607072357.16963.rroldan@drim.com.ar> <[🔎] 200607081913.31182.ibc2@euskalnet.net>

El Sábado, 8 de Julio de 2006 18:13, Iñaki escribió:

Hola Iñaki, no voy a discutir nada sobre la "pelea" que te traes con ese otro 
listero, simplemente comentarte y puntualizarte sobre cosas que comentas de 
ipsec.

> O quizás es que tú no puedes llegar a entender que Ipsec NO fue
> desarrollado para realizar VPN's, de ahí su dificultad de implementación y
> de ahí su poca flexibilidad y posibilidades.

Tienes razón, no fué pensado para montar VPN's, fue pensado para hacerlas 
inútiles.

> Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo
> autenticación, integridad y confidencialidad a las comunicaciones.
> Posteriormente fue añadido en plan parche a IPv4, y en uno de sus modos (en
> el modo túnel) permite implementar VPN's de manera un pelín tediosa e
> inflexible.

Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es tediosa ni 
tampoco es poco flexible.

> Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz virtual
> específico para la VPN así que monitorizar el tráfico de la misma se hace
> algo más complejo, mientras que OpenVPN y otras soluciones de VPN en capa
> de transporte crean interfaces tipo "tun0" que permiten ser monitorizados
> de manera mucho más sencilla.

Es cierto que con la implementación nativa de KAME para 2.6 no se tienen los 
interfaces virtuales, pero es que tampoco hacen falta, "iptables -m 
policy --policy ipsec --dir in ..." y variantes es suficiente.

> Dado tu tono despectivo hacia mí te reto a que coloques de manera elegante
> con cualquier solución Ipsec una VPN entre dos ubicaciones teniendo cada
> una IP dinámica (cuando te veas obligado a montar scripts que
> permanentemente monitorizan la IP del interfaz y cuando cambia modifican
> los archivos de configuración de Ipsec y reinician la VPN igual entonces te
> gusta más OpenVPN).

Umm, no he montado nunca nada con OpenVPN, por lo que puede que vaya a decir 
una burrada, pero intuyo que sigues necesitando algún tipo de dns dinamico 
para conseguir que se "vean" ambos lados para poder negociar.

> Y ya puestos, te reto también a que hagas una VPN con Ipsec entre dos
> delegaciones estando el Linux de una de ellas detrás de un router NAT (es
> decir, sin implementar Ipsec en el router, sino en un Linux). => Es
> evidente que no se puede, Ipsec no atraviesa routers NAT. Sin embargo en
> OpenVPN se hace todo por un puerto UDP así que puedes crear una VPN entre
> lo que quieras.

Uy, uy, uy que cosa más falsa has dichoooooo ... ;-), Ipsec soporta NAT-T osea 
nat transversal, se puede montar un tunel IPSEC con AMBOS extremos detrás de 
un NAT, solo se necesita un puerto UDP redirigido en uno de los extremos. 
IPSEC SI ATRAVIESA NAT.


Aunque no sé quien escribió la siguiente argumentación, voy a contestarla.

> > >  La única ventaja de IPsec es que es la VPN que implementan diversos
> > > routers, nada más (que yo sepa).

FALSO, una de las ventajas de IPSec es que ESTÁ estandarizado, otra de las 
ventajas es que para el futuro IPv6 es OBLIGATORIO la implementación de 
IPSec, no veo yo a los de Cisco añadiendo soporte openvpn en los routers.

> > >  En cambio desventajas de IPsec hay muchas:
> > >  - Los equipos que hacen la VPN no pueden estar detrás de un NAT, ambos
> > >  extremos deben estar directamente expuestos a internet (con esto
> > > eliminamos ya un montón de escenarios y posibilidades).

Como ya he comentado antes esta afirmación es falsa, ambos extremos pueden 
estar detrás de un NAT.

> > >  - La configuración es infernal (que si racoon , que si setkey, varios
> > > ficheros de configuración...).

Solo hay un fichero de configuración, el racoon.conf o el racoon-tool.conf y 
tienen básicamente la misma configuración. Con Freeswan y compañia si que es 
un infierno configurar IPsec.
Si tienes racoon, no necesitas hacer nada con setkey, puesto que racoon es un 
IKE y su función es negociar las claves de sessión y evitarte tener que 
meterlas a mano con setkey.

> > >  - No vale para IP's dinamicas porque necesita valores de IP's y no
> > > sabe consultar dominios.

FALSO, se pueden hacer validaciones por:
- Nombre de usuario
- Nombre de dominio
- IP
- Certificados X.509
- Combinaciones de varios de los anteriores.

Lo que está claro es que has de saber a "donde llamar", osea que si ambos 
extremos tienen IP's dinámica, por lo menos uno de ellos ha de tener algún 
tipo de dns dinámico activado. Pero eso es exactamente igual que cualquier 
otro servicio, has de saber a "donde llamar", no se puede pegar un grito al 
monte y esperar la respuesta.

> > >  No obstante estoy seguro de que mucha gente se siente más cómoda con
> > > IPsec, de acuerdo, pero para reconocer que IPsec es mejor yo pido
> > > pruebas y justificaciones.

Yo no digo que sea mejor o peor, en mis firewall/router linux el cliente tiene 
la opción de usar lo que le dé la gana, openvpn, ipsec, pptp, etc. Yo 
recomiendo IPSec para las conexiones entre sedes y roadwarriors, ahora el 
cliente que haga lo que le dé la gana.

> > >  PD: Las VPN's que he puesto hasta ahora con OpenVPN funcionan de
> > > fábula.

Lo mismo digo yo de las que he montado con IPSec.

-- 
Saludos.

Raúl Alexis Betancor Santana
Director Gerente
Dimensión Virtual S.L.

Reply to:

Follow-Ups:
- Re: vpn
  - From: Iñaki <ibc2@euskalnet.net>

References:
- Re: vpn
  - From: Roldyx <rroldan@drim.com.ar>
- Re: vpn
  - From: Iñaki <ibc2@euskalnet.net>

Prev by Date: Re: Sniffers
Next by Date: Re: Sniffers
Previous by thread: Re: vpn
Next by thread: Re: vpn
Index(es):
- Date
- Thread