Re: vpn

[Iñaki <ibc2@euskalnet.net>]

El Domingo, 9 de Julio de 2006 13:19, Raúl Alexis Betancor Santana escribió:
> El Sábado, 8 de Julio de 2006 18:13, Iñaki escribió:
>
> Hola Iñaki, no voy a discutir nada sobre la "pelea" que te traes con ese
> otro listero, simplemente comentarte y puntualizarte sobre cosas que
> comentas de ipsec.

Ante todo comentarte que estoy seguro de que tienes razón en todo lo que 
dices, pero que el tono de mi correo anterior se debe sencillamente a que me 
dijeron literalmente "Quizás sea muy complejo para vos y te limites a 
instalar openssl por que es mas simple, pero bue.."


> > Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo
> > autenticación, integridad y confidencialidad a las comunicaciones.
> > Posteriormente fue añadido en plan parche a IPv4, y en uno de sus modos
> > (en el modo túnel) permite implementar VPN's de manera un pelín tediosa e
> > inflexible.
>
> Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es tediosa
> ni tampoco es poco flexible.

Comparado con lo sencillo que es en OpenVPN no sé qué decir, pero es sólo mi 
opinión.


> > Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz virtual
> > específico para la VPN así que monitorizar el tráfico de la misma se hace
> > algo más complejo, mientras que OpenVPN y otras soluciones de VPN en capa
> > de transporte crean interfaces tipo "tun0" que permiten ser monitorizados
> > de manera mucho más sencilla.
>
> Es cierto que con la implementación nativa de KAME para 2.6 no se tienen
> los interfaces virtuales, pero es que tampoco hacen falta, "iptables -m
> policy --policy ipsec --dir in ..." y variantes es suficiente.

Ok, pero ya tienes que andar con rollos en Iptables. Creo sinceramente que 
tener un interfaz tun0 facilita mucho la monitorización de una VPN. De hecho, 
en OpenVPN si ocurre algún error y no se puede hacer la VPN uno se da cuenta 
muy fácil porque no existe el interfaz tun0 al hacer un ifconfig. 
Personalmente me parece muy sencillo y amigable.



> > Dado tu tono despectivo hacia mí te reto a que coloques de manera
> > elegante con cualquier solución Ipsec una VPN entre dos ubicaciones
> > teniendo cada una IP dinámica (cuando te veas obligado a montar scripts
> > que
> > permanentemente monitorizan la IP del interfaz y cuando cambia modifican
> > los archivos de configuración de Ipsec y reinician la VPN igual entonces
> > te gusta más OpenVPN).
>
> Umm, no he montado nunca nada con OpenVPN, por lo que puede que vaya a
> decir una burrada, pero intuyo que sigues necesitando algún tipo de dns
> dinamico para conseguir que se "vean" ambos lados para poder negociar.

Por supuesto, sí, hace falta como poco un dyndns en uno de los extremos. Pero 
la diferencia es que con OpenVPN sólo hace falta poner una línea al respecto, 
en cambio con Ipsec... pues no lo sé, pero yo no lo conseguí de ninguna 
forma. Encontré soluciones para cuando un extremo era IP fija y el otro no, 
pero en el caso de dos IP dinámicas con dominio dyndns no encontré nada 
excepto el infumable método de monitorizar la IP y si cambia modificar el 
archivo de configuración, reiniciar la VPN...
No dudo que sea posible hacerlo más sencillo, pero no lo encontré mientras que 
con OpenVPN fueron 10 minutos de búsqueda y lectura.



> > Y ya puestos, te reto también a que hagas una VPN con Ipsec entre dos
> > delegaciones estando el Linux de una de ellas detrás de un router NAT (es
> > decir, sin implementar Ipsec en el router, sino en un Linux). => Es
> > evidente que no se puede, Ipsec no atraviesa routers NAT. Sin embargo en
> > OpenVPN se hace todo por un puerto UDP así que puedes crear una VPN entre
> > lo que quieras.
>
> Uy, uy, uy que cosa más falsa has dichoooooo ... ;-), Ipsec soporta NAT-T
> osea nat transversal, se puede montar un tunel IPSEC con AMBOS extremos
> detrás de un NAT, solo se necesita un puerto UDP redirigido en uno de los
> extremos. IPSEC SI ATRAVIESA NAT.

Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar. Hasta 
donde yo sé Ipsec en modo túnel consiste en:

   | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en original |

Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP. Que 
yo sepa los routers normales sólo pueden redireccionar en función de dichos 
protocolos, ¿pueden entonces hacerlo también con el protocolo Ipsec?

¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para hacer 
VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP.

Nota: paralelamente a la escritura de este correo estaba mirando una web sobre 
Ipsec y leo lo siguiente:

  "NAT aún no es compatible en combinación con IPsec. NAT-Transversal ofrece 
una solución para este problema encapsulando los paquetes ESP dentro de 
paquetes UDP."

Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez de 
OpenVPN.



>
> Aunque no sé quien escribió la siguiente argumentación, voy a contestarla.
>
> > > >  La única ventaja de IPsec es que es la VPN que implementan diversos
> > > > routers, nada más (que yo sepa).
>
> FALSO, una de las ventajas de IPSec es que ESTÁ estandarizado, otra de las
> ventajas es que para el futuro IPv6 es OBLIGATORIO la implementación de
> IPSec, no veo yo a los de Cisco añadiendo soporte openvpn en los routers.

Aprovecho para comentar otra duda:
IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya que se 
supone que en IPv6 no existirá NAT (no será necesario) y el concepto de VPN 
del que estamos hablando no tendría cabida.  <--- En realidad todo esto es 
una divagación mía, agradecería si comentas algo al respecto. ;)



Saludos y gracias por tus aclaraciones.


-- 
Por el bien de todos respetemos las normas de la lista:
  http://wiki.debian.org/NormasLista