Re: vpn
El Domingo, 9 de Julio de 2006 13:19, Raúl Alexis Betancor Santana escribió:
> El Sábado, 8 de Julio de 2006 18:13, Iñaki escribió:
>
> Hola Iñaki, no voy a discutir nada sobre la "pelea" que te traes con ese
> otro listero, simplemente comentarte y puntualizarte sobre cosas que
> comentas de ipsec.
Ante todo comentarte que estoy seguro de que tienes razón en todo lo que
dices, pero que el tono de mi correo anterior se debe sencillamente a que me
dijeron literalmente "Quizás sea muy complejo para vos y te limites a
instalar openssl por que es mas simple, pero bue.."
> > Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo
> > autenticación, integridad y confidencialidad a las comunicaciones.
> > Posteriormente fue añadido en plan parche a IPv4, y en uno de sus modos
> > (en el modo túnel) permite implementar VPN's de manera un pelín tediosa e
> > inflexible.
>
> Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es tediosa
> ni tampoco es poco flexible.
Comparado con lo sencillo que es en OpenVPN no sé qué decir, pero es sólo mi
opinión.
> > Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz virtual
> > específico para la VPN así que monitorizar el tráfico de la misma se hace
> > algo más complejo, mientras que OpenVPN y otras soluciones de VPN en capa
> > de transporte crean interfaces tipo "tun0" que permiten ser monitorizados
> > de manera mucho más sencilla.
>
> Es cierto que con la implementación nativa de KAME para 2.6 no se tienen
> los interfaces virtuales, pero es que tampoco hacen falta, "iptables -m
> policy --policy ipsec --dir in ..." y variantes es suficiente.
Ok, pero ya tienes que andar con rollos en Iptables. Creo sinceramente que
tener un interfaz tun0 facilita mucho la monitorización de una VPN. De hecho,
en OpenVPN si ocurre algún error y no se puede hacer la VPN uno se da cuenta
muy fácil porque no existe el interfaz tun0 al hacer un ifconfig.
Personalmente me parece muy sencillo y amigable.
> > Dado tu tono despectivo hacia mí te reto a que coloques de manera
> > elegante con cualquier solución Ipsec una VPN entre dos ubicaciones
> > teniendo cada una IP dinámica (cuando te veas obligado a montar scripts
> > que
> > permanentemente monitorizan la IP del interfaz y cuando cambia modifican
> > los archivos de configuración de Ipsec y reinician la VPN igual entonces
> > te gusta más OpenVPN).
>
> Umm, no he montado nunca nada con OpenVPN, por lo que puede que vaya a
> decir una burrada, pero intuyo que sigues necesitando algún tipo de dns
> dinamico para conseguir que se "vean" ambos lados para poder negociar.
Por supuesto, sí, hace falta como poco un dyndns en uno de los extremos. Pero
la diferencia es que con OpenVPN sólo hace falta poner una línea al respecto,
en cambio con Ipsec... pues no lo sé, pero yo no lo conseguí de ninguna
forma. Encontré soluciones para cuando un extremo era IP fija y el otro no,
pero en el caso de dos IP dinámicas con dominio dyndns no encontré nada
excepto el infumable método de monitorizar la IP y si cambia modificar el
archivo de configuración, reiniciar la VPN...
No dudo que sea posible hacerlo más sencillo, pero no lo encontré mientras que
con OpenVPN fueron 10 minutos de búsqueda y lectura.
> > Y ya puestos, te reto también a que hagas una VPN con Ipsec entre dos
> > delegaciones estando el Linux de una de ellas detrás de un router NAT (es
> > decir, sin implementar Ipsec en el router, sino en un Linux). => Es
> > evidente que no se puede, Ipsec no atraviesa routers NAT. Sin embargo en
> > OpenVPN se hace todo por un puerto UDP así que puedes crear una VPN entre
> > lo que quieras.
>
> Uy, uy, uy que cosa más falsa has dichoooooo ... ;-), Ipsec soporta NAT-T
> osea nat transversal, se puede montar un tunel IPSEC con AMBOS extremos
> detrás de un NAT, solo se necesita un puerto UDP redirigido en uno de los
> extremos. IPSEC SI ATRAVIESA NAT.
Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar. Hasta
donde yo sé Ipsec en modo túnel consiste en:
| Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en original |
Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP. Que
yo sepa los routers normales sólo pueden redireccionar en función de dichos
protocolos, ¿pueden entonces hacerlo también con el protocolo Ipsec?
¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para hacer
VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP.
Nota: paralelamente a la escritura de este correo estaba mirando una web sobre
Ipsec y leo lo siguiente:
"NAT aún no es compatible en combinación con IPsec. NAT-Transversal ofrece
una solución para este problema encapsulando los paquetes ESP dentro de
paquetes UDP."
Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez de
OpenVPN.
>
> Aunque no sé quien escribió la siguiente argumentación, voy a contestarla.
>
> > > > La única ventaja de IPsec es que es la VPN que implementan diversos
> > > > routers, nada más (que yo sepa).
>
> FALSO, una de las ventajas de IPSec es que ESTÁ estandarizado, otra de las
> ventajas es que para el futuro IPv6 es OBLIGATORIO la implementación de
> IPSec, no veo yo a los de Cisco añadiendo soporte openvpn en los routers.
Aprovecho para comentar otra duda:
IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya que se
supone que en IPv6 no existirá NAT (no será necesario) y el concepto de VPN
del que estamos hablando no tendría cabida. <--- En realidad todo esto es
una divagación mía, agradecería si comentas algo al respecto. ;)
Saludos y gracias por tus aclaraciones.
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
Reply to:
- Follow-Ups:
- Re: vpn
- From: Roldyx <rroldan@drim.com.ar>
- Re: vpn
- From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>
- References:
- Re: vpn
- From: Iñaki <ibc2@euskalnet.net>
- Re: vpn
- From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>