Re: vpn

To: debian-user-spanish@lists.debian.org
Subject: Re: vpn
From: Roldyx <rroldan@drim.com.ar>
Date: Sun, 09 Jul 2006 13:40:03 -0300
Message-id: <[🔎] 200607091340.04986.rroldan@drim.com.ar>
In-reply-to: <[🔎] 200607091552.06289.ibc2@euskalnet.net>
References: <44726F78.6000207@argentina.com> <[🔎] 200607091219.53996.rabs@dimension-virtual.com> <[🔎] 200607091552.06289.ibc2@euskalnet.net>

Iñaki:
	Mi tono despectivo fue por tu <ironic mode> que no me causo mucha gracia, en 
cuanto a la discusión repito cada quien con su librito y OpenVPN e ipsec 
operan en capas distintas y es como mezclar peras con manzanas.
De todos modos tengo que felicitarte por tu activa colaboración en la lista. 
Pero le respondo también a Alfonso que cree que por participar más o menos en 
la lista implica tener mas o menos derechos, yo participo activamente en la 
comunidad GNU y no por eso tengo mas derechos que aquellos que no participan 
activamente.
Eso es todo para mí y no acepto ningún desafío porque no estoy compitiendo 
contigo.
Saludos. Roldyx.
PD: si quieres competencia juguemos al fútbol!!! :P
 
>El Domingo 09 Julio 2006 10:52, Iñaki escribió:
>  El Domingo, 9 de Julio de 2006 13:19, Raúl Alexis Betancor Santana 
escribió:
>  > El Sábado, 8 de Julio de 2006 18:13, Iñaki escribió:
>  >
>  > Hola Iñaki, no voy a discutir nada sobre la "pelea" que te traes con ese
>  > otro listero, simplemente comentarte y puntualizarte sobre cosas que
>  > comentas de ipsec.
>
>  Ante todo comentarte que estoy seguro de que tienes razón en todo lo que
>  dices, pero que el tono de mi correo anterior se debe sencillamente a que
> me dijeron literalmente "Quizás sea muy complejo para vos y te limites a
> instalar openssl por que es mas simple, pero bue.."
>
>  > > Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo
>  > > autenticación, integridad y confidencialidad a las comunicaciones.
>  > > Posteriormente fue añadido en plan parche a IPv4, y en uno de sus
>  > > modos (en el modo túnel) permite implementar VPN's de manera un pelín
>  > > tediosa e inflexible.
>  >
>  > Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es
>  > tediosa ni tampoco es poco flexible.
>
>  Comparado con lo sencillo que es en OpenVPN no sé qué decir, pero es sólo
> mi opinión.
>
>  > > Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz
>  > > virtual específico para la VPN así que monitorizar el tráfico de la
>  > > misma se hace algo más complejo, mientras que OpenVPN y otras
>  > > soluciones de VPN en capa de transporte crean interfaces tipo "tun0"
>  > > que permiten ser monitorizados de manera mucho más sencilla.
>  >
>  > Es cierto que con la implementación nativa de KAME para 2.6 no se tienen
>  > los interfaces virtuales, pero es que tampoco hacen falta, "iptables -m
>  > policy --policy ipsec --dir in ..." y variantes es suficiente.
>
>  Ok, pero ya tienes que andar con rollos en Iptables. Creo sinceramente que
>  tener un interfaz tun0 facilita mucho la monitorización de una VPN. De
> hecho, en OpenVPN si ocurre algún error y no se puede hacer la VPN uno se
> da cuenta muy fácil porque no existe el interfaz tun0 al hacer un ifconfig.
> Personalmente me parece muy sencillo y amigable.
>
>  > > Dado tu tono despectivo hacia mí te reto a que coloques de manera
>  > > elegante con cualquier solución Ipsec una VPN entre dos ubicaciones
>  > > teniendo cada una IP dinámica (cuando te veas obligado a montar
>  > > scripts que
>  > > permanentemente monitorizan la IP del interfaz y cuando cambia
>  > > modifican los archivos de configuración de Ipsec y reinician la VPN
>  > > igual entonces te gusta más OpenVPN).
>  >
>  > Umm, no he montado nunca nada con OpenVPN, por lo que puede que vaya a
>  > decir una burrada, pero intuyo que sigues necesitando algún tipo de dns
>  > dinamico para conseguir que se "vean" ambos lados para poder negociar.
>
>  Por supuesto, sí, hace falta como poco un dyndns en uno de los extremos.
> Pero la diferencia es que con OpenVPN sólo hace falta poner una línea al
> respecto, en cambio con Ipsec... pues no lo sé, pero yo no lo conseguí de
> ninguna forma. Encontré soluciones para cuando un extremo era IP fija y el
> otro no, pero en el caso de dos IP dinámicas con dominio dyndns no encontré
> nada excepto el infumable método de monitorizar la IP y si cambia modificar
> el archivo de configuración, reiniciar la VPN...
>  No dudo que sea posible hacerlo más sencillo, pero no lo encontré mientras
> que con OpenVPN fueron 10 minutos de búsqueda y lectura.
>
>  > > Y ya puestos, te reto también a que hagas una VPN con Ipsec entre dos
>  > > delegaciones estando el Linux de una de ellas detrás de un router NAT
>  > > (es decir, sin implementar Ipsec en el router, sino en un Linux). =>
>  > > Es evidente que no se puede, Ipsec no atraviesa routers NAT. Sin
>  > > embargo en OpenVPN se hace todo por un puerto UDP así que puedes crear
>  > > una VPN entre lo que quieras.
>  >
>  > Uy, uy, uy que cosa más falsa has dichoooooo ... ;-), Ipsec soporta
>  > NAT-T osea nat transversal, se puede montar un tunel IPSEC con AMBOS
>  > extremos detrás de un NAT, solo se necesita un puerto UDP redirigido en
>  > uno de los extremos. IPSEC SI ATRAVIESA NAT.
>
>  Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar. Hasta
>
>  donde yo sé Ipsec en modo túnel consiste en:
>     | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en original
>     | |
>
>  Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP.
> Que yo sepa los routers normales sólo pueden redireccionar en función de
> dichos protocolos, ¿pueden entonces hacerlo también con el protocolo Ipsec?
>
>  ¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para hacer
>  VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP.
>
>  Nota: paralelamente a la escritura de este correo estaba mirando una web
> sobre Ipsec y leo lo siguiente:
>
>    "NAT aún no es compatible en combinación con IPsec. NAT-Transversal
> ofrece una solución para este problema encapsulando los paquetes ESP dentro
> de paquetes UDP."
>
>  Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez de
>  OpenVPN.
>
>  > Aunque no sé quien escribió la siguiente argumentación, voy a
>  > contestarla.
>  >
>  > > > >  La única ventaja de IPsec es que es la VPN que implementan
>  > > > > diversos routers, nada más (que yo sepa).
>  >
>  > FALSO, una de las ventajas de IPSec es que ESTÁ estandarizado, otra de
>  > las ventajas es que para el futuro IPv6 es OBLIGATORIO la implementación
>  > de IPSec, no veo yo a los de Cisco añadiendo soporte openvpn en los
>  > routers.
>
>  Aprovecho para comentar otra duda:
>  IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya que
> se supone que en IPv6 no existirá NAT (no será necesario) y el concepto de
> VPN del que estamos hablando no tendría cabida.  <--- En realidad todo esto
> es una divagación mía, agradecería si comentas algo al respecto. ;)
>
>
>
>  Saludos y gracias por tus aclaraciones.

-- 
Rodrigo Daniel Roldán.
	CCNA

"Mi humildad es inversamente proporcional a tu vagancia" Google Dixit.

Reply to:

Follow-Ups:
- Re: vpn
  - From: Iñaki <ibc2@euskalnet.net>
- Re: vpn
  - From: Alfonso Pinto Sampedro <alfonso.pinto@gmail.com>

References:
- Re: vpn
  - From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>
- Re: vpn
  - From: Iñaki <ibc2@euskalnet.net>

Prev by Date: Re: Cóm o me puedo dar de baja dela lista?
Next by Date: Re: vpn
Previous by thread: Re: vpn
Next by thread: Re: vpn
Index(es):
- Date
- Thread