Re: vpn
El Domingo, 9 de Julio de 2006 14:52, Iñaki escribió:
> > Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es tediosa
> > ni tampoco es poco flexible.
>
> Comparado con lo sencillo que es en OpenVPN no sé qué decir, pero es sólo
> mi opinión.
Como todas las opiniones, es eso una opinión y merece todo mi respeto, pero la
única vez que intenté montar algo con openvpn ví que iba a tardar 10 minutos
en leerme el archivo de configuración y eso me echó para atrás ;-)
> Ok, pero ya tienes que andar con rollos en Iptables. Creo sinceramente que
> tener un interfaz tun0 facilita mucho la monitorización de una VPN. De
> hecho, en OpenVPN si ocurre algún error y no se puede hacer la VPN uno se
> da cuenta muy fácil porque no existe el interfaz tun0 al hacer un ifconfig.
> Personalmente me parece muy sencillo y amigable.
Igualito que con ipsec, no te librarás jamás de jugar con iptables, a no ser
que el concentrador de túneles de la VPN lo metas detrás de un FW. La
supuesta facilidad de hacer iptables -i tun0, no lo es tál, puesto que has de
andar haciendo 2 cosas si no quieres complicarte la vida:
a) hacer que cada tunel tenga siempre el mismo dispositivo tunX asignado, de
forma que no tengas que modificar las reglas del firewall
b) lanzar un script que modifique el comportamiento del firewall cada vez que
se caiga o se levante un tunel, umm... nunca me ha gustado esta alternativa,
puede joder toda la política de seguridad de un firewall si hay algún
problema de ejecución del script.
Además, te voy a comentar una limitación que tienes con openvpn que no exite
con ipsec.
Con openVPN está limitado en la cantidad de túneles que puedes establecer a la
limitación de la cantidad de dispositivos tun que puedes tener en un sistema,
que si no recuerdo mal y sin añadir parches extras, es de 256 interfaces.
Sin embargo con ipsec esa "limitación" no existe, tengo clientes que tienen
muuuuuuuchas sedes y usuarios remotos y no se podrían permitir esa
limitación.
Además ipsec y openvpn actúan en niveles diferentes, con ipsec puedes
establecer modalidades de tunel solo para determinados protocolos/puertos. Lo
cual es muy importante en determinadas circunstancias.
> Por supuesto, sí, hace falta como poco un dyndns en uno de los extremos.
> Pero la diferencia es que con OpenVPN sólo hace falta poner una línea al
> respecto, en cambio con Ipsec... pues no lo sé, pero yo no lo conseguí de
> ninguna forma. Encontré soluciones para cuando un extremo era IP fija y el
> otro no, pero en el caso de dos IP dinámicas con dominio dyndns no encontré
> nada excepto el infumable método de monitorizar la IP y si cambia modificar
> el archivo de configuración, reiniciar la VPN...
> No dudo que sea posible hacerlo más sencillo, pero no lo encontré mientras
> que con OpenVPN fueron 10 minutos de búsqueda y lectura.
No hace falta hacer monitorizaciones de IP's y cosas raras, simplemente
autenticar por FQDN con usuario o usar certificados y andando. Yo siempre que
la situación de la configuración me lleva a un extremo no "fijo", configuro
de forma forzada el uso de certificados e incluso muchas veces aun conociendo
la dirección fija del otro extremo también fuerzo el uso de certificados.
> Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar. Hasta
>
> donde yo sé Ipsec en modo túnel consiste en:
> | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en original
> | |
>
> Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP.
> Que yo sepa los routers normales sólo pueden redireccionar en función de
> dichos protocolos, ¿pueden entonces hacerlo también con el protocolo Ipsec?
>
> ¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para hacer
> VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP.
>
> Nota: paralelamente a la escritura de este correo estaba mirando una web
> sobre Ipsec y leo lo siguiente:
>
> "NAT aún no es compatible en combinación con IPsec. NAT-Transversal
> ofrece una solución para este problema encapsulando los paquetes ESP dentro
> de paquetes UDP."
>
> Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez de
> OpenVPN.
Te explico, ipsec con NAT-T activado es igual a encapsulación del ESP (modo
tunel activado) en paquetes UDP con puerto 4500, si es solo AH tres cuartos
de lo mismo, no necesitas redirigir más que el puerto 4500 UDP en el caso de
que el extremo del concentrador de túneles esté detrás de un NAT.
Es parecido a lo que hace openvpn.
> Aprovecho para comentar otra duda:
> IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya que
> se supone que en IPv6 no existirá NAT (no será necesario) y el concepto de
> VPN del que estamos hablando no tendría cabida. <--- En realidad todo esto
> es una divagación mía, agradecería si comentas algo al respecto. ;)
En IPv6 no existe NAT como tal, aunque si existen los rangos de
direccionamiento privado no rutable públicamente.
Y tienes razón, el concepto de VPN no tendría sentido, puesto que si
puedes "alcanzar" directamente los equipos de la red de tu empresa por IPv6,
lo único que harán los FW o los routers de tu empresa que entiendan IPv6 es
filtrar el tráfico que vaya hacia determinas máquinas internas (servidores o
lo que sea) y no lo dejarán pasar si no va cifrado y en teoría las máquinas
no deberían de aceptar las conexiones si no pueden autenticarlas.
IPv6 simplificará muchas tareas de FW y routing de una forma brutal.
Recordemos de todas formas que IPv6 obliga a implementar IPSec, pero no a
usarlo.
--
Saludos.
Raúl Alexis Betancor Santana
Director Gerente
Dimensión Virtual S.L.
Reply to:
- Follow-Ups:
- Re: vpn
- From: Iñaki <ibc2@euskalnet.net>
- References:
- Re: vpn
- From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>
- Re: vpn
- From: Iñaki <ibc2@euskalnet.net>