Re: vpn

To: debian-user-spanish@lists.debian.org
Subject: Re: vpn
From: Iñaki <ibc2@euskalnet.net>
Date: Sun, 09 Jul 2006 23:21:04 +0200
Message-id: <[🔎] 200607092321.04608.ibc2@euskalnet.net>
In-reply-to: <[🔎] 200607092121.15418.rabs@dimension-virtual.com>
References: <44726F78.6000207@argentina.com> <[🔎] 200607091552.06289.ibc2@euskalnet.net> <[🔎] 200607092121.15418.rabs@dimension-virtual.com>

El Domingo, 9 de Julio de 2006 22:21, Raúl Alexis Betancor Santana escribió:
> > Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar.
> > Hasta
> >
> > donde yo sé Ipsec en modo túnel consiste en:
> >    | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en
> >    | original
> >
> > Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP.
> > Que yo sepa los routers normales sólo pueden redireccionar en función de
> > dichos protocolos, ¿pueden entonces hacerlo también con el protocolo
> > Ipsec?
> >
> > ¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para hacer
> > VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP.
> >
> > Nota: paralelamente a la escritura de este correo estaba mirando una web
> > sobre Ipsec y leo lo siguiente:
> >
> >   "NAT aún no es compatible en combinación con IPsec. NAT-Transversal
> > ofrece una solución para este problema encapsulando los paquetes ESP
> > dentro de paquetes UDP."
> >
> > Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez de
> > OpenVPN.
>
> Te explico, ipsec con NAT-T activado es igual a encapsulación del ESP (modo
> tunel activado) en paquetes UDP con puerto 4500, si es solo AH tres cuartos
> de lo mismo, no necesitas redirigir más que el puerto 4500 UDP en el caso
> de que el extremo del concentrador de túneles esté detrás de un NAT.
> Es parecido a lo que hace openvpn.

De acuerdo, entendido. No obstante me sorprende: yo siempre había pensado que 
Ipsec opera sólo en capa de red (es un protocolo IP) y sin embargo lo que 
comentas significa que también puede ir en cada dentro de la capa de 
transporte (dentro de UDP). ¿Es así o he entendido algo mal?

Vamos, que el paquete tendría una pinta así:

| Cabecera IP | UDP | AH/ESP | Cabecera IP en original | Datos IP en original

¿no?

De esta forma Ipsec podría atravesar cualquier router sin más que 
redireccionando el puerto UDP 4500. ¿Lo he entendido bien?



> > Aprovecho para comentar otra duda:
> > IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya que
> > se supone que en IPv6 no existirá NAT (no será necesario) y el concepto
> > de VPN del que estamos hablando no tendría cabida.  <--- En realidad todo
> > esto es una divagación mía, agradecería si comentas algo al respecto. ;)
>
> En IPv6 no existe NAT como tal, aunque si existen los rangos de
> direccionamiento privado no rutable públicamente.
> Y tienes razón, el concepto de VPN no tendría sentido, puesto que si
> puedes "alcanzar" directamente los equipos de la red de tu empresa por
> IPv6, lo único que harán los FW o los routers de tu empresa que entiendan
> IPv6 es filtrar el tráfico que vaya hacia determinas máquinas internas
> (servidores o lo que sea) y no lo dejarán pasar si no va cifrado y en
> teoría las máquinas no deberían de aceptar las conexiones si no pueden
> autenticarlas.
> IPv6 simplificará muchas tareas de FW y routing de una forma brutal.
> Recordemos de todas formas que IPv6 obliga a implementar IPSec, pero no a
> usarlo.

Perfecto, agradezco mucho tus explicaciones. Muchas gracias.


Saludos.





-- 
Por el bien de todos respetemos las normas de la lista:
  http://wiki.debian.org/NormasLista

Reply to:

Follow-Ups:
- Re: vpn
  - From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>

References:
- Re: vpn
  - From: Iñaki <ibc2@euskalnet.net>
- Re: vpn
  - From: Raúl Alexis Betancor Santana <rabs@dimension-virtual.com>

Prev by Date: Re: XGL en debian con ATI
Next by Date: Re: ati radeon en un centrino con 1280x800
Previous by thread: Re: vpn
Next by thread: Re: vpn
Index(es):
- Date
- Thread