El Domingo, 9 de Julio de 2006 18:40, Roldyx escribió: > Iñaki: > Mi tono despectivo fue por tu <ironic mode> que no me causo mucha gracia, > en cuanto a la discusión repito cada quien con su librito y OpenVPN e ipsec > operan en capas distintas y es como mezclar peras con manzanas. > De todos modos tengo que felicitarte por tu activa colaboración en la > lista. Pero le respondo también a Alfonso que cree que por participar más o > menos en la lista implica tener mas o menos derechos, yo participo > activamente en la comunidad GNU y no por eso tengo mas derechos que > aquellos que no participan activamente. > Eso es todo para mí y no acepto ningún desafío porque no estoy compitiendo > contigo. Creo que confundes lo que quise decir. No dije en ningún momento que Iñaki tenga más derechos que tu o que nadie por participar activamente en la lista, sino que de cierta forma insinuabas que Iñaki es un poco "cortito de entendederas" a lo que yo te rebatía haciendote notar la actividad de Iñaki en la lista. Sin malos royos. Salu2 > Saludos. Roldyx. > PD: si quieres competencia juguemos al fútbol!!! :P > > >El Domingo 09 Julio 2006 10:52, Iñaki escribió: > > El Domingo, 9 de Julio de 2006 13:19, Raúl Alexis Betancor Santana > > escribió: > > > El Sábado, 8 de Julio de 2006 18:13, Iñaki escribió: > > > > > > Hola Iñaki, no voy a discutir nada sobre la "pelea" que te traes con > > > ese otro listero, simplemente comentarte y puntualizarte sobre cosas > > > que comentas de ipsec. > > > > Ante todo comentarte que estoy seguro de que tienes razón en todo lo que > > dices, pero que el tono de mi correo anterior se debe sencillamente a > > que me dijeron literalmente "Quizás sea muy complejo para vos y te > > limites a instalar openssl por que es mas simple, pero bue.." > > > > > > Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo > > > > autenticación, integridad y confidencialidad a las comunicaciones. > > > > Posteriormente fue añadido en plan parche a IPv4, y en uno de sus > > > > modos (en el modo túnel) permite implementar VPN's de manera un > > > > pelín tediosa e inflexible. > > > > > > Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es > > > tediosa ni tampoco es poco flexible. > > > > Comparado con lo sencillo que es en OpenVPN no sé qué decir, pero es > > sólo mi opinión. > > > > > > Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz > > > > virtual específico para la VPN así que monitorizar el tráfico de la > > > > misma se hace algo más complejo, mientras que OpenVPN y otras > > > > soluciones de VPN en capa de transporte crean interfaces tipo "tun0" > > > > que permiten ser monitorizados de manera mucho más sencilla. > > > > > > Es cierto que con la implementación nativa de KAME para 2.6 no se > > > tienen los interfaces virtuales, pero es que tampoco hacen falta, > > > "iptables -m policy --policy ipsec --dir in ..." y variantes es > > > suficiente. > > > > Ok, pero ya tienes que andar con rollos en Iptables. Creo sinceramente > > que tener un interfaz tun0 facilita mucho la monitorización de una VPN. > > De hecho, en OpenVPN si ocurre algún error y no se puede hacer la VPN uno > > se da cuenta muy fácil porque no existe el interfaz tun0 al hacer un > > ifconfig. Personalmente me parece muy sencillo y amigable. > > > > > > Dado tu tono despectivo hacia mí te reto a que coloques de manera > > > > elegante con cualquier solución Ipsec una VPN entre dos ubicaciones > > > > teniendo cada una IP dinámica (cuando te veas obligado a montar > > > > scripts que > > > > permanentemente monitorizan la IP del interfaz y cuando cambia > > > > modifican los archivos de configuración de Ipsec y reinician la VPN > > > > igual entonces te gusta más OpenVPN). > > > > > > Umm, no he montado nunca nada con OpenVPN, por lo que puede que vaya a > > > decir una burrada, pero intuyo que sigues necesitando algún tipo de > > > dns dinamico para conseguir que se "vean" ambos lados para poder > > > negociar. > > > > Por supuesto, sí, hace falta como poco un dyndns en uno de los extremos. > > Pero la diferencia es que con OpenVPN sólo hace falta poner una línea al > > respecto, en cambio con Ipsec... pues no lo sé, pero yo no lo conseguí de > > ninguna forma. Encontré soluciones para cuando un extremo era IP fija y > > el otro no, pero en el caso de dos IP dinámicas con dominio dyndns no > > encontré nada excepto el infumable método de monitorizar la IP y si > > cambia modificar el archivo de configuración, reiniciar la VPN... > > No dudo que sea posible hacerlo más sencillo, pero no lo encontré > > mientras que con OpenVPN fueron 10 minutos de búsqueda y lectura. > > > > > > Y ya puestos, te reto también a que hagas una VPN con Ipsec entre > > > > dos delegaciones estando el Linux de una de ellas detrás de un > > > > router NAT (es decir, sin implementar Ipsec en el router, sino en un > > > > Linux). => Es evidente que no se puede, Ipsec no atraviesa routers > > > > NAT. Sin embargo en OpenVPN se hace todo por un puerto UDP así que > > > > puedes crear una VPN entre lo que quieras. > > > > > > Uy, uy, uy que cosa más falsa has dichoooooo ... ;-), Ipsec soporta > > > NAT-T osea nat transversal, se puede montar un tunel IPSEC con AMBOS > > > extremos detrás de un NAT, solo se necesita un puerto UDP redirigido > > > en uno de los extremos. IPSEC SI ATRAVIESA NAT. > > > > Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar. > > Hasta > > > > donde yo sé Ipsec en modo túnel consiste en: > > | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en > > | original > > > > Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP. > > Que yo sepa los routers normales sólo pueden redireccionar en función de > > dichos protocolos, ¿pueden entonces hacerlo también con el protocolo > > Ipsec? > > > > ¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para > > hacer VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP. > > > > Nota: paralelamente a la escritura de este correo estaba mirando una web > > sobre Ipsec y leo lo siguiente: > > > > "NAT aún no es compatible en combinación con IPsec. NAT-Transversal > > ofrece una solución para este problema encapsulando los paquetes ESP > > dentro de paquetes UDP." > > > > Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez > > de OpenVPN. > > > > > Aunque no sé quien escribió la siguiente argumentación, voy a > > > contestarla. > > > > > > > > > La única ventaja de IPsec es que es la VPN que implementan > > > > > > diversos routers, nada más (que yo sepa). > > > > > > FALSO, una de las ventajas de IPSec es que ESTÁ estandarizado, otra de > > > las ventajas es que para el futuro IPv6 es OBLIGATORIO la > > > implementación de IPSec, no veo yo a los de Cisco añadiendo soporte > > > openvpn en los routers. > > > > Aprovecho para comentar otra duda: > > IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya > > que se supone que en IPv6 no existirá NAT (no será necesario) y el > > concepto de VPN del que estamos hablando no tendría cabida. <--- En > > realidad todo esto es una divagación mía, agradecería si comentas algo al > > respecto. ;) > > > > > > > > Saludos y gracias por tus aclaraciones.
Attachment:
pgpcG_tOke30q.pgp
Description: PGP signature