Re: vpn
El Domingo, 9 de Julio de 2006 18:40, Roldyx escribió:
> Iñaki:
> Mi tono despectivo fue por tu <ironic mode> que no me causo mucha gracia,
Ok, pero yo no intenté ofender a nadie con mi comentario. Te pido que para
futuras réplicas seas más respetuoso. :)
> en cuanto a la discusión repito cada quien con su librito y OpenVPN e ipsec
> operan en capas distintas y es como mezclar peras con manzanas.
Sí, pero objetivamente hablando ambos sirven para hacer VPN's, por lo que sí
que se pueden comparar.
> De todos modos tengo que felicitarte por tu activa colaboración en la
> lista. Pero le respondo también a Alfonso que cree que por participar más o
> menos en la lista implica tener mas o menos derechos, yo participo
> activamente en la comunidad GNU y no por eso tengo mas derechos que
> aquellos que no participan activamente.
No, nadie tiene más derechos por participar más o menos.
> Eso es todo para mí y no acepto ningún desafío porque no estoy compitiendo
> contigo.
> Saludos. Roldyx.
> PD: si quieres competencia juguemos al fútbol!!! :P
¿Al furbol? dadas nuestras nacionalidades y visto lo visto en el presente
mundial mejor no hablar del tema... ;)
> >El Domingo 09 Julio 2006 10:52, Iñaki escribió:
> > El Domingo, 9 de Julio de 2006 13:19, Raúl Alexis Betancor Santana
>
> escribió:
> > > El Sábado, 8 de Julio de 2006 18:13, Iñaki escribió:
> > >
> > > Hola Iñaki, no voy a discutir nada sobre la "pelea" que te traes con
> > > ese otro listero, simplemente comentarte y puntualizarte sobre cosas
> > > que comentas de ipsec.
> >
> > Ante todo comentarte que estoy seguro de que tienes razón en todo lo que
> > dices, pero que el tono de mi correo anterior se debe sencillamente a
> > que me dijeron literalmente "Quizás sea muy complejo para vos y te
> > limites a instalar openssl por que es mas simple, pero bue.."
> >
> > > > Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo
> > > > autenticación, integridad y confidencialidad a las comunicaciones.
> > > > Posteriormente fue añadido en plan parche a IPv4, y en uno de sus
> > > > modos (en el modo túnel) permite implementar VPN's de manera un
> > > > pelín tediosa e inflexible.
> > >
> > > Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es
> > > tediosa ni tampoco es poco flexible.
> >
> > Comparado con lo sencillo que es en OpenVPN no sé qué decir, pero es
> > sólo mi opinión.
> >
> > > > Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz
> > > > virtual específico para la VPN así que monitorizar el tráfico de la
> > > > misma se hace algo más complejo, mientras que OpenVPN y otras
> > > > soluciones de VPN en capa de transporte crean interfaces tipo "tun0"
> > > > que permiten ser monitorizados de manera mucho más sencilla.
> > >
> > > Es cierto que con la implementación nativa de KAME para 2.6 no se
> > > tienen los interfaces virtuales, pero es que tampoco hacen falta,
> > > "iptables -m policy --policy ipsec --dir in ..." y variantes es
> > > suficiente.
> >
> > Ok, pero ya tienes que andar con rollos en Iptables. Creo sinceramente
> > que tener un interfaz tun0 facilita mucho la monitorización de una VPN.
> > De hecho, en OpenVPN si ocurre algún error y no se puede hacer la VPN uno
> > se da cuenta muy fácil porque no existe el interfaz tun0 al hacer un
> > ifconfig. Personalmente me parece muy sencillo y amigable.
> >
> > > > Dado tu tono despectivo hacia mí te reto a que coloques de manera
> > > > elegante con cualquier solución Ipsec una VPN entre dos ubicaciones
> > > > teniendo cada una IP dinámica (cuando te veas obligado a montar
> > > > scripts que
> > > > permanentemente monitorizan la IP del interfaz y cuando cambia
> > > > modifican los archivos de configuración de Ipsec y reinician la VPN
> > > > igual entonces te gusta más OpenVPN).
> > >
> > > Umm, no he montado nunca nada con OpenVPN, por lo que puede que vaya a
> > > decir una burrada, pero intuyo que sigues necesitando algún tipo de
> > > dns dinamico para conseguir que se "vean" ambos lados para poder
> > > negociar.
> >
> > Por supuesto, sí, hace falta como poco un dyndns en uno de los extremos.
> > Pero la diferencia es que con OpenVPN sólo hace falta poner una línea al
> > respecto, en cambio con Ipsec... pues no lo sé, pero yo no lo conseguí de
> > ninguna forma. Encontré soluciones para cuando un extremo era IP fija y
> > el otro no, pero en el caso de dos IP dinámicas con dominio dyndns no
> > encontré nada excepto el infumable método de monitorizar la IP y si
> > cambia modificar el archivo de configuración, reiniciar la VPN...
> > No dudo que sea posible hacerlo más sencillo, pero no lo encontré
> > mientras que con OpenVPN fueron 10 minutos de búsqueda y lectura.
> >
> > > > Y ya puestos, te reto también a que hagas una VPN con Ipsec entre
> > > > dos delegaciones estando el Linux de una de ellas detrás de un
> > > > router NAT (es decir, sin implementar Ipsec en el router, sino en un
> > > > Linux). => Es evidente que no se puede, Ipsec no atraviesa routers
> > > > NAT. Sin embargo en OpenVPN se hace todo por un puerto UDP así que
> > > > puedes crear una VPN entre lo que quieras.
> > >
> > > Uy, uy, uy que cosa más falsa has dichoooooo ... ;-), Ipsec soporta
> > > NAT-T osea nat transversal, se puede montar un tunel IPSEC con AMBOS
> > > extremos detrás de un NAT, solo se necesita un puerto UDP redirigido
> > > en uno de los extremos. IPSEC SI ATRAVIESA NAT.
> >
> > Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar.
> > Hasta
> >
> > donde yo sé Ipsec en modo túnel consiste en:
> > | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en
> > | original
> >
> > Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP.
> > Que yo sepa los routers normales sólo pueden redireccionar en función de
> > dichos protocolos, ¿pueden entonces hacerlo también con el protocolo
> > Ipsec?
> >
> > ¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para
> > hacer VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP.
> >
> > Nota: paralelamente a la escritura de este correo estaba mirando una web
> > sobre Ipsec y leo lo siguiente:
> >
> > "NAT aún no es compatible en combinación con IPsec. NAT-Transversal
> > ofrece una solución para este problema encapsulando los paquetes ESP
> > dentro de paquetes UDP."
> >
> > Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez
> > de OpenVPN.
> >
> > > Aunque no sé quien escribió la siguiente argumentación, voy a
> > > contestarla.
> > >
> > > > > > La única ventaja de IPsec es que es la VPN que implementan
> > > > > > diversos routers, nada más (que yo sepa).
> > >
> > > FALSO, una de las ventajas de IPSec es que ESTÁ estandarizado, otra de
> > > las ventajas es que para el futuro IPv6 es OBLIGATORIO la
> > > implementación de IPSec, no veo yo a los de Cisco añadiendo soporte
> > > openvpn en los routers.
> >
> > Aprovecho para comentar otra duda:
> > IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya
> > que se supone que en IPv6 no existirá NAT (no será necesario) y el
> > concepto de VPN del que estamos hablando no tendría cabida. <--- En
> > realidad todo esto es una divagación mía, agradecería si comentas algo al
> > respecto. ;)
> >
> >
> >
> > Saludos y gracias por tus aclaraciones.
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
Reply to:
- References:
- Re: vpn
- From: Iñaki <ibc2@euskalnet.net>
- Re: vpn
- From: Roldyx <rroldan@drim.com.ar>