Iñaki:
Mi tono despectivo fue por tu <ironic mode> que no me causo mucha
gracia, en
cuanto a la discusión repito cada quien con su librito y OpenVPN e ipsec
operan en capas distintas y es como mezclar peras con manzanas.
De todos modos tengo que felicitarte por tu activa colaboración en la lista.
Pero le respondo también a Alfonso que cree que por participar más o menos en
la lista implica tener mas o menos derechos, yo participo activamente en la
comunidad GNU y no por eso tengo mas derechos que aquellos que no participan
activamente.
Eso es todo para mí y no acepto ningún desafío porque no estoy compitiendo
contigo.
Saludos. Roldyx.
PD: si quieres competencia juguemos al fútbol!!! :P
>El Domingo 09 Julio 2006 10:52, Iñaki escribió:
> El Domingo, 9 de Julio de 2006 13:19, Raúl Alexis Betancor Santana
escribió:
> > El Sábado, 8 de Julio de 2006 18:13, Iñaki escribió:
> >
> > Hola Iñaki, no voy a discutir nada sobre la "pelea" que te traes con ese
> > otro listero, simplemente comentarte y puntualizarte sobre cosas que
> > comentas de ipsec.
>
> Ante todo comentarte que estoy seguro de que tienes razón en todo lo que
> dices, pero que el tono de mi correo anterior se debe sencillamente a que
> me dijeron literalmente "Quizás sea muy complejo para vos y te limites a
> instalar openssl por que es mas simple, pero bue.."
>
> > > Ipsec fue desarrollado para ser implementado en IPv6, ofreciendo
> > > autenticación, integridad y confidencialidad a las comunicaciones.
> > > Posteriormente fue añadido en plan parche a IPv4, y en uno de sus
> > > modos (en el modo túnel) permite implementar VPN's de manera un pelín
> > > tediosa e inflexible.
> >
> > Umm, no estoy deacuerdo, ni la forma de montar VPN's con ipsec es
> > tediosa ni tampoco es poco flexible.
>
> Comparado con lo sencillo que es en OpenVPN no sé qué decir, pero es sólo
> mi opinión.
>
> > > Además resulta que desde el Kernel 2.6 Ipsec no crea un interfaz
> > > virtual específico para la VPN así que monitorizar el tráfico de la
> > > misma se hace algo más complejo, mientras que OpenVPN y otras
> > > soluciones de VPN en capa de transporte crean interfaces tipo "tun0"
> > > que permiten ser monitorizados de manera mucho más sencilla.
> >
> > Es cierto que con la implementación nativa de KAME para 2.6 no se tienen
> > los interfaces virtuales, pero es que tampoco hacen falta, "iptables -m
> > policy --policy ipsec --dir in ..." y variantes es suficiente.
>
> Ok, pero ya tienes que andar con rollos en Iptables. Creo sinceramente que
> tener un interfaz tun0 facilita mucho la monitorización de una VPN. De
> hecho, en OpenVPN si ocurre algún error y no se puede hacer la VPN uno se
> da cuenta muy fácil porque no existe el interfaz tun0 al hacer un ifconfig.
> Personalmente me parece muy sencillo y amigable.
>
> > > Dado tu tono despectivo hacia mí te reto a que coloques de manera
> > > elegante con cualquier solución Ipsec una VPN entre dos ubicaciones
> > > teniendo cada una IP dinámica (cuando te veas obligado a montar
> > > scripts que
> > > permanentemente monitorizan la IP del interfaz y cuando cambia
> > > modifican los archivos de configuración de Ipsec y reinician la VPN
> > > igual entonces te gusta más OpenVPN).
> >
> > Umm, no he montado nunca nada con OpenVPN, por lo que puede que vaya a
> > decir una burrada, pero intuyo que sigues necesitando algún tipo de dns
> > dinamico para conseguir que se "vean" ambos lados para poder negociar.
>
> Por supuesto, sí, hace falta como poco un dyndns en uno de los extremos.
> Pero la diferencia es que con OpenVPN sólo hace falta poner una línea al
> respecto, en cambio con Ipsec... pues no lo sé, pero yo no lo conseguí de
> ninguna forma. Encontré soluciones para cuando un extremo era IP fija y el
> otro no, pero en el caso de dos IP dinámicas con dominio dyndns no encontré
> nada excepto el infumable método de monitorizar la IP y si cambia modificar
> el archivo de configuración, reiniciar la VPN...
> No dudo que sea posible hacerlo más sencillo, pero no lo encontré mientras
> que con OpenVPN fueron 10 minutos de búsqueda y lectura.
>
> > > Y ya puestos, te reto también a que hagas una VPN con Ipsec entre dos
> > > delegaciones estando el Linux de una de ellas detrás de un router NAT
> > > (es decir, sin implementar Ipsec en el router, sino en un Linux). =>
> > > Es evidente que no se puede, Ipsec no atraviesa routers NAT. Sin
> > > embargo en OpenVPN se hace todo por un puerto UDP así que puedes crear
> > > una VPN entre lo que quieras.
> >
> > Uy, uy, uy que cosa más falsa has dichoooooo ... ;-), Ipsec soporta
> > NAT-T osea nat transversal, se puede montar un tunel IPSEC con AMBOS
> > extremos detrás de un NAT, solo se necesita un puerto UDP redirigido en
> > uno de los extremos. IPSEC SI ATRAVIESA NAT.
>
> Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar. Hasta
>
> donde yo sé Ipsec en modo túnel consiste en:
> | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en original
> | |
>
> Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP.
> Que yo sepa los routers normales sólo pueden redireccionar en función de
> dichos protocolos, ¿pueden entonces hacerlo también con el protocolo Ipsec?
>
> ¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para hacer
> VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP.
>
> Nota: paralelamente a la escritura de este correo estaba mirando una web
> sobre Ipsec y leo lo siguiente:
>
> "NAT aún no es compatible en combinación con IPsec. NAT-Transversal
> ofrece una solución para este problema encapsulando los paquetes ESP dentro
> de paquetes UDP."
>
> Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez de
> OpenVPN.
>
> > Aunque no sé quien escribió la siguiente argumentación, voy a
> > contestarla.
> >
> > > > > La única ventaja de IPsec es que es la VPN que implementan
> > > > > diversos routers, nada más (que yo sepa).
> >
> > FALSO, una de las ventajas de IPSec es que ESTÁ estandarizado, otra de
> > las ventajas es que para el futuro IPv6 es OBLIGATORIO la implementación
> > de IPSec, no veo yo a los de Cisco añadiendo soporte openvpn en los
> > routers.
>
> Aprovecho para comentar otra duda:
> IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya que
> se supone que en IPv6 no existirá NAT (no será necesario) y el concepto de
> VPN del que estamos hablando no tendría cabida. <--- En realidad todo esto
> es una divagación mía, agradecería si comentas algo al respecto. ;)
>
>
>
> Saludos y gracias por tus aclaraciones.
--
Rodrigo Daniel Roldán.
CCNA
"Mi humildad es inversamente proporcional a tu vagancia" Google Dixit.
