El Domingo, 9 de Julio de 2006 22:21, Raúl Alexis Betancor Santana escribió: > > Vamos a ver, me pierdo y agradecería mucho si me lo puedes explicar. > > Hasta > > > > donde yo sé Ipsec en modo túnel consiste en: > > | Cabecera IP | AH/ESP | Cabecera IP en original | Datos IP en > > | original > > > > Es decir, Ipsec usa un protocolo IP (AH/ESP) distinto a TCP, UDP o ICMP. > > Que yo sepa los routers normales sólo pueden redireccionar en función de > > dichos protocolos, ¿pueden entonces hacerlo también con el protocolo > > Ipsec? > > > > ¿Por qué dices lo del puerto UDP? ahí si que no entiendo nada: para hacer > > VPN's con Ipsec se usa el modo túnel, y en él NO se usa UDP. > > > > Nota: paralelamente a la escritura de este correo estaba mirando una web > > sobre Ipsec y leo lo siguiente: > > > > "NAT aún no es compatible en combinación con IPsec. NAT-Transversal > > ofrece una solución para este problema encapsulando los paquetes ESP > > dentro de paquetes UDP." > > > > Vamos, que tienes razón pero no obstante sigo prefiriendo la sencillez de > > OpenVPN. > > Te explico, ipsec con NAT-T activado es igual a encapsulación del ESP (modo > tunel activado) en paquetes UDP con puerto 4500, si es solo AH tres cuartos > de lo mismo, no necesitas redirigir más que el puerto 4500 UDP en el caso > de que el extremo del concentrador de túneles esté detrás de un NAT. > Es parecido a lo que hace openvpn.
De acuerdo, entendido. No obstante me sorprende: yo siempre había pensado que Ipsec opera sólo en capa de red (es un protocolo IP) y sin embargo lo que comentas significa que también puede ir en cada dentro de la capa de transporte (dentro de UDP). ¿Es así o he entendido algo mal? Vamos, que el paquete tendría una pinta así: | Cabecera IP | UDP | AH/ESP | Cabecera IP en original | Datos IP en original ¿no? De esta forma Ipsec podría atravesar cualquier router sin más que redireccionando el puerto UDP 4500. ¿Lo he entendido bien? > > Aprovecho para comentar otra duda: > > IPsec se usará obligatoriamente en IPv6, pero no para hacer VPN's, ya que > > se supone que en IPv6 no existirá NAT (no será necesario) y el concepto > > de VPN del que estamos hablando no tendría cabida. <--- En realidad todo > > esto es una divagación mía, agradecería si comentas algo al respecto. ;) > > En IPv6 no existe NAT como tal, aunque si existen los rangos de > direccionamiento privado no rutable públicamente. > Y tienes razón, el concepto de VPN no tendría sentido, puesto que si > puedes "alcanzar" directamente los equipos de la red de tu empresa por > IPv6, lo único que harán los FW o los routers de tu empresa que entiendan > IPv6 es filtrar el tráfico que vaya hacia determinas máquinas internas > (servidores o lo que sea) y no lo dejarán pasar si no va cifrado y en > teoría las máquinas no deberían de aceptar las conexiones si no pueden > autenticarlas. > IPv6 simplificará muchas tareas de FW y routing de una forma brutal. > Recordemos de todas formas que IPv6 obliga a implementar IPSec, pero no a > usarlo. Perfecto, agradezco mucho tus explicaciones. Muchas gracias. Saludos. -- Por el bien de todos respetemos las normas de la lista: http://wiki.debian.org/NormasLista
