Hola Alberto Gracias por responder ! Parte de la confusión tal vez sea porque me interesa probar la solución 464, y no el nat64 propiamente dicho ? del lado del cliente no estoy usando Tayga ni Jool, si no CLAT.
Mis comentarios abajo. > El 13 mar. 2018, a las 15:48, Alberto Leiva <ydah...@gmail.com> escribió: > > Hola > >> El único problema que encontré (por ahora) es que no logro conectarme a VPNs >> de tipo PPTP. > > Mmm, nunca lo he intentado. Puedo tratar de hacerlo si quieres. Pero > lee mis comentarios de abajo primero; quizá hay algunas cosas que no > estás considerando. > >> De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE >> también. >> Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero >> no IPSec. > > Ok, esto me parece normal. > (Pero quizá sería bueno que me aclararas una cosa: Cuando lo probaste > con Tayga, ¿usaste dos Taygas, o usaste un Jool y un Tayga?) Tayga haciendo nat 64 y CLAT haciendo nat 46 o Jool haciendo nat 64 y clat haciendo nat 46. > >> Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de >> funcionar SIP. >> Tienen alguna idea si funcionan las cosas que necesitan nat helpers ? > > Probablemente no. > > Los NAT helpers del kernel son un feature de NAT/conntrack, no de > NAT64. Jool no intenta interactuar con ellos. > (Y muy probablemente Tayga tampoco porque ni siquiera opera en el kernel.) Pero esos nathelpers están del lado del cliente CLAT. Y algo hacen, porque si los agrego, rompen SIP. Cuando quiero utilizar pptp, obtengo un mensaje que dice "conntrack: generic helper won't handle protocol 47. Please consider loading the specific helper module” y si cargo el helper de GRE el mensaje cambia a [nat46] Could not translate v4->v6 El tema es que si utilizo Tayga si funciona PPTP, pero no IPSec. (igual si me dan a elegir prefiero IPSec que PPTP). > >> En un principio supuse que el problema era del lado del CLAT, pero lo que me >> hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona >> IPSec, y con Jool al revés. > > Lo que estás intentando hacer me parece un poco extraño. > > (Disclaimer: Estoy muy lejos de ser un experto en IPSec, por lo que se > me puede estar escapando algo.) > > ¿Estás considerando que IPSec es inherentemente incompatible con > traducción IPv4/v6, excepto quizá en circunstancias muy específicas? Ahora mismo está funcionando, demora un poco en marcar la conexión como conectada, pero los paquetes pasan … > > -> Stateful NAT64 necesita modificar campos de los encabezados de capa > 4. (TCP, UDP) > -> Tengo entendido que IPSec encripta estos encabezados. > -> Stateful NAT64 no puede traducir información que está encriptada. > -> Por lo tanto, IPSec no funciona con Stateful NAT64. > > Puede que sea posible que IPSec funcione a través de SIIT/DC Dual. > (https://jool.mx/en/siit-dc-2xlat.html) > Menciono esto porque SIIT/DC Dual es un 464XLAT que usa dos SIITs en > lugar de un SIIT y un Stateful NAT64. > SIIT no necesita modificar headers de capa 4, por lo tanto, existe la > posibilidad de que IPSec funcione a través de SIIT/DC Dual. > Pero no tomes esto como una garantía, porque no conozco muy bien IPSec > y quizá se me está escapando algo. > > Esto es lo que dicen los RFCs de SIIT y NAT64 respecto a IPSec (pero > nota que ninguno de estos RFCs considera SIIT/DC Dual): > > RFC 6146 (Stateful NAT64), sección 5.1: > > Any protocols that protect IP header information are essentially > incompatible with NAT64. This implies that end-to-end IPsec > verification will fail when the Authentication Header (AH) is used > (both transport and tunnel mode) and when ESP is used in transport > mode. This is inherent in any network-layer translation mechanism. > End-to-end IPsec protection can be restored, using UDP encapsulation > as described in [RFC3948]. The actual extensions to support IPsec > are out of the scope of this document. > > Hasta donde yo sé, estas extensiones no han sido definidas. Jool > definitivamente no las implementa. > > RFC 7915 (SIIT), sección 5.1: > > Some translated protocols will fail at the receiver for > various reasons: some are known to fail when translated (e.g., > IPsec Authentication Header (51)), ... > > Sección 8: > > The IPsec Authentication Header [RFC4302] cannot be used for NAT44 or > NAT64. > Igualmente funciona, no tengo idea como o porque. El tema es que con estas limitantes, y la necesidad de salir ya con el servicio en un pequeño ISP, hacen que probablemente use IPV4, en el peor de los casos con NAT44 (en el que si funciona IPSec y PPTP y SIP), que es un animal conocido y probado. El único limitante, es cuando quieren acceder desde afuera a unas cámaras IP por ejemplo, pero estimo que el mismo problema lo voy a tener poniendo el doble NAT44 y encima agregando IPV6 en el medio (464). Saludos y muchas gracias ! Demian > 2018-03-12 19:22 GMT-06:00 Demian Pecile <dpec...@sietecapas.com.ar>: >> Hola >> Estoy testeando Jool. >> De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE >> también. >> El único problema que encontré (por ahora) es que no logro conectarme a VPNs >> de tipo PPTP. >> Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero >> no IPSec. >> Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de >> funcionar SIP. >> Tienen alguna idea si funcionan las cosas que necesitan nat helpers ? >> En un principio supuse que el problema era del lado del CLAT, pero lo que me >> hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona >> IPSec, y con Jool al revés. >> >> Saludos >> >> -- >> Demian Pecile >> Siete Capas S.R.L. >> Periodistas Neuquinos 136 >> Piso 4 - Dpto. A - 8300 Neuquen >> Argentina >> Tel +54-299-4479172 >> Cel. +549-299-5833500 >> >> >> _______________________________________________ >> Jool-list mailing list >> Jool-list@nic.mx >> https://mail-lists.nic.mx/listas/listinfo/jool-list >> -- Demian Pecile Siete Capas S.R.L. Periodistas Neuquinos 136 Piso 4 - Dpto. A - 8300 Neuquen Argentina Tel +54-299-4479172 Cel. +549-299-5833500
_______________________________________________ Jool-list mailing list Jool-list@nic.mx https://mail-lists.nic.mx/listas/listinfo/jool-list