[eside-ghost] Sobre VPNs

[Ender]

Aupa Topo!

Pues aquí en mi empresa montan FreeSwan + IPSec + iptables + openssl con 
autenticación por certificados y va de puta madre. Solemos montar un firewall 
+ vpn gateway en la misma máquina (Debian GNU/Linux) y luego clientes en 
internet que se conectan al servidor, aunque a veces montamos una VPN site to 
site (haciendo un tunel permanente entre 2 gateways vpn).

Como cliente win suelen instalar SSH sentinel, pero seguro que hay alguna 
forma más sencilla al ser sobre ipsec (aunque el ssh sentinel es para 
"usuarios" xDDD, lo único instalar el certificado y el CA).

Sobre la configuración y el funcionamiento por lo que yo he visto y he 
cacharreado está muy bien. El servidor es muy fácil de configurar. Sobre el 
NAT de los paquetes la documentación de freeSwan te dice que no hagas NAT ni 
MASQ de los paquetes a ser tunelizados, por lo que como dices, si snifas en 
mitad puedes ver los rangos de las redes privadas. ¿Pero eso no pasa con 
todas las VPNs? o al menos si haces una VPN "Net-A to Net-B", un cliente de 
la red privada A al mandar un paquete, aunque en el gateway de la red A se 
encapsule la dirección origen del paquete, la dirección de destino por webos 
tendrá que ser una dirección privada de la red B, ¿no? vamos que no se que 
ganas haciendo NAT.

No conozco OpenVpn 2, pero seguro que lo que dicen Zgor y getxebarria es 
cierto, eso sí, a mi IPSec + FreeSwan me parece una solución buena también. 
No he leido cosas en contra por ahí todavía.

PPtpd tampoco me parece buena opción, como tu dices.

Saludos,
   Ender