[eside-ghost] Sobre VPNs

zgor zgor en int80h.net
Mar Nov 16 10:04:40 CET 2004 

Ender wrote:
> Aupa Topo!
> 
> Pues aquí en mi empresa montan FreeSwan + IPSec + iptables + openssl con 
> autenticación por certificados y va de puta madre. Solemos montar un firewall 
> + vpn gateway en la misma máquina (Debian GNU/Linux) y luego clientes en 
> internet que se conectan al servidor, aunque a veces montamos una VPN site to 

pero el caso es que tienes que estar de cara a internet con esa solucion 
con el router firewall vpn (es decir von ip publica en algun iface) o 
sino utilizar un router ke soporte ipsec passthru.
Porque como comentaba, muchos de los routers pasan de los paquetes 
protocolo ip 50 (esp) y no te tira ipsec ni jarto. Aparte que en tal 
caso tambien hay que usar ipsec nat transversal (opcion en el kernel).
Por ese lado tb hay openswan y tal :)

> Sobre la configuración y el funcionamiento por lo que yo he visto y he 
> cacharreado está muy bien. El servidor es muy fácil de configurar. Sobre el 
> NAT de los paquetes la documentación de freeSwan te dice que no hagas NAT ni 
> MASQ de los paquetes a ser tunelizados, por lo que como dices, si snifas en 
> mitad puedes ver los rangos de las redes privadas. ¿Pero eso no pasa con 
> todas las VPNs? o al menos si haces una VPN "Net-A to Net-B", un cliente de 
> la red privada A al mandar un paquete, aunque en el gateway de la red A se 
> encapsule la dirección origen del paquete, la dirección de destino por webos 
> tendrá que ser una dirección privada de la red B, ¿no? vamos que no se que 
> ganas haciendo NAT.

Claro, eso funciona asi con todos los sistemas de tunneling vpn.
Y NAT no tendria sentido hacer como dices.
Lo que si que es mejor, en mi humilde opinion, es usar vpns enrutadas y 
no bridgeadas.
A nivel de seguridad, puedes filtrar lo mismo (iptables + ebtables). Con 
bridging es lo maximo en transparencia, es decir, las dos nets fisicas 
(si unes dos nets) están en la misma subred exacta, es decir que si 
pingas broadcast te responde todo cristo (eso si, los del lado contrario 
con un poco mas de retardo XD) y funciona absolutamente cualquier cosa  IP.
En routing hay que añadir esa ruta estatica (sino el pseudo router vpn 
es el gateway por defecto claro esta) (aunque bastaria con añadirla en 
el router por defecto y el se encargaria de enviar los icmps redirects y 
tal cual pascual), pero no se, me parece como mas organizado y 
escalable, si quieres hacer redundancia luego podrias juguetear con ospf 
y tal para multiples paths y diversión asegurada, en cambio si unes todo 
con un super maxi mega gigante bridge tendrias que utilizar STP (como 
los switchs, al fin y al cabo un bridge es un switch) (esta en las 
bridge-utils) y no se, me parece como poco sostenible ....... tambien se 
podria hacer con pseudo bridges (proxy arp) y solo bridgeas lo que te 
interesa (y no todo a sako)
El unico problema que veo a routing es que para que los putos windowze 
puedan resolver nombres de hosts , como lo hacen via broadcast pues no 
tiraria, entonces hay que usar un WINS Server (se puede poner en samba), 
sino me equivoco solo se puede hacer asi, con un fichero de lmhosts en 
cada estacion o sino con Samba Forwarder (http://nbfw.sourceforge.net/) 
que es para redes enmascaradas y tal pero creo que tiraria tb con un 
sistema con routing.
De todas maneras, si es una red pequeña (la de nuestra txeli o empresita 
pequeña), si que haria bridging y todo funcionando como si se estuviera 
fisicamente y listo kalisto.....
No se, es asi como veo las cosas, que opinaix ?

Más información sobre la lista de distribución eside-ghost