<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; line-break: after-white-space;" class="">Hola Alberto<div class=""><span class="Apple-tab-span" style="white-space:pre"> </span>Gracias por responder !</div><div class=""><br class=""></div><div class="">Parte de la confusión tal vez sea porque me interesa probar la solución 464, y no el nat64 propiamente dicho ?</div><div class="">del lado del cliente no estoy usando Tayga ni Jool, si no CLAT.</div><div class=""><br class=""></div><div class="">Mis comentarios abajo.</div><div class=""><div><br class=""><blockquote type="cite" class=""><div class="">El 13 mar. 2018, a las 15:48, Alberto Leiva <<a href="mailto:ydahhrk@gmail.com" class="">ydahhrk@gmail.com</a>> escribió:</div><br class="Apple-interchange-newline"><div class=""><div class="">Hola<br class=""><br class=""><blockquote type="cite" class="">El único problema que encontré (por ahora) es que no logro conectarme a VPNs de tipo PPTP.<br class=""></blockquote><br class="">Mmm, nunca lo he intentado. Puedo tratar de hacerlo si quieres. Pero<br class="">lee mis comentarios de abajo primero; quizá hay algunas cosas que no<br class="">estás considerando.<br class=""><br class=""><blockquote type="cite" class="">De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE también.<br class="">Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero no IPSec.<br class=""></blockquote><br class="">Ok, esto me parece normal.<br class="">(Pero quizá sería bueno que me aclararas una cosa: Cuando lo probaste<br class="">con Tayga, ¿usaste dos Taygas, o usaste un Jool y un Tayga?)<br class=""></div></div></blockquote><div><br class=""></div><div>Tayga haciendo nat 64 y CLAT haciendo nat 46 o Jool haciendo nat 64 y clat haciendo nat 46.</div><br class=""><blockquote type="cite" class=""><div class=""><div class=""><br class=""><blockquote type="cite" class="">Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de funcionar SIP.<br class="">Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?<br class=""></blockquote><br class="">Probablemente no.<br class=""><br class="">Los NAT helpers del kernel son un feature de NAT/conntrack, no de<br class="">NAT64. Jool no intenta interactuar con ellos.<br class="">(Y muy probablemente Tayga tampoco porque ni siquiera opera en el kernel.)<br class=""></div></div></blockquote><div><br class=""></div><div>Pero esos nathelpers están del lado del cliente CLAT.</div><div>Y algo hacen, porque si los agrego, rompen SIP.</div><div>Cuando quiero utilizar pptp, obtengo un mensaje que dice "conntrack: generic helper won't handle protocol 47. Please consider loading the specific helper module” </div><div>y si cargo el helper de GRE el mensaje cambia a [nat46] Could not translate v4->v6</div><div><br class=""></div><div>El tema es que si utilizo Tayga si funciona PPTP, pero no IPSec. (igual si me dan a elegir prefiero IPSec que PPTP).</div><br class=""><blockquote type="cite" class=""><div class=""><div class=""><br class=""><blockquote type="cite" class="">En un principio supuse que el problema era del lado del CLAT, pero lo que me hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona IPSec, y con Jool al revés.<br class=""></blockquote><br class="">Lo que estás intentando hacer me parece un poco extraño.<br class=""><br class="">(Disclaimer: Estoy muy lejos de ser un experto en IPSec, por lo que se<br class="">me puede estar escapando algo.)<br class=""><br class="">¿Estás considerando que IPSec es inherentemente incompatible con<br class="">traducción IPv4/v6, excepto quizá en circunstancias muy específicas?<br class=""></div></div></blockquote><div><br class=""></div><div>Ahora mismo está funcionando, demora un poco en marcar la conexión como conectada, pero los paquetes pasan …</div><div><br class=""></div><blockquote type="cite" class=""><div class=""><div class=""><br class="">-> Stateful NAT64 necesita modificar campos de los encabezados de capa<br class="">4. (TCP, UDP)<br class="">-> Tengo entendido que IPSec encripta estos encabezados.<br class="">-> Stateful NAT64 no puede traducir información que está encriptada.<br class="">-> Por lo tanto, IPSec no funciona con Stateful NAT64.<br class=""><br class="">Puede que sea posible que IPSec funcione a través de SIIT/DC Dual.<br class="">(<a href="https://jool.mx/en/siit-dc-2xlat.html" class="">https://jool.mx/en/siit-dc-2xlat.html</a>)<br class="">Menciono esto porque SIIT/DC Dual es un 464XLAT que usa dos SIITs en<br class="">lugar de un SIIT y un Stateful NAT64.<br class="">SIIT no necesita modificar headers de capa 4, por lo tanto, existe la<br class="">posibilidad de que IPSec funcione a través de SIIT/DC Dual.<br class="">Pero no tomes esto como una garantía, porque no conozco muy bien IPSec<br class="">y quizá se me está escapando algo.<br class=""><br class="">Esto es lo que dicen los RFCs de SIIT y NAT64 respecto a IPSec (pero<br class="">nota que ninguno de estos RFCs considera SIIT/DC Dual):<br class=""><br class="">RFC 6146 (Stateful NAT64), sección 5.1:<br class=""><br class=""> Any protocols that protect IP header information are essentially<br class=""> incompatible with NAT64. This implies that end-to-end IPsec<br class=""> verification will fail when the Authentication Header (AH) is used<br class=""> (both transport and tunnel mode) and when ESP is used in transport<br class=""> mode. This is inherent in any network-layer translation mechanism.<br class=""> End-to-end IPsec protection can be restored, using UDP encapsulation<br class=""> as described in [RFC3948]. The actual extensions to support IPsec<br class=""> are out of the scope of this document.<br class=""><br class="">Hasta donde yo sé, estas extensiones no han sido definidas. Jool<br class="">definitivamente no las implementa.<br class=""><br class="">RFC 7915 (SIIT), sección 5.1:<br class=""><br class=""> Some translated protocols will fail at the receiver for<br class=""> various reasons: some are known to fail when translated (e.g.,<br class=""> IPsec Authentication Header (51)), ...<br class=""><br class="">Sección 8:<br class=""><br class=""> The IPsec Authentication Header [RFC4302] cannot be used for NAT44 or<br class=""> NAT64.<br class=""><br class=""></div></div></blockquote><div><br class=""></div><div>Igualmente funciona, no tengo idea como o porque.</div><div><br class=""></div><div>El tema es que con estas limitantes, y la necesidad de salir ya con el servicio en un pequeño ISP, hacen que probablemente use IPV4, en el peor de los casos con NAT44 (en el que si funciona IPSec y PPTP y SIP), que es un animal conocido y probado.</div><div>El único limitante, es cuando quieren acceder desde afuera a unas cámaras IP por ejemplo, pero estimo que el mismo problema lo voy a tener poniendo el doble NAT44 y encima agregando IPV6 en el medio (464).</div><div><br class=""></div><div>Saludos y muchas gracias !</div><div><br class=""></div><div>Demian</div><div><br class=""></div><div><br class=""></div><br class=""><blockquote type="cite" class=""><div class=""><div class="">2018-03-12 19:22 GMT-06:00 Demian Pecile <<a href="mailto:dpecile@sietecapas.com.ar" class="">dpecile@sietecapas.com.ar</a>>:<br class=""><blockquote type="cite" class="">Hola<br class="">Estoy testeando Jool.<br class="">De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE<br class="">también.<br class="">El único problema que encontré (por ahora) es que no logro conectarme a VPNs<br class="">de tipo PPTP.<br class="">Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero<br class="">no IPSec.<br class="">Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de<br class="">funcionar SIP.<br class="">Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?<br class="">En un principio supuse que el problema era del lado del CLAT, pero lo que me<br class="">hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona<br class="">IPSec, y con Jool al revés.<br class=""><br class="">Saludos<br class=""><br class="">--<br class="">Demian Pecile<br class="">Siete Capas S.R.L.<br class="">Periodistas Neuquinos 136<br class="">Piso 4 - Dpto. A - 8300 Neuquen<br class="">Argentina<br class="">Tel +54-299-4479172<br class="">Cel. +549-299-5833500<br class=""><br class=""><br class="">_______________________________________________<br class="">Jool-list mailing list<br class=""><a href="mailto:Jool-list@nic.mx" class="">Jool-list@nic.mx</a><br class="">https://mail-lists.nic.mx/listas/listinfo/jool-list<br class=""><br class=""></blockquote></div></div></blockquote></div><br class=""><div class="">
<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class=""><div style="orphans: 2; widows: 2;" class="">--</div><div style="orphans: 2; widows: 2;" class="">Demian Pecile</div><div style="orphans: 2; widows: 2;" class="">Siete Capas S.R.L.</div><div style="orphans: 2; widows: 2;" class="">Periodistas Neuquinos 136</div><div style="orphans: 2; widows: 2;" class="">Piso 4 - Dpto. A - 8300 Neuquen</div><div style="orphans: 2; widows: 2;" class="">Argentina</div><div style="orphans: 2; widows: 2;" class="">Tel +54-299-4479172 </div><div style="orphans: 2; widows: 2;" class="">Cel. +549-299-5833500</div></div></div>
</div>
<br class=""></div></body></html>