<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40"><head><meta http-equiv=Content-Type content="text/html; charset=utf-8"><meta name=Generator content="Microsoft Word 15 (filtered medium)"><style><!--
/* Font Definitions */
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
{font-family:Calibri;
panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{margin:0cm;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
a:link, span.MsoHyperlink
{mso-style-priority:99;
color:blue;
text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
{mso-style-priority:99;
color:purple;
text-decoration:underline;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
{mso-style-priority:34;
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
margin-bottom:.0001pt;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
p.msonormal0, li.msonormal0, div.msonormal0
{mso-style-name:msonormal;
mso-margin-top-alt:auto;
margin-right:0cm;
mso-margin-bottom-alt:auto;
margin-left:0cm;
font-size:11.0pt;
font-family:"Calibri",sans-serif;}
span.apple-tab-span
{mso-style-name:apple-tab-span;}
span.EstiloCorreo20
{mso-style-type:personal;
font-family:"Calibri",sans-serif;
color:windowtext;}
span.EstiloCorreo21
{mso-style-type:personal;
font-family:"Calibri",sans-serif;
color:#1F497D;}
span.EstiloCorreo23
{mso-style-type:personal-reply;
font-family:"Calibri",sans-serif;
color:windowtext;}
.MsoChpDefault
{mso-style-type:export-only;
font-size:10.0pt;}
@page WordSection1
{size:612.0pt 792.0pt;
margin:70.85pt 3.0cm 70.85pt 3.0cm;}
div.WordSection1
{page:WordSection1;}
--></style></head><body lang=ES link=blue vlink=purple><div class=WordSection1><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'>Hola Alberto,<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'>Creo que si que hablamos lo mismo:-) solo que escribimos muy rápido!<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'>Me refería a CLAT + NAT64.<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'>El CLAT es un NAT46 (stateless si se configura correctamente con su propio prefijo) y el NAT64 es la inversa (stateful).<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'>Y cuando digo LEDE para CLAT, quiero decir que el CLAT de la red de pruebas era un CPE con un LEDE con CLAT configurado.<o:p></o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'>Tayga puede ser usado como PLAT si también usas un stateful NAT44.<o:p></o:p></span></p><div><p class=MsoNormal><span lang=ES-TRAD style='font-size:10.5pt;color:black'><br>Saludos,<o:p></o:p></span></p><p class=MsoNormal style='margin-bottom:12.0pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'>Jordi<o:p></o:p></span></p></div><p class=MsoNormal><span lang=ES-TRAD style='mso-fareast-language:EN-US'><o:p> </o:p></span></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='margin-left:35.4pt'><b><span style='font-size:12.0pt;color:black'>De: </span></b><span style='font-size:12.0pt;color:black'>Alberto Leiva Popper <aleiva@nic.mx><br><b>Fecha: </b>viernes, 16 de marzo de 2018, 20:29<br><b>Para: </b>JORDI PALET MARTINEZ <jordi.palet@consulintel.es>, "jool-list@nic.mx" <jool-list@nic.mx>, "dpecile@sietecapas.com.ar" <dpecile@sietecapas.com.ar><br><b>Asunto: </b>RE: [Jool-list] Consulta sobre NAT<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:35.4pt'><o:p> </o:p></p></div><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>> </span>Tayga haciendo nat 64 y CLAT haciendo nat 46 o Jool haciendo nat 64 y clat haciendo nat 46.<o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>> </span><span lang=ES-TRAD style='mso-fareast-language:EN-US'>En el último hackaton del IETF, probamos todo tipo de configuraciones de VPNs con 464XLAT, y en ningún caso tuvimos fallos. Esa prueba se hizo con LEDE para el CLAT, con diversos sistemas operativos detrás (tanto de laptops como celulares), y con diversos NAT64.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='color:#1F497D;mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>Creo que tenemos la terminología un poco desincronizada y estoy algo confundido.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>¿No se supone que un CLAT es simplemente un “Stateless” NAT64? <a href="https://tools.ietf.org/html/rfc6877#section-2">https://tools.ietf.org/html/rfc6877#section-2</a></span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>“CLAT haciendo nat 46” <- Esto no me cuadra porque “CLAT” no es una implementación de un traductor. Quizá quisiste decir “nat46 haciendo CLAT” porque “nat46” (https://openwrt.org/packages/pkgdata/kmod-nat46) es una implementación de un “Stateless” NAT64.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>“LEDE para el CLAT” <- LEDE es una distro de Linux, no una implementación de un traductor. Me parece que tiene al menos dos traductores oficiales: “nat46” y Jool: <a href="https://openwrt.org/packages/index/kernel-modules---network-support">https://openwrt.org/packages/index/kernel-modules---network-support</a></span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>Hasta donde yo sé,</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>- “nat46”, Tayga y SIIT Jool pueden usarse como CLATs.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>- NAT64 Jool puede usarse como PLAT. (PLAT = Stateful NAT64)</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>- Tayga *<b>no</b>* puede usarse como PLAT, porque no implementa el RFC 6146.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'>¿Estamos de acuerdo? ¿O quizá la terminología ha cambiado con el tiempo y no me enteré?</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span style='color:#1F497D;mso-fareast-language:EN-US'> </span><o:p></o:p></p><div><div style='border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='margin-left:35.4pt'><b><span lang=EN-US>From:</span></b><span lang=EN-US> jool-list-bounces@nic.mx [mailto:jool-list-bounces@nic.mx] <b>On Behalf Of </b>JORDI PALET MARTINEZ<br><b>Sent:</b> miércoles, 14 de marzo de 2018 02:15 a.m.<br><b>To:</b> jool-list@nic.mx<br><b>Subject:</b> Re: [Jool-list] Consulta sobre NAT</span><o:p></o:p></p></div></div><p class=MsoNormal style='margin-left:35.4pt'><span lang=EN-US> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'>Hola Demian,</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'>NAT64 solo permite tráfico TCP, UDP, ICMP, salvo que incorpore ALGs.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'>El CLAT es transparente, y la combinación CLAT-NAT64 es básicamente una doble traducción que es aún “mas” transparente.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'>En el último hackaton del IETF, probamos todo tipo de configuraciones de VPNs con 464XLAT, y en ningún caso tuvimos fallos. Esa prueba se hizo con LEDE para el CLAT, con diversos sistemas operativos detrás (tanto de laptops como celulares), y con diversos NAT64.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'>La cuestión es que los túneles PPTP, están siendo retirados de los sistemas operativos, por muchas cuestiones, entre ellas seguridad.</span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'> </span><o:p></o:p></p><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'>Así que mi recomendación es usar un escenario de VPN que sea más seguro. Yo por ejemplo usaba antes PPTP, y ahora uso OpenVPN (y funciona con 464XLAT) … pero teniendo en cuenta que cualquier mecanismo de traducción siempre modificará la cabecera.</span><o:p></o:p></p><div><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black'><br>Saludos,</span><o:p></o:p></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:35.4pt'><span lang=ES-TRAD style='font-size:10.5pt;color:black;mso-fareast-language:EN-US'>Jordi</span><o:p></o:p></p></div><p class=MsoNormal style='margin-left:35.4pt'><span lang=ES-TRAD style='mso-fareast-language:EN-US'> </span><o:p></o:p></p><div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'><p class=MsoNormal style='margin-left:70.8pt'><b><span style='font-size:12.0pt;color:black'>De: </span></b><span style='font-size:12.0pt;color:black'><<a href="mailto:jool-list-bounces@nic.mx">jool-list-bounces@nic.mx</a>> en nombre de Demian Pecile <<a href="mailto:dpecile@sietecapas.com.ar">dpecile@sietecapas.com.ar</a>><br><b>Fecha: </b>miércoles, 14 de marzo de 2018, 3:00<br><b>Para: </b>Alberto Leiva <<a href="mailto:ydahhrk@gmail.com">ydahhrk@gmail.com</a>><br><b>CC: </b><<a href="mailto:jool-list@nic.mx">jool-list@nic.mx</a>><br><b>Asunto: </b>Re: [Jool-list] Consulta sobre NAT</span><o:p></o:p></p></div><div><p class=MsoNormal style='margin-left:70.8pt'> <o:p></o:p></p></div><p class=MsoNormal style='margin-left:70.8pt'><a name="_MailOriginalBody">Hola Alberto<o:p></o:p></a></p><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span class=apple-tab-span> </span>Gracias por responder !<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Parte de la confusión tal vez sea porque me interesa probar la solución 464, y no el nat64 propiamente dicho ?<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>del lado del cliente no estoy usando Tayga ni Jool, si no CLAT.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Mis comentarios abajo.<o:p></o:p></span></p></div><div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>El 13 mar. 2018, a las 15:48, Alberto Leiva <</span><a href="mailto:ydahhrk@gmail.com"><span style='mso-bookmark:_MailOriginalBody'>ydahhrk@gmail.com</span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'>> escribió:<o:p></o:p></span></p></div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Hola<br><br><br><o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>El único problema que encontré (por ahora) es que no logro conectarme a VPNs de tipo PPTP.<o:p></o:p></span></p></blockquote><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><br>Mmm, nunca lo he intentado. Puedo tratar de hacerlo si quieres. Pero<br>lee mis comentarios de abajo primero; quizá hay algunas cosas que no<br>estás considerando.<br><br><br><o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE también.<br>Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero no IPSec.<o:p></o:p></span></p></blockquote><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><br>Ok, esto me parece normal.<br>(Pero quizá sería bueno que me aclararas una cosa: Cuando lo probaste<br>con Tayga, ¿usaste dos Taygas, o usaste un Jool y un Tayga?)<o:p></o:p></span></p></div></div></blockquote><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Tayga haciendo nat 64 y CLAT haciendo nat 46 o Jool haciendo nat 64 y clat haciendo nat 46.<o:p></o:p></span></p></div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de funcionar SIP.<br>Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?<o:p></o:p></span></p></blockquote><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><br>Probablemente no.<br><br>Los NAT helpers del kernel son un feature de NAT/conntrack, no de<br>NAT64. Jool no intenta interactuar con ellos.<br>(Y muy probablemente Tayga tampoco porque ni siquiera opera en el kernel.)<o:p></o:p></span></p></div></div></blockquote><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Pero esos nathelpers están del lado del cliente CLAT.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Y algo hacen, porque si los agrego, rompen SIP.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Cuando quiero utilizar pptp, obtengo un mensaje que dice "conntrack: generic helper won't handle protocol 47. Please consider loading the specific helper module” <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>y si cargo el helper de GRE el mensaje cambia a [nat46] Could not translate v4->v6<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>El tema es que si utilizo Tayga si funciona PPTP, pero no IPSec. (igual si me dan a elegir prefiero IPSec que PPTP).<o:p></o:p></span></p></div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>En un principio supuse que el problema era del lado del CLAT, pero lo que me hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona IPSec, y con Jool al revés.<o:p></o:p></span></p></blockquote><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><br>Lo que estás intentando hacer me parece un poco extraño.<br><br>(Disclaimer: Estoy muy lejos de ser un experto en IPSec, por lo que se<br>me puede estar escapando algo.)<br><br>¿Estás considerando que IPSec es inherentemente incompatible con<br>traducción IPv4/v6, excepto quizá en circunstancias muy específicas?<o:p></o:p></span></p></div></div></blockquote><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Ahora mismo está funcionando, demora un poco en marcar la conexión como conectada, pero los paquetes pasan …<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><br>-> Stateful NAT64 necesita modificar campos de los encabezados de capa<br>4. (TCP, UDP)<br>-> Tengo entendido que IPSec encripta estos encabezados.<br>-> Stateful NAT64 no puede traducir información que está encriptada.<br>-> Por lo tanto, IPSec no funciona con Stateful NAT64.<br><br>Puede que sea posible que IPSec funcione a través de SIIT/DC Dual.<br>(</span><a href="https://jool.mx/en/siit-dc-2xlat.html"><span style='mso-bookmark:_MailOriginalBody'>https://jool.mx/en/siit-dc-2xlat.html</span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'>)<br>Menciono esto porque SIIT/DC Dual es un 464XLAT que usa dos SIITs en<br>lugar de un SIIT y un Stateful NAT64.<br>SIIT no necesita modificar headers de capa 4, por lo tanto, existe la<br>posibilidad de que IPSec funcione a través de SIIT/DC Dual.<br>Pero no tomes esto como una garantía, porque no conozco muy bien IPSec<br>y quizá se me está escapando algo.<br><br>Esto es lo que dicen los RFCs de SIIT y NAT64 respecto a IPSec (pero<br>nota que ninguno de estos RFCs considera SIIT/DC Dual):<br><br>RFC 6146 (Stateful NAT64), sección 5.1:<br><br> Any protocols that protect IP header information are essentially<br> incompatible with NAT64. This implies that end-to-end IPsec<br> verification will fail when the Authentication Header (AH) is used<br> (both transport and tunnel mode) and when ESP is used in transport<br> mode. This is inherent in any network-layer translation mechanism.<br> End-to-end IPsec protection can be restored, using UDP encapsulation<br> as described in [RFC3948]. The actual extensions to support IPsec<br> are out of the scope of this document.<br><br>Hasta donde yo sé, estas extensiones no han sido definidas. Jool<br>definitivamente no las implementa.<br><br>RFC 7915 (SIIT), sección 5.1:<br><br> Some translated protocols will fail at the receiver for<br> various reasons: some are known to fail when translated (e.g.,<br> IPsec Authentication Header (51)), ...<br><br>Sección 8:<br><br> The IPsec Authentication Header [RFC4302] cannot be used for NAT44 or<br> NAT64.<o:p></o:p></span></p></div></div></blockquote><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Igualmente funciona, no tengo idea como o porque.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>El tema es que con estas limitantes, y la necesidad de salir ya con el servicio en un pequeño ISP, hacen que probablemente use IPV4, en el peor de los casos con NAT44 (en el que si funciona IPSec y PPTP y SIP), que es un animal conocido y probado.<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>El único limitante, es cuando quieren acceder desde afuera a unas cámaras IP por ejemplo, pero estimo que el mismo problema lo voy a tener poniendo el doble NAT44 y encima agregando IPV6 en el medio (464).<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Saludos y muchas gracias !<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Demian<o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><div><div><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>2018-03-12 19:22 GMT-06:00 Demian Pecile <</span><a href="mailto:dpecile@sietecapas.com.ar"><span style='mso-bookmark:_MailOriginalBody'>dpecile@sietecapas.com.ar</span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'>>:<o:p></o:p></span></p><blockquote style='margin-top:5.0pt;margin-bottom:5.0pt'><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>Hola<br>Estoy testeando Jool.<br>De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE<br>también.<br>El único problema que encontré (por ahora) es que no logro conectarme a VPNs<br>de tipo PPTP.<br>Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero<br>no IPSec.<br>Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de<br>funcionar SIP.<br>Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?<br>En un principio supuse que el problema era del lado del CLAT, pero lo que me<br>hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona<br>IPSec, y con Jool al revés.<br><br>Saludos<br><br>--<br>Demian Pecile<br>Siete Capas S.R.L.<br>Periodistas Neuquinos 136<br>Piso 4 - Dpto. A - 8300 Neuquen<br>Argentina<br>Tel +54-299-4479172<br>Cel. +549-299-5833500<br><br><br>_______________________________________________<br>Jool-list mailing list<br></span><a href="mailto:Jool-list@nic.mx"><span style='mso-bookmark:_MailOriginalBody'>Jool-list@nic.mx</span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'><br></span><a href="https://mail-lists.nic.mx/listas/listinfo/jool-list"><span style='mso-bookmark:_MailOriginalBody'>https://mail-lists.nic.mx/listas/listinfo/jool-list</span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'><o:p></o:p></span></p></blockquote></div></div></blockquote></div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><div><div><div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>--</span><o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>Demian Pecile</span><o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>Siete Capas S.R.L.</span><o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>Periodistas Neuquinos 136</span><o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>Piso 4 - Dpto. A - 8300 Neuquen</span><o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>Argentina</span><o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>Tel +54-299-4479172 </span><o:p></o:p></span></p></div><div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'><span style='color:black'>Cel. +549-299-5833500</span><o:p></o:p></span></p></div></div></div></div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p></div><p class=MsoNormal style='margin-left:70.8pt'><span style='mso-bookmark:_MailOriginalBody'>_______________________________________________ Jool-list mailing list </span><a href="mailto:Jool-list@nic.mx"><span style='mso-bookmark:_MailOriginalBody'>Jool-list@nic.mx</span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'> </span><a href="https://mail-lists.nic.mx/listas/listinfo/jool-list"><span style='mso-bookmark:_MailOriginalBody'>https://mail-lists.nic.mx/listas/listinfo/jool-list</span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'> <o:p></o:p></span></p><p class=MsoNormal style='mso-margin-top-alt:0cm;margin-right:0cm;margin-bottom:12.0pt;margin-left:35.4pt'><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:12.0pt;font-family:"Times New Roman",serif'><br>**********************************************<br>IPv4 is over<br>Are you ready for the new Internet ?<br></span></span><a href="http://www.consulintel.es"><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:12.0pt;font-family:"Times New Roman",serif'>http://www.consulintel.es</span></span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:12.0pt;font-family:"Times New Roman",serif'><br>The IPv6 Company<br><br>This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.</span><o:p></o:p></span></p><p style='margin-left:35.4pt'><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:7.0pt'>Este mensaje contiene información confidencial y se entiende dirigido y para uso exclusivo del destinatario. Si recibes este mensaje y no eres el destinatario por favor elimínalo, ya que difundir, revelar, copiar o tomar cualquier acción basada en el contenido está estrictamente prohibido. Network Information Center, S.A. de C.V., ubicado en Ave. Eugenio Garza Sada 427 L4-6 Col. Altavista, Monterrey, México, C.P. 64840 recaba tus datos personales necesarios para: la prestación, estudio, análisis y mejora del servicio, la realización de comunicaciones y notificaciones; la transferencia y publicación en los casos aplicables; el cumplimiento de la relación existente; así como para la prevención o denuncia en la comisión de ilícitos. Si eres colaborador o candidato a colaborador de NIC México, tus datos serán utilizados para: la creación y administración de tu perfil como profesionista; el otorgamiento de herramientas de trabajo; la realización de estudios; el otorgamiento de programas y beneficios para mejorar tu desarrollo profesional; la gestión y administración de servicios de pago y/o nómina; así como para contacto y/o notificaciones. Si participas en promociones o en estudios podrás dejar de participar. Para mayor información revisa el </span></span><a href="http://www.nic.mx/es/NicMx.AvisosDePrivacidad"><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:7.0pt'>Aviso de Privacidad</span></span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:7.0pt'>.<o:p></o:p></span></span></p><p class=MsoNormal style='margin-left:35.4pt'><span style='mso-bookmark:_MailOriginalBody'><o:p> </o:p></span></p><p style='margin-left:35.4pt'><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:7.0pt'>This message contains confidential information and is intended only for the individual named. If you are not the named addressee please delete it, since the dissemination, distribuition, copy or taking any action in reliance on the contents is strictly prohibited. Network Information Center, S.A. de C.V., located on Av. Eugenio Garza Sada 427 L4-6, Col. Altavista, Monterrey, Mexico, CP 64840 collects your personal data which is necessary to: provide, research, analyze and improve the service; send communications and notices; transfer and publish your personal data when applicable; fulfill the existing relationship; prevent or inform in the commission of unlawful acts or events. If the data is processed in your quality of candidate or collaborator of NIC Mexico, the purpose of treatment is to: create and manage your profile as a professional; provide you with working tools; conduct studies; grant benefits and programs to enhance your professional development; manage and administrate payment services and/or payroll; as well as to contact you. If you participate in promotions or surveys you may stop or quit your participation at any time. For more information read the </span></span><a href="http://www.nic.mx/es/NicMx.AvisosDePrivacidad"><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:7.0pt'>Privacy Note</span></span><span style='mso-bookmark:_MailOriginalBody'></span></a><span style='mso-bookmark:_MailOriginalBody'><span style='font-size:7.0pt'>.<o:p></o:p></span></span></p></div><br>**********************************************<br>
IPv4 is over<br>
Are you ready for the new Internet ?<br>
http://www.consulintel.es<br>
The IPv6 Company<br>
<br>
This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.<br>
<br>
</body></html>