[Jool-list] Consulta sobre NAT

Alberto Leiva ydahhrk at gmail.com
Tue Mar 13 12:48:34 CST 2018 

Hola

> El único problema que encontré (por ahora) es que no logro conectarme a VPNs de tipo PPTP.

Mmm, nunca lo he intentado. Puedo tratar de hacerlo si quieres. Pero
lee mis comentarios de abajo primero; quizá hay algunas cosas que no
estás considerando.

> De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE también.
> Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero no IPSec.

Ok, esto me parece normal.
(Pero quizá sería bueno que me aclararas una cosa: Cuando lo probaste
con Tayga, ¿usaste dos Taygas, o usaste un Jool y un Tayga?)

> Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de funcionar SIP.
> Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?

Probablemente no.

Los NAT helpers del kernel son un feature de NAT/conntrack, no de
NAT64. Jool no intenta interactuar con ellos.
(Y muy probablemente Tayga tampoco porque ni siquiera opera en el kernel.)

> En un principio supuse que el problema era del lado del CLAT, pero lo que me hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona IPSec, y con Jool al revés.

Lo que estás intentando hacer me parece un poco extraño.

(Disclaimer: Estoy muy lejos de ser un experto en IPSec, por lo que se
me puede estar escapando algo.)

¿Estás considerando que IPSec es inherentemente incompatible con
traducción IPv4/v6, excepto quizá en circunstancias muy específicas?

-> Stateful NAT64 necesita modificar campos de los encabezados de capa
4. (TCP, UDP)
-> Tengo entendido que IPSec encripta estos encabezados.
-> Stateful NAT64 no puede traducir información que está encriptada.
-> Por lo tanto, IPSec no funciona con Stateful NAT64.

Puede que sea posible que IPSec funcione a través de SIIT/DC Dual.
(https://jool.mx/en/siit-dc-2xlat.html)
Menciono esto porque SIIT/DC Dual es un 464XLAT que usa dos SIITs en
lugar de un SIIT y un Stateful NAT64.
SIIT no necesita modificar headers de capa 4, por lo tanto, existe la
posibilidad de que IPSec funcione a través de SIIT/DC Dual.
Pero no tomes esto como una garantía, porque no conozco muy bien IPSec
y quizá se me está escapando algo.

Esto es lo que dicen los RFCs de SIIT y NAT64 respecto a IPSec (pero
nota que ninguno de estos RFCs considera SIIT/DC Dual):

RFC 6146 (Stateful NAT64), sección 5.1:

    Any protocols that protect IP header information are essentially
    incompatible with NAT64.  This implies that end-to-end IPsec
    verification will fail when the Authentication Header (AH) is used
    (both transport and tunnel mode) and when ESP is used in transport
    mode.  This is inherent in any network-layer translation mechanism.
    End-to-end IPsec protection can be restored, using UDP encapsulation
    as described in [RFC3948].  The actual extensions to support IPsec
    are out of the scope of this document.

Hasta donde yo sé, estas extensiones no han sido definidas. Jool
definitivamente no las implementa.

RFC 7915 (SIIT), sección 5.1:

    Some translated protocols will fail at the receiver for
    various reasons: some are known to fail when translated (e.g.,
    IPsec Authentication Header (51)), ...

Sección 8:

    The IPsec Authentication Header [RFC4302] cannot be used for NAT44 or
    NAT64.

2018-03-12 19:22 GMT-06:00 Demian Pecile <dpecile at sietecapas.com.ar>:
> Hola
> Estoy testeando Jool.
> De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE
> también.
> El único problema que encontré (por ahora) es que no logro conectarme a VPNs
> de tipo PPTP.
> Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero
> no IPSec.
> Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de
> funcionar SIP.
> Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?
> En un principio supuse que el problema era del lado del CLAT, pero lo que me
> hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona
> IPSec, y con Jool al revés.
>
> Saludos
>
> --
> Demian Pecile
> Siete Capas S.R.L.
> Periodistas Neuquinos 136
> Piso 4 - Dpto. A - 8300 Neuquen
> Argentina
> Tel +54-299-4479172
> Cel. +549-299-5833500
>
>
> _______________________________________________
> Jool-list mailing list
> Jool-list at nic.mx
> https://mail-lists.nic.mx/listas/listinfo/jool-list
>

More information about the Jool-list mailing list