[Jool-list] Consulta sobre NAT

Alberto Leiva Popper aleiva at nic.mx
Fri Mar 16 13:53:28 CST 2018 

Ok, va.
Gracias

From: JORDI PALET MARTINEZ [mailto:jordi.palet en consulintel.es]
Sent: viernes, 16 de marzo de 2018 01:37 p.m.
To: Alberto Leiva Popper <aleiva en nic.mx>; jool-list en nic.mx; dpecile en sietecapas.com.ar
Subject: Re: [Jool-list] Consulta sobre NAT

Hola Alberto,

Creo que si que hablamos lo mismo:-) solo que escribimos muy rápido!

Me refería a CLAT + NAT64.

El CLAT es un NAT46 (stateless si se configura correctamente con su propio prefijo) y el NAT64 es la inversa (stateful).

Y cuando digo LEDE para CLAT, quiero decir que el CLAT de la red de pruebas era un CPE con un LEDE con CLAT configurado.

Tayga puede ser usado como PLAT si también usas un stateful NAT44.

Saludos,
Jordi

De: Alberto Leiva Popper <aleiva en nic.mx<mailto:aleiva en nic.mx>>
Fecha: viernes, 16 de marzo de 2018, 20:29
Para: JORDI PALET MARTINEZ <jordi.palet en consulintel.es<mailto:jordi.palet en consulintel.es>>, "jool-list en nic.mx<mailto:jool-list en nic.mx>" <jool-list en nic.mx<mailto:jool-list en nic.mx>>, "dpecile en sietecapas.com.ar<mailto:dpecile en sietecapas.com.ar>" <dpecile en sietecapas.com.ar<mailto:dpecile en sietecapas.com.ar>>
Asunto: RE: [Jool-list] Consulta sobre NAT

> Tayga haciendo nat 64 y CLAT haciendo nat 46 o Jool haciendo nat 64 y clat haciendo nat 46.

> En el último hackaton del IETF, probamos todo tipo de configuraciones de VPNs con 464XLAT, y en ningún caso tuvimos fallos. Esa prueba se hizo con LEDE para el CLAT, con diversos sistemas operativos detrás (tanto de laptops como celulares), y con diversos NAT64.

Creo que tenemos la terminología un poco desincronizada y estoy algo confundido.

¿No se supone que un CLAT es simplemente un “Stateless” NAT64? https://tools.ietf.org/html/rfc6877#section-2

“CLAT haciendo nat 46” <- Esto no me cuadra porque “CLAT” no es una implementación de un traductor. Quizá quisiste decir “nat46 haciendo CLAT” porque “nat46” (https://openwrt.org/packages/pkgdata/kmod-nat46) es una implementación de un “Stateless” NAT64.
“LEDE para el CLAT” <- LEDE es una distro de Linux, no una implementación de un traductor. Me parece que tiene al menos dos traductores oficiales: “nat46” y Jool: https://openwrt.org/packages/index/kernel-modules---network-support

Hasta donde yo sé,
- “nat46”, Tayga y SIIT Jool pueden usarse como CLATs.
- NAT64 Jool puede usarse como PLAT. (PLAT = Stateful NAT64)
- Tayga *no* puede usarse como PLAT, porque no implementa el RFC 6146.

¿Estamos de acuerdo? ¿O quizá la terminología ha cambiado con el tiempo y no me enteré?

From: jool-list-bounces en nic.mx<mailto:jool-list-bounces en nic.mx> [mailto:jool-list-bounces en nic.mx] On Behalf Of JORDI PALET MARTINEZ
Sent: miércoles, 14 de marzo de 2018 02:15 a.m.
To: jool-list en nic.mx<mailto:jool-list en nic.mx>
Subject: Re: [Jool-list] Consulta sobre NAT

Hola Demian,

NAT64 solo permite tráfico TCP, UDP, ICMP, salvo que incorpore ALGs.

El CLAT es transparente, y la combinación CLAT-NAT64 es básicamente una doble traducción que es aún “mas” transparente.

En el último hackaton del IETF, probamos todo tipo de configuraciones de VPNs con 464XLAT, y en ningún caso tuvimos fallos. Esa prueba se hizo con LEDE para el CLAT, con diversos sistemas operativos detrás (tanto de laptops como celulares), y con diversos NAT64.

La cuestión es que los túneles PPTP, están siendo retirados de los sistemas operativos, por muchas cuestiones, entre ellas seguridad.

Así que mi recomendación es usar un escenario de VPN que sea más seguro. Yo por ejemplo usaba antes PPTP, y ahora uso OpenVPN (y funciona con 464XLAT) … pero teniendo en cuenta que cualquier mecanismo de traducción siempre modificará la cabecera.

Saludos,
Jordi

De: <jool-list-bounces en nic.mx<mailto:jool-list-bounces en nic.mx>> en nombre de Demian Pecile <dpecile en sietecapas.com.ar<mailto:dpecile en sietecapas.com.ar>>
Fecha: miércoles, 14 de marzo de 2018, 3:00
Para: Alberto Leiva <ydahhrk en gmail.com<mailto:ydahhrk en gmail.com>>
CC: <jool-list en nic.mx<mailto:jool-list en nic.mx>>
Asunto: Re: [Jool-list] Consulta sobre NAT

Hola Alberto
                Gracias por responder !

Parte de la confusión tal vez sea porque me interesa probar la solución 464, y no el nat64 propiamente dicho ?
del lado del cliente no estoy usando Tayga ni Jool, si no CLAT.

Mis comentarios abajo.

El 13 mar. 2018, a las 15:48, Alberto Leiva <ydahhrk en gmail.com<mailto:ydahhrk en gmail.com>> escribió:

Hola

El único problema que encontré (por ahora) es que no logro conectarme a VPNs de tipo PPTP.

Mmm, nunca lo he intentado. Puedo tratar de hacerlo si quieres. Pero
lee mis comentarios de abajo primero; quizá hay algunas cosas que no
estás considerando.

De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE también.
Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero no IPSec.

Ok, esto me parece normal.
(Pero quizá sería bueno que me aclararas una cosa: Cuando lo probaste
con Tayga, ¿usaste dos Taygas, o usaste un Jool y un Tayga?)

Tayga haciendo nat 64 y CLAT haciendo nat 46 o Jool haciendo nat 64 y clat haciendo nat 46.


Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de funcionar SIP.
Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?

Probablemente no.

Los NAT helpers del kernel son un feature de NAT/conntrack, no de
NAT64. Jool no intenta interactuar con ellos.
(Y muy probablemente Tayga tampoco porque ni siquiera opera en el kernel.)

Pero esos nathelpers están del lado del cliente CLAT.
Y algo hacen, porque si los agrego, rompen SIP.
Cuando quiero utilizar pptp, obtengo un mensaje que dice "conntrack: generic helper won't handle protocol 47. Please consider loading the specific helper module”
y si cargo el helper de GRE el mensaje cambia a [nat46] Could not translate v4->v6

El tema es que si utilizo Tayga si funciona PPTP, pero no IPSec. (igual si me dan a elegir prefiero IPSec que PPTP).


En un principio supuse que el problema era del lado del CLAT, pero lo que me hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona IPSec, y con Jool al revés.

Lo que estás intentando hacer me parece un poco extraño.

(Disclaimer: Estoy muy lejos de ser un experto en IPSec, por lo que se
me puede estar escapando algo.)

¿Estás considerando que IPSec es inherentemente incompatible con
traducción IPv4/v6, excepto quizá en circunstancias muy específicas?

Ahora mismo está funcionando, demora un poco en marcar la conexión como conectada, pero los paquetes pasan …


-> Stateful NAT64 necesita modificar campos de los encabezados de capa
4. (TCP, UDP)
-> Tengo entendido que IPSec encripta estos encabezados.
-> Stateful NAT64 no puede traducir información que está encriptada.
-> Por lo tanto, IPSec no funciona con Stateful NAT64.

Puede que sea posible que IPSec funcione a través de SIIT/DC Dual.
(https://jool.mx/en/siit-dc-2xlat.html)
Menciono esto porque SIIT/DC Dual es un 464XLAT que usa dos SIITs en
lugar de un SIIT y un Stateful NAT64.
SIIT no necesita modificar headers de capa 4, por lo tanto, existe la
posibilidad de que IPSec funcione a través de SIIT/DC Dual.
Pero no tomes esto como una garantía, porque no conozco muy bien IPSec
y quizá se me está escapando algo.

Esto es lo que dicen los RFCs de SIIT y NAT64 respecto a IPSec (pero
nota que ninguno de estos RFCs considera SIIT/DC Dual):

RFC 6146 (Stateful NAT64), sección 5.1:

   Any protocols that protect IP header information are essentially
   incompatible with NAT64.  This implies that end-to-end IPsec
   verification will fail when the Authentication Header (AH) is used
   (both transport and tunnel mode) and when ESP is used in transport
   mode.  This is inherent in any network-layer translation mechanism.
   End-to-end IPsec protection can be restored, using UDP encapsulation
   as described in [RFC3948].  The actual extensions to support IPsec
   are out of the scope of this document.

Hasta donde yo sé, estas extensiones no han sido definidas. Jool
definitivamente no las implementa.

RFC 7915 (SIIT), sección 5.1:

   Some translated protocols will fail at the receiver for
   various reasons: some are known to fail when translated (e.g.,
   IPsec Authentication Header (51)), ...

Sección 8:

   The IPsec Authentication Header [RFC4302] cannot be used for NAT44 or
   NAT64.

Igualmente funciona, no tengo idea como o porque.

El tema es que con estas limitantes, y la necesidad de salir ya con el servicio en un pequeño ISP, hacen que probablemente use IPV4, en el peor de los casos con NAT44 (en el que si funciona IPSec y PPTP y SIP), que es un animal conocido y probado.
El único limitante, es cuando quieren acceder desde afuera a unas cámaras IP por ejemplo, pero estimo que el mismo problema lo voy a tener poniendo el doble NAT44 y encima agregando IPV6 en el medio (464).

Saludos y muchas gracias !

Demian



2018-03-12 19:22 GMT-06:00 Demian Pecile <dpecile en sietecapas.com.ar<mailto:dpecile en sietecapas.com.ar>>:
Hola
Estoy testeando Jool.
De un lado tengo Jool en LEDE, por el otro el cliente 464XLAT (CLAT) en LEDE
también.
El único problema que encontré (por ahora) es que no logro conectarme a VPNs
de tipo PPTP.
Probe con otros traductores (Tayga), y ahí pude conectarme a VPNs PPTP, pero
no IPSec.
Si agrego los helpers de NAT a LEDE, sigo sin conectarme a PPTP, y deja de
funcionar SIP.
Tienen alguna idea si funcionan las cosas que necesitan nat helpers ?
En un principio supuse que el problema era del lado del CLAT, pero lo que me
hizo sospechar de Jool, es que con Tayga funciona PPTP, pero no funciona
IPSec, y con Jool al revés.

Saludos

--
Demian Pecile
Siete Capas S.R.L.
Periodistas Neuquinos 136
Piso 4 - Dpto. A - 8300 Neuquen
Argentina
Tel +54-299-4479172
Cel. +549-299-5833500


_______________________________________________
Jool-list mailing list
Jool-list en nic.mx<mailto:Jool-list en nic.mx>
https://mail-lists.nic.mx/listas/listinfo/jool-list

--
Demian Pecile
Siete Capas S.R.L.
Periodistas Neuquinos 136
Piso 4 - Dpto. A - 8300 Neuquen
Argentina
Tel +54-299-4479172
Cel. +549-299-5833500

_______________________________________________ Jool-list mailing list Jool-list en nic.mx<mailto:Jool-list en nic.mx> https://mail-lists.nic.mx/listas/listinfo/jool-list

**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.consulintel.es
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

Este mensaje contiene información confidencial y se entiende dirigido y para uso exclusivo del destinatario. Si recibes este mensaje y no eres el destinatario por favor elimínalo, ya que difundir, revelar, copiar o tomar cualquier acción basada en el contenido está estrictamente prohibido. Network Information Center, S.A. de C.V., ubicado en Ave. Eugenio Garza Sada 427 L4-6 Col. Altavista, Monterrey, México, C.P. 64840 recaba tus datos personales necesarios para: la prestación, estudio, análisis y mejora del servicio, la realización de comunicaciones y notificaciones; la transferencia y publicación en los casos aplicables; el cumplimiento de la relación existente; así como para la prevención o denuncia en la comisión de ilícitos. Si eres colaborador o candidato a colaborador de NIC México, tus datos serán utilizados para: la creación y administración de tu perfil como profesionista; el otorgamiento de herramientas de trabajo; la realización de estudios; el otorgamiento de programas y beneficios para mejorar tu desarrollo profesional; la gestión y administración de servicios de pago y/o nómina; así como para contacto y/o notificaciones. Si participas en promociones o en estudios podrás dejar de participar. Para mayor información revisa el Aviso de Privacidad<http://www.nic.mx/es/NicMx.AvisosDePrivacidad>.


This message contains confidential information and is intended only for the individual named. If you are not the named addressee please delete it, since the dissemination, distribuition, copy or taking any action in reliance on the contents is strictly prohibited. Network Information Center, S.A. de C.V., located on Av. Eugenio Garza Sada 427 L4-6, Col. Altavista, Monterrey, Mexico, CP 64840 collects your personal data which is necessary to: provide, research, analyze and improve the service; send communications and notices; transfer and publish your personal data when applicable; fulfill the existing relationship; prevent or inform in the commission of unlawful acts or events. If the data is processed in your quality of candidate or collaborator of NIC Mexico, the purpose of treatment is to: create and manage your profile as a professional; provide you with working tools; conduct studies; grant benefits and programs to enhance your professional development; manage and administrate payment services and/or payroll; as well as to contact you. If you participate in promotions or surveys you may stop or quit your participation at any time. For more information read the Privacy Note<http://www.nic.mx/es/NicMx.AvisosDePrivacidad>.

**********************************************
IPv4 is over
Are you ready for the new Internet ?
http://www.consulintel.es
The IPv6 Company

This electronic message contains information which may be privileged or confidential. The information is intended to be for the exclusive use of the individual(s) named above and further non-explicilty authorized disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited and will be considered a criminal offense. If you are not the intended recipient be aware that any disclosure, copying, distribution or use of the contents of this information, even if partially, including attached files, is strictly prohibited, will be considered a criminal offense, so you must reply to the original sender to inform about this communication and delete it.

Este mensaje contiene información confidencial y se entiende dirigido y para uso exclusivo del destinatario. Si recibes este mensaje y no eres el destinatario por favor elimínalo, ya que difundir, revelar, copiar o tomar cualquier acción basada en el contenido está estrictamente prohibido. Network Information Center, S.A. de C.V., ubicado en Ave. Eugenio Garza Sada 427 L4-6 Col. Altavista, Monterrey, México, C.P. 64840 recaba tus datos personales necesarios para: la prestación, estudio, análisis y mejora del servicio, la realización de comunicaciones y notificaciones; la transferencia y publicación en los casos aplicables; el cumplimiento de la relación existente; así como para la prevención o denuncia en la comisión de ilícitos. Si eres colaborador o candidato a colaborador de NIC México, tus datos serán utilizados para: la creación y administración de tu perfil como profesionista; el otorgamiento de herramientas de trabajo; la realización de estudios; el otorgamiento de programas y beneficios para mejorar tu desarrollo profesional; la gestión y administración de servicios de pago y/o nómina; así como para contacto y/o notificaciones. Si participas en promociones o en estudios podrás dejar de participar. Para mayor información revisa el Aviso de Privacidad<http://www.nic.mx/es/NicMx.AvisosDePrivacidad>.


This message contains confidential information and is intended only for the individual named. If you are not the named addressee please delete it, since the dissemination, distribuition, copy or taking any action in reliance on the contents is strictly prohibited. Network Information Center, S.A. de C.V., located on Av. Eugenio Garza Sada 427 L4-6, Col. Altavista, Monterrey, Mexico, CP 64840 collects your personal data which is necessary to: provide, research, analyze and improve the service; send communications and notices; transfer and publish your personal data when applicable; fulfill the existing relationship; prevent or inform in the commission of unlawful acts or events. If the data is processed in your quality of candidate or collaborator of NIC Mexico, the purpose of treatment is to: create and manage your profile as a professional; provide you with working tools; conduct studies; grant benefits and programs to enhance your professional development; manage and administrate payment services and/or payroll; as well as to contact you. If you participate in promotions or surveys you may stop or quit your participation at any time. For more information read the Privacy Note<http://www.nic.mx/es/NicMx.AvisosDePrivacidad>.
------------ pr�xima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <http://mail-lists.nic.mx/pipermail/jool-list/attachments/20180316/8388bb1d/attachment-0001.html>

More information about the Jool-list mailing list