Todo es cuestión de confianza

Para todos aquellos héroes que vienen levantando vpns a lo loco en esta crisis mundial.

todo es cuestión de confianza, no olvides nunca esa premisa al levantar una vpn remote-access.

SLL es para remote access only mientras que Ipsec es para site to site y remote Access. Como administrador estas ante la siguiente cuestión cuando creas un túnel privado, al final yo nunca se que equipo tiene aquel usuario que esta en casa o en un Hotel; Entonces supongamos que vamos con un IPSEC, la pregunta es, ¿alguien sabe que puertos son funcionales en el Gateway (router del hotel o casa)? estas en lo correcto si lo pensaste se debe permitir UDP 500, eso es usado para las negociaciones de ISAKMP; entonces para levantar la vpn sobre udp 500 y se negocien los SA con el otro extremo bajo "paquetes ESP" que son los que encapsulan la data entonces cuando los paquetes van hacia el router ¿Cual podría ser el problema?

Pues no siempre sabemos qué equipo o marca es el equipo desde donde esta conectado ese usuario o donde podría estar. Estos paquetes ESP pueden ser bloqueados y es por eso que comúnmente las RA ipsec fallan por que enviamos paquetes ESP, " recordemos que ESP está en la capa 4 transporte, no olviden que ese router en el hotel o casa está haciendo PAT para los invitados para navegar hacia la red de internet y PAT necesita puertos para poder enviar paquetes. Entonces si analizamos el paquete ESP veremos que no tiene el número de puerto como tienen las cabeceras TCP y UDP.

Como resultado: todo es cuestión de confianza, por eso escojo al gatito SSL para usuarios remotos, por que cuando estén en casa o algún otro lugar ese viaje (network) que hacen lo harán por "TCP 443" , que normalmente y no me digan que no, todos los firewall o routers lo permiten por defecto en vez del oso gruñón "udp 500 y 4500" que no esta permitido.

Rjs101