Desde hace poco hemos tenido que levantar túneles IPSEC contra Cisco ASA y routers similares para conectar dos IP’s privadas de distinto subrango de red. En un principio lo más cómodo es comprarte hardware especial que lo trate y configure de forma transparente, una opción más económica y algo más laboriosa es usar el kernel de Linux junto con alguna herramienta para levantar y gestionar los túneles. Tras estudiar que herramientas potentes habia disponibles, nos quedamos con dos:

• racoon
• openswan

Ambas se sirven del núcleo de linux, el cuál debe de tener habilitadas las opciones:

• PF_KEY sockets
• IP: AH transformation
• IP: ESP transformation
• IP: IPSEC transport mode
• IP: IPSEC tunnel mode

Hemos de tener en cuenta también si usamos un firewall, permitir el tráfico por los puertos:

1. 4500 UDP: ISAKMP-NATT-PORT
2. 500 UDP: ISAKMP Key Exchange (IKE)

Usados en la fase I del protocolo IPSEC. En el caso de openswan el daemon que escucha en el puerto 500 es pluto, con racoon el daemon tiene el mismo nombre, ambos realizan el intercambio de llaves para cifrar la conexión entre los dos extremos. Una característica excepcional de usar un túnel IPSEC para enrutar tráfico cifrado es que el mismo kernel es quién discrimina por IP y sabe si ha de lanzar esos datos por el túnel o no, por lo que no nos hemos de preocupar de modificar la tabla de routeo. Una consecuencia de esto es que el otro extremo solo responderá a tráfico cifrado mediante las llaves acordadas, todo tráfico que viaje en claro será rechazado. La primera vez que levantemos el túnel suele ser de ayuda hacer un tail -f /var/log/syslog y poner el daemon que usemos en modo debug para que volque todos los mensajes y sepamos más sobre su comportamiento.