Saltar al contenido

Los servidores NAS de Synology cuentan con una aplicación especializada para actuar como servidor VPN. Esta aplicación se puede encontrar de forma gratuita en la tienda de aplicaciones e integra tres protocolos VPN: PPTP, OpenVPN y L2TP/IPsec. Al utilizar una VPN en un servidor NAS, podemos acceder de manera segura a todo el contenido del NAS, ya que el tráfico está cifrado y autenticado. Además, nos permite acceder de forma remota a la red local doméstica y utilizar los recursos compartidos. En este artículo, explicaremos cómo configurar los dos tipos de VPN seguras disponibles en el sistema operativo DSM de Synology.

El primer paso para configurar correctamente el servidor VPN en un NAS de Synology es configurar un DNS dinámico. En la mayoría de los casos, las conexiones domésticas tienen una dirección IP pública dinámica, lo que significa que cambia con cada reinicio del router o después de cierto tiempo. Por lo tanto, para no tener que conocer siempre nuestra dirección IP, es necesario utilizar un DNS dinámico.

La mayoría de los routers permiten utilizar DNS dinámicos de proveedores como DynDNS o No-IP, entre otros. Si has cambiado el router de tu proveedor de Internet, es posible que tengas un router con un DNS dinámico propio del fabricante. Sin embargo, siempre tienes la opción de adquirir uno de forma gratuita en No-IP u otros proveedores. En caso de no disponer de un DNS dinámico, Synology ofrece uno totalmente gratuito y también proporciona acceso a diferentes dominios de Synology.

Este tutorial fue realizado utilizando el servidor NAS Synology DS720+, el cual previamente hemos analizado en RedesZone.

Paso 1: Configurar DDNS y acceder con DNS dinámico

Para configurar el DNS dinámico de Synology o cualquier otro proveedor, debemos ir a «Panel de control / Acceso Externo». En esta sección, seleccionaremos la pestaña «DDNS» y haremos clic en «Agregar», como se muestra a continuación:

Una vez que hayamos hecho clic en «Agregar», se abrirá un menú donde deberemos elegir el proveedor de servicios. En este caso, hemos seleccionado Synology, ya que es completamente gratuito. Para seguir, debemos elegir un nombre de host disponible y el dominio, que por defecto es «Synology.me».

A continuación, deberemos iniciar sesión o registrar una cuenta de Synology para poder utilizar el servicio de DNS dinámico del fabricante. Es importante tener activada la opción «Heartbeat» para recibir notificaciones de posibles problemas. También se mostrará la dirección IP externa IPv4 actual y, si corresponde, la IPv6 si se utiliza ese protocolo de conexión a Internet.

Si deseamos utilizar un dominio diferente, como «Diskstation.me», también podemos seleccionarlo en la lista desplegable, como se muestra a continuación:

Una vez configurado, hacemos clic en «Si marca aquí, acepta los términos de servicio» y luego en «OK» para añadirlo. Antes de finalizar, se nos preguntará si deseamos crear un certificado SSL con Let’s Encrypt, lo cual es opcional y no influye en el servicio de DNS dinámico ni en la conexión VPN.

Una vez que hayamos configurado correctamente nuestro servicio DDNS, es el momento de proceder a la configuración del servidor VPN, tanto utilizando el protocolo OpenVPN como L2TP/IPsec.

Configuración del servidor OpenVPN

OpenVPN es uno de los protocolos de VPN más utilizados. Su seguridad se basa en el uso del protocolo TLS para el canal de control, y en el cifrado simétrico AES-128 y AES-256 en diferentes modos de cifrado. Además, en las últimas versiones de OpenVPN se ha agregado soporte para el cifrado de flujo ChaCha20-Poly1305, que ofrece un mejor rendimiento en dispositivos sin aceleración de cifrado por hardware AES-NI. Este protocolo de flujo ChaCha20-Poly1305 es usado por la popular VPN WireGuard, la cual proporciona un rendimiento notablemente superior a OpenVPN.

OpenVPN ofrece una gran capacidad de configuración tanto en términos de seguridad como de autenticación de usuarios. Podemos utilizar una clave estática (que no es segura), o bien podemos crear una Autoridad de Certificación (CA) para autenticar a los usuarios mediante certificados digitales específicos. También podemos autenticar a los usuarios utilizando usuario/contraseña o una combinación de ambos, lo cual proporciona un segundo factor de autenticación para proteger aún más el servicio de OpenVPN durante su uso.

Para configurar el servidor OpenVPN, lo primero que debemos hacer es instalar la aplicación que ofrece los diferentes servicios requeridos. Vamos a la sección de «Centro de paquetes», buscamos «VPN Server» y lo instalamos de manera similar a cualquier otra aplicación, hasta que aparezca en la lista de paquetes instalados en el servidor NAS.

Dentro de «VPN Server» podemos ver el estado general de los tres servidores VPN que podemos activar simultáneamente. También podemos ver un listado en tiempo real de las conexiones establecidas, un pequeño registro donde se indican problemas y las fechas de conexión y desconexión de los diferentes clientes VPN. Además, disponemos de una configuración general para utilizar los dos puertos Gigabit, asegurando que el servicio de VPN solo funcione en una interfaz.

Por último, en la sección «Privilegio», podemos otorgar permisos a los diferentes usuarios locales creados en el servidor NAS. Esto es muy importante, ya que es posible que haya usuarios a los que no queramos permitirles el acceso VPN. Aquí es donde debemos permitir o denegar dicho acceso según corresponda.

Para configurar el servidor OpenVPN, nos dirigimos a la sección «OpenVPN» y habilitamos el servidor. A continuación, tendremos que seleccionar diferentes parámetros:

  • Dirección IP dinámica: lo primero que debemos elegir es la subred de la VPN. Por defecto es siempre 10.8.0.0/24, podemos mantenerla o cambiarla por una red de direccionamiento privado según nuestras necesidades.
  • Número máximo de conexiones: podemos configurar el número máximo de conexiones simultáneas al servidor VPN.
  • Número máximo de conexiones por cuenta: podemos configurar el número máximo de conexiones simultáneas al servidor VPN desde una misma cuenta de usuario/contraseña. Por ejemplo, si utilizamos la misma cuenta en un ordenador, un smartphone y una tablet, esto se contará como 3 conexiones simultáneas.
  • Puerto: debemos seleccionar un número de puerto. Por defecto es el 1194, pero es altamente recomendable cambiarlo por otro número para evitar intentos de conexión fallidos al servidor OpenVPN en el puerto por defecto.
  • Protocolo: podemos elegir entre UDP o TCP. Es recomendable utilizar UDP, ya que suele ofrecer mayor rendimiento y menos problemas en la conexión. Sin embargo, debemos tener en cuenta que UDP es un protocolo no fiable y no orientado a conexión. A nivel de aplicación, es probable que la mayoría de los protocolos que utilicemos, como HTTP, HTTPS, FTP o SSH, utilicen TCP.
  • Cifrado: el cifrado AES-256-CBC es robusto y seguro. Aunque existen otros cifrados disponibles, no se recomienda utilizarlos. Si Synology permitiese todos los cifrados disponibles en OpenVPN, podríamos seleccionar AES-128-GCM o AES-256-GCM, que son aún más seguros y rápidos que el modo CBC.
  • Autenticación: seleccionamos SHA512, uno de los algoritmos de hash más seguros disponibles. Aunque también podríamos elegir SHA256, que también es un algoritmo de hash muy seguro.

En la parte inferior de la configuración, encontramos más opciones adicionales. En nuestra opinión, es recomendable desactivar la compresión del enlace VPN, ya que se han producido ataques aprovechando esta compresión y su velocidad no ofrece grandes beneficios. También podemos permitir a los clientes acceder a la LAN del servidor, en caso de que necesiten acceder a los recursos de la red local.

Abrir el puerto y protocolo seleccionado en el enrutador

Una vez que se haya elegido el puerto y el protocolo TCP o UDP, se debe acceder directamente al enrutador para abrir el puerto correspondiente a la dirección IP del servidor NAS de Synology. De lo contrario, no será posible conectarse desde Internet al servidor OpenVPN. En RedesZone, hemos elaborado un tutorial completo sobre cómo abrir puertos TCP o UDP en cualquier enrutador. Siguiendo estos mismos pasos, se podrá lograr sin dificultad, independientemente del modelo del enrutador que se tenga. Lo único que se debe tener en cuenta son: el puerto de OpenVPN, el protocolo de OpenVPN (TCP o UDP) y la dirección IP privada del servidor NAS.

Es importante tener en cuenta que si el proveedor de servicios de Internet utiliza CG-NAT, no será posible conectar ni abrir puertos en el enrutador. En este caso, el proveedor de servicios de Internet debe proporcionar una dirección IP pública. Una vez que se haya abierto el puerto, se puede continuar con el tutorial para establecer la conexión.

Conectarse al servidor OpenVPN desde Windows, Mac u otros dispositivos

Una vez que se haya configurado según las preferencias personales, se debe hacer clic en «Aplicar» y luego en «Exportar configuración».

Esto generará un archivo ZIP de OpenVPN que contiene el archivo ca.crt, un archivo README y el archivo de configuración VPNConfig.

En este punto, se debe descargar el cliente oficial de OpenVPN, ya sea para Windows, Linux, Mac, Android o iOS. Se recomienda acceder al sitio web oficial de OpenVPN, donde se encuentran disponibles todas las descargas.

Después de la descarga, se debe editar el archivo «VPNConfig» siguiendo las instrucciones del archivo README que también se proporciona. Básicamente, se deben editar dos directivas. La primera es la encargada de establecer la conexión remota con el servidor OpenVPN:

Se debe ingresar el nombre de DNS dinámico creado anteriormente. También es posible redirigir todo el tráfico de Internet a través de la VPN. Para hacerlo, se debe eliminar el símbolo «#» de la directiva «redirect-gateway def1». Una vez realizados estos cambios, se guarda el archivo y se hace doble clic para que OpenVPN lo reconozca automáticamente.

Si el archivo no es reconocido, se debe mover el archivo VPNConfig directamente a la siguiente ruta: «C:UsersBronOpenVPNconfig» en sistemas operativos Windows. Sin embargo, en el archivo README se encuentran las instrucciones correspondientes para hacerlo en Mac. Una vez hecho esto, se puede hacer clic derecho en el icono de la barra inferior derecha de Windows y seleccionar «Connect».

Al conectarnos, se nos solicitará usuario y contraseña, los cuales corresponden a las credenciales de usuario que hemos creado en el servidor NAS.

Después de unos segundos, nos habremos conectado correctamente y sin problemas al servidor VPN, como se puede ver aquí:

Si ingresamos al servidor NAS de Synology, podremos ver el estado del servidor OpenVPN, el cliente que se ha conectado, así como el registro de la conexión y del propio servidor OpenVPN.

Como hemos visto, es muy fácil configurar un servidor OpenVPN en un NAS de Synology, solo tenemos que considerar la apertura de puertos en el enrutador y asegurarnos de que el firewall del servidor NAS permita conexiones entrantes. Por defecto, el firewall del NAS está desactivado.

Otras mejoras de seguridad que se pueden implementar en los clientes VPN incluyen la modificación de la directiva tls-cipher para cambiar el conjunto de algoritmos de TLS utilizado, con el fin de utilizar siempre TLS 1.2 como mínimo e incluso elegir una suite TLS 1.2 específica (la más segura) para que el cliente solo utilice una negociación segura a través del canal de control.

Esperamos que en el futuro, Synology incorpore más opciones de configuración avanzadas en el servidor OpenVPN, tal como lo hacen otros fabricantes como ASUS, donde se pueden encontrar todas las opciones de configuración de OpenVPN, incluyendo una caja de texto para agregar diferentes directivas.

Configuración del servidor VPN L2TP/IPsec

Si en lugar de utilizar OpenVPN, se desea utilizar el protocolo L2TP/IPsec, el sistema operativo DSM de Synology también admite este tipo de VPN. En este caso, nos dirigiremos a la sección de «L2TP/IPsec» y habilitaremos el servidor, donde encontraremos las siguientes opciones:

  • Dirección IP dinámica: es la subred donde se encontrarán los clientes VPN, por defecto se puede dejar así, siempre y cuando no coincida con ninguna red real.
  • Número máximo de conexiones: se puede configurar el número máximo de conexiones simultáneas al servidor VPN que hemos configurado.
  • Número máximo de conexiones de una cuenta: se puede configurar el número máximo de conexiones simultáneas al servidor VPN desde una misma cuenta de usuario/contraseña, al igual que con OpenVPN.
  • Autenticación: MS-CHAP v2, se puede dejar así.
  • MTU: 1400, se puede dejar así.
  • Clave compartida: esta clave debe ser ingresada por todos los clientes que deseen conectarse al servidor L2TP/IPsec, es compartida entre todos ellos, y se recomienda que sea una contraseña sólida. En dispositivos móviles o programas de cliente, se indicará «Clave precompartida IPsec» u algo similar, se refiere precisamente a esto.

Por último, tenemos la opción de habilitar un modo compatible, aunque si el cliente VPN cumple con el estándar, no debería ser necesario activarlo.

Una vez que hayamos configurado todos los detalles necesarios, seleccionamos la opción «Aplicar» y se nos informará sobre un aspecto muy importante: debemos abrir varios puertos para que la conexión VPN pueda funcionar correctamente. Esto aplica tanto a la configuración del firewall del NAS Synology (si está activado) como a nuestro router si deseamos tener acceso remoto.

  • El puerto 500 UDP
  • El puerto 4500 UDP
  • El puerto 1701 UDP

El procedimiento para abrir estos puertos es similar al de OpenVPN, sin embargo, en lugar de tener que abrir solo un puerto TCP o UDP, debemos abrir un total de tres puertos UDP. Específicamente, debemos abrir los mencionados anteriormente, no es posible seleccionar otros puertos como sucedía con OpenVPN.

Una vez completado este proceso, podremos acceder al servidor NAS a través de la conexión VPN L2TP/IPsec, así como a todos los recursos compartidos de la red local si así lo deseamos.

Artículos relacionados