crear un proxy inverso en nas synology

Cómo crear un Proxy Inverso en Synology

por

Hoy aprendemos cómo crear un Proxy Inverso en Synology. En pocas palabras, un Proxy Inverso es un intermediario que recibe todas las peticiones de Internet y las redirige a los distintos servicios (Drive, Photo, Docker, etc.) que tengas en tu NAS, de forma segura y simplificada. Solo necesitarás abrir un único puerto en tu router, en lugar de uno por cada servicio.

El Proxy inverso se puede aplicar en distintos escenarios pero la que explico en este post es una de ellas.

como funciona un proxy inverso en nas synology

En esta guía veremos paso a paso cómo configurar un proxy inverso en Synology, qué requisitos previos necesitas y cómo evitar problemas habituales como el acceso desde la red local (LAN).

Este post está patrocinado por Easydatahost, un proveedor especializado en servicios de TI gestionados. Ofrecen soluciones completas que incluyen copias de seguridad, alquiler de servidores dedicados, espacio para copia de tu NAS o incluso te alquilan un NAS Synology en su datacenter. Esto último viene muy bien porque puedes usarlo de nube privada, copia de seguridad de otros NAS o desplegar contenedores, o todas ellas a la vez, tu decides como usar tu Synology

Conceptos básicos

Antes de entrar en materia, conviene repasar algunos términos que usaremos:

  • DDNS (Dynamic DNS): servicio que asocia un dominio (labsmac-n1.synology.me) a la IP pública de tu conexión, incluso cuando esta cambia.
  • Certificado Wildcard: un certificado SSL que cubre un dominio (labsmac-n1.synology.me) y todos sus subdominios (drive.labsmac-n1.synology.me, photo.labsmac-n1.synology.me, etc)
  • NAT Reflection / Loopback: capacidad de un router para resolver un dominio público (drive.labsmac-n1.synology.me) hacia un recurso interno de la red. No todos los routers lo soportan.
  • Proxy inverso: servicio que recibe las peticiones desde Internet y las redirige al servicio interno correspondiente según el dominio o subdominio.

Requisitos previos

Antes de configurar el proxy inverso en Synology, asegúrate de tener:

  1. Un dominio o DDNS configurado (puede ser el gratuito de Synology).
  2. Un certificado SSL válido (idealmente Wildcard) para proteger todos los subdominios. Enlace
  3. Puertos configurados en el router, normalmente el 443 (HTTPS) redirigido hacia el NAS.
  4. Aplicaciones internas que quieras publicar (Drive, Photos, contenedores Docker, etc.).

Acceso desde Internet vs desde LAN

Cuando accedemos al NAS mediante DDNS (labsmac-n1.synology.me) desde fuera de nuestra red local, la resolución funciona correctamente gracias a los servidores DNS de Synology.

Sin embargo, al acceder desde dentro de la LAN, algunos routers no soportan NAT Reflection, lo que impide que el dominio público resuelva hacia la IP interna del NAS. En estos casos, tendrás errores de acceso.

La solución consiste en configurar un servidor DNS local que redirija los dominios y subdominios hacia la IP privada del NAS. Esto se puede lograr con:

  • El servidor DNS de Synology.
  • AdGuard Home desplegado en un contenedor Docker.

De esta forma, garantizamos que los dominios funcionen tanto desde fuera como desde dentro de la red.

¿Qué pasa cuando no usamos un Proxy Inverso?

Tendrías que recordar el puerto, además de abrir cada puerto en tu router:

  • labsmac-n1.synology.me:1000 (Synology Drive)
  • labsmac-n1.synology.me:2000 (Synology Photo)
  • labsmac-n1.synology.me:3000 (Healthchecks)
que sucede cuando no usamos un proxy inverso en Synology

Esto se traduce a más complejidad, más riesgo de exponer más puertos, y peor experiencia de usuario por tener que recordar los números en vez de palabras.

¿Qué sucede cuando usamos un Proxy Inverso en Synology?

Solo se abre el puerto 443 en el router. Desde fuera accedes vía subdominios, por ejemplo:

  • drive.labsmac-n1.synology.me (Synology Drive)
  • photo.labsmac-n1.synology.me (Synology Photo)
  • healthchecks.labsmac-n1.synology.me (Healthchecks)
esquema de un proxy inverso en synology

El dominio (labsmac-n1.synology.me) y subdominios (*.labsmac-n1.synology.me) estarán protegidos por un certificado wildcard que se puede obtener en el propio Synology.

Cómo configurar un Proxy Inverso en Synology

Antes del proxy inverso, asegúrate de contar con un DDNS de Synology y un certificado SSL wildcard.

A continuación, configuraremos el proxy inverso para dos aplicaciones de Synology (Drive y Photos), también lo aplicaremos a un contenedor Docker (Healthchecks), para que veáis paso a paso cómo hacerlo.

Establecer puerto personalizado a las aplicaciones de Synology

Una vez hecho esto, nos dirigimos a Panel de control > Portal de inicio de sesión > Aplicaciones. Verás un listado de las aplicaciones de Synology a las que podemos asignarle un puerto personalizado.

Hacemos doble clic sobre Synology Drive y establecemos puerto personalizado HTTPS 10003 y guardamos.

Hacemos lo mismo con Synology Photo, establecemos 5443 en el puerto HTTPS. Debemos verlo así:

Crear reglas de Proxy Inverso

Ahora nos dirigimos a la pestaña Avanzado > Proxy Inverso > Crear.

Aquí estableceremos una regla por cada aplicacion de Synology o Docker que tengamos.

Nombre de proxy inverso: Algo descriptivo, por ejemplo, Synology Drive

ORIGEN

  • Protocolo: HTTPS
  • Nombre de host: Indicamos un subdominio de nuestro DDNS de Synology. En mi caso es labsmac-n1.synology.me. Eligo el subdominio, drive.labsmac-n1.synology.me para Synology Drive, todas las configuraciones atacaremos a este nombre, ya sea desde la LAN o Internet.
  • Puerto: 443,
  • Habilitar HSTS

DESTINO

  • Protocolo: HTTPS
  • Nombre de host: localhost.
  • Puerto: Establecemos el puerto local de la aplicación, en mi caso 10003 (Lo que configuramos anteriormente)

Clicamos en Guardar para finalizar la creación de la regla de Proxy Inverso.

Tendremos que repetir lo mismo para las demás aplicaciones de Synology que deseemos. Aqui muestro una captura de como se veria para Synology Photo.

En resumen, cada aplicación tiene un subdominio personalizado usando siempre el puerto 443 y un puerto local dedicado.

Proxy Inverso para aplicación de Docker en Synology

Para una aplicación de docker hariamos lo mismo, indicando siempre el subdominio personalizado, en mi caso healthchecks.labsmac-n1.synology.me y su puerto local personalizado, lo demás como hemos configurado anteriormente.

Es importante mencionar respecto al protocolo de destino, en algunos será HTTP y otros HTTPS, dependerá de como se haya configurado en la aplicación.

Abrir puerto 443 en el Router para el Proxy Inverso

Una vez hecho esto, solo tendriamos que abrir exclusivamente el puerto 443 TCP hacia la dirección del NAS Synology.

Acceder a aplicacion web o móvil

Ahora si accedemos a nuestra aplicación de Drive o Photo por el nombre personalizado, ya sea vía web o móvil, nos funcionará.

Mejorando la seguridad MFA y con el firewall

Para mejorar aún más la seguridad es recomendable, por no decir obligatorio….

  • Activar MFA (doble factor)
  • Activar el firewall por localización, en mi caso solo permito conexiones a mis aplicaciones desde España. Actualmente no uso VPN para las aplicaciones, la carga va mucho mejor y la experiencia de usuario no tiene comparación.
  • Activar el bloqueo automático

Post de cómo configurar el firewall de Synology

Configurar Firewall en NAS Synology

Eso es todo chic@s, espero que les haya gustado el post de cómo crear un Proxy Inverso en Synology para utilizarlo con distintas aplicaciones como Synology Drive, Synology Photo o contenedores Dockers. De esta forma mejoramos la seguridad y la experiencia de usuario.

Nos vemos en el siguiente post de cómo instalar healthchecks en un NAS Synology usando un contenedor de Docker.