Configurar un servidor OpenVPN en QNAP

Cómo instalar y configurar un servidor un servidor OpenVPN en QNAP. Así podrás conectarte de forma remota a tu QNAP con total tranquilidad, sabiendo que tu conexión está protegida.

Una VPN crea un «túnel» seguro entre tu dispositivo e Internet. Esto permite cifrar la conexión y proteger tus datos, incluso si estás en redes públicas. Además, te permite acceder a recursos como si estuvieras dentro de tu red local, estés donde estés.

Tabla de contenidos

Requisitos

IP estática en QNAP
No estar en un CGNAT
IP pública estática o DDNS
Abrir puertos en tu Router/Firewall (Port Forwarding)

Instalar OpenVPN en QNAP

Lo primero que tenemos es instalar la aplicación QVPN Service, disponible desde el App Center.

QVPN Service es la aplicación que centraliza todos los servicios de VPN en QNAP. Podemos activar VPN como:

PPTP
OpenVPN
WireGuard
y más..

Configurar OpenVPN en QNAP

Una vez instalado abrimos el programa QVPN Service y tenemos que ir al apartado OpenVPN. En esta ventana marcamos la casilla de «Habilitar Servidor OpenVPN» y aplicamos.

Si controlamos un poco de OpenVPN, podemos cambiar algunos parámetros como el conjunto de direcciones IP, protocolo o puerto,pero si no sabemos mucho es mejor no tocar.

Ahora exportamos el archivo de configuración ovpn. Clicamos en Descargar

Este archivo es el que se instala en nuestro móvil, PC o MAC para conectarnos a QNAP y por lo tanto a nuestra casa u oficina.

Si no tenemos IP pública fija, debemos editar el archivo y cambiar el valor de la IP pública (Linea 9) por nuestro DDNS, ya sea de QNAP u otro proveedor.

El archivo ovpn, es un archivo de texto plano, por lo podemos editarlo con cualquier editor de texto.

## How to setup OpenVPN client?
## 1. Install OpenVPN software on your platform.
## 2. Double click QNAP-NAS01.ovpn file to create new connection profile.
## 3. Type username and password while connection.

client
dev tun
script-security 3
remote 185.253.79.50 5000
resolv-retry infinite
nobind
auth-nocache
auth-user-pass
remote-cert-tls server
reneg-sec 0
cipher AES-128-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
comp-lzo
proto udp
explicit-exit-notify 1
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

## How to setup OpenVPN client?
## 1. Install OpenVPN software on your platform.
## 2. Double click QNAP-NAS01.ovpn file to create new connection profile.
## 3. Type username and password while connection.

client
dev tun
script-security 3
remote 185.253.79.50 5000
resolv-retry infinite
nobind
auth-nocache
auth-user-pass
remote-cert-tls server
reneg-sec 0
cipher AES-128-CBC
tls-cipher TLS-ECDHE-RSA-WITH-AES-256-GCM-SHA384:TLS-ECDHE-ECDSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-256-CBC-SHA256:TLS-DHE-RSA-WITH-AES-128-CBC-SHA256
comp-lzo
proto udp
explicit-exit-notify 1
<ca>
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
</ca>

Antes de enviar el archivo a los usuario, debemos asignar permiso de quién podrá usar el servicio de OpenVPN

Dar permiso a los usuarios

Por defecto, ningún usuario se puede conectar al servidor VPN, por lo que hay que definir los permisos de los usuarios. Para ello vamos a QVPN > Configuración de privilegios > Añadir usuarios VPN y agregamos los usuarios que deseemos.

Abrir puertos del router (Port Forwarding)

Una vez asignado los privilegios de los usuarios, es necesario abrir el puerto en el router. En mi caso elegí el protocolo UDP y puerto 5000 y la dirección IP de mi QNAP es 192.168.250.120

Como cada router es distinto, pero por lo general el apartado de abrir puertos se llama: NAT o Por Forwarding, para que os hagais una idea dejo una captura.

Una vez abierto el puerto ya podemos enviar el archivo ovpn a los distintos usuarios y tendran que configurar dicho archivo en la aplicación OpenVPN Connect, ya sea un iphone, android, PC o Mac.

Aqui os dejo como hacerlo para las distintas plataformas, la explicación la hice para un post en el que explique como instalar openvpn pero para Synology.

Conectar a OpenVPN desde Windows

Instalar y configurar OpenVPN en Windows

Conectar a OpenVPN desde iPhone

Instalación de OpenVPN Connect para iPhone y iPad

Conectar a OpenVPN desde MAC

Instalación de Tunnelblick (OpenVPN) en MacOS

Eso es todo, espero que les haya gustado! de como instalar un servidor VPN en un NAS QNAP, nos vemos en la próxima.