Synology 3 – Instalación de un Servidor VPN (OpenVPN)

Hola a tod@s, después de un tiempo voy a retomar la guía de servidores NAS Synology, esta vez montaremos un servidor VPN, para ser más exactos, OpenVPN, con esto lograrás acceder a tu red local desde Internet, es decir, acceder a tus datos y aplicaciones desde fuera de Internet.


Guía de servidores NAS Synology


Planteamiento del laboratorio

Vamos a explicar el laboratorio para que sea lo más entendiblemente posible.

  1. Partimos de que en la oficina o en casa tenemos un NAS Synology.
  2. Instalaremos y configuraremos la aplicación de VPN Server (OpenVPN) en el NAS.
  3. Configuraremos DDNS en caso de no tener una IP Pública estática, si ya tenemos una lo del DDNS no es necesario.
  4. Realizaremos un redireccionamiento de puertos o port forwarding del puerto UDP-1194 (OpenVPN) asociada a la IP de nuestro NAS, en mi caso la 192.168.200.10
  5. Finalmente nos descargaremos el perfil de los usuarios VPN, instalaremos el programa cliente OpenVPN en los dispositivos (iPad, PC y MAC), que se conectarán desde fuera y realizaremos la conexión desde diferentes dispositivos.

Requisitos

Necesitas cumplir los siguientes requisitos para poder montar la VPN:

  • Disponer de un NAS Synology compatible la aplicación de VPN Server.
  • Tener una IP pública fija/estática o DDNS, podemos usar el DDNS gratuito que nos ofrece Synology.
  • No estar detrás de un CG-NAT, esto es importante!

Instalación y configuración de la VPN

Antes de empezar la configuración asegúrate de que tu NAS tiene asignada una IP fija, sino tendrás problemas.

Panel de control > Red > Interfaz de Red y asignamos una IP estática.

Vamos a lo interesante!, nos dirigimos a Centro de paquetes, buscamos VPN Server y lo instalamos.

Luego abrimos la aplicación y en el apartado de Configurar VPN Server, clicamos en OpenVPN.

Marcamos las siguientes casillas:

  • Habilitar servidor OpenVPN
  • Habilitar compresión en el enlace
  • Permitir que los clientes accedan a la LAN del servidor (Esta opción es importante ya que si la casilla no esta activada no tendremos comunicación con los equipos de la oficina-casa.

Configuramos los siguientes parámetros, que son los por defecto:
*Estos datos son importantes ya que se van a configurar en el Router

  • Puerto: 1194 (Que es el puerto por defecto de OpenVPN)
  • Protocolo: UDP

Luego podemos configurar parámetros adicionales como:

  • El número máximo de conexiones simultaneas.
  • El número de máximo de conexiones de una misma cuenta.
  • El rango de IPs que se asignarán a los clientes que se conecten al servidor VPN, por defecto es la 10.8.0.1, lo cambiaremos solo si coincide con el rango de IPs de nuestra LAN de oficina/casa, así evitamos problemas.

Si tenemos conocimientos más avanzados sobre el tema podemos configurar los algoritmos que se usarán para el cifrado y autenticación, etc pero con las configuraciones iniciales que nos da Synology es más que suficiente para que funcione el servidor VPN.

Una vez configurado todo, clicamos en Aplicar y nos saldrá el siguiente aviso, lo comentaba arriba, esto es importante sino la VPN no va a funcionar.

Configuración del DDNS

Esta parte se lo pueden saltar las personas que posean una IP pública estática y los que ya tengan configurado un DDNS en el NAS.

En mi caso no poseo IP pública fija y no he configurado un DDNS previo por lo que aquí te explico como hacerlo.

NOTA: Synology nos regala dominios DDNS con sus equipos NAS.

Vamos a ello, abrimos el Panel de control > Acceso Remoto > DDNS > Agregar

  • Proveedor de servicios: Elegimos Synology, aunque podemos elegir otras como NO-IP, FreeDNS, DynDNS, etc.
  • Nombre del host: Elegimos un nombre, en mi caso labsmac y dominio: synology.me, aunque tenemos para elegir entre una larga lista (diskstation.me, myDS.me, DSCloud.me, etc). Mi DDNS será labsmac.synology.me
  • Correo electrónico: Este correo va asociado a nuestra cuenta Synology y sirve para las notificaciones (errores, etc) sobre el servicio. No lo podemos cambiar a no ser que cambiemos de la cuenta Synology, que se hace desde el panel de control > Servicios > Cuenta Synology.
  • Dirección externa/Pública (IPv4): La dirección IPv4 la coge automáticamente, no podemos cambiarla.
  • Dirección externa/Pública (IPv6): La dirección IPv6 la coge automáticamente, no podemos cambiarla. No poseo ninguna por eso sale el guión.
  • Recomiendo marcar las dos casillas, una para tener un certificado de nuestro dominio al DDNS y la segunda para que nos envíe correos en caso de que se interrumpa la conexión

Finalmente clicamos en Probar conexión, con eso nos aseguramos que el nombre DDNS esta disponible y que la conexión se realiza correctamente. Si va todo bien, clicamos en OK para finalizar.

Entendiendo DDNS

Ahora podemos hacer una prueba… abrir el CMD y hacer un ping al dominio labsmac.synology.me, en el momento de la captura, mi IP pública es la 62.57.238.22, los paquetes llegan correctamente, con esto confirmamos que el DDNS esta trabajando bien.

Puede que mañana o la siguiente semana, al ejecutar el mismo comando: ping labsmac.synology.me el CMD me muestre otra IP distinta pero los paquetes seguirán llegando correctamente, y es que esta es la magia de de DDNS.

Aunque nuestra IP pública cambie, el registro IP – Nombre de dominio, se van actualizando automáticamente.

Configuración del Router

En este apartado tenemos que realizar un redireccionamiento de puertos, «abrir puertos» o port forwarding. Tenemos que saber los siguientes datos que establecimos al configurar el servidor VPN, en mi caso son:

  • IP privada del NAS: 192.168.200.10
  • Protocolo: UDP
  • Puerto: 1194

Ahora nos toca ir a la a la página web de configuración del router, por lo general es la puerta de enlace o gateway, en mi caso es la 192.168.200.1, y finalmente ingresamos el usuario y contraseña.

El aspecto visual del router cambia en función del modelo y marca pero tenemos que llegar al mismo apartado que se llamará de forma distinta, en unos te pondrá: Redirección de puertos, port forwarding, NAT, etc. Si tienes dudas buscar en Google: «Abrir puertos + modelo de tu router», seguro que encuentras una guía.

Bueno en mi caso tengo que ir a: Internet > Redirección de puertos > Clicamos en el +

En el siguiente punto agregamos la IP de nuestra NAS (192.168.200.10), protocolo UDP y el puerto 1194

Aquí vemos que ya lo tenemos agregado, aplicamos los cambios y con esto hemos terminado de configurar el router.

Limitar usuarios que usarán la VPN (Opcional)

Esta parte es opcional, y es que podemos limitar a los usuarios que se conectaran por VPN. Vamos a la aplicación VPN Server > Privilegio

En mi caso solo tengo configurado OpenVPN, y solo podrán usarlo los usuarios administrador01 y ashtreelane. Los demás usuarios aunque intenten conectarse a través de la VPN no podrán.

Exportando la configuración VPN para los clientes

Ahora tenemos que exportar la configuración de la VPN para luego instalarla en los equipos cliente. Vamos a la aplicación VPN Server > Configurar VPN Server > OpenVPN > Exportar configuración, se bajará un comprimido que contiene el fichero: VPNConfig.ovpn, este es el archivo que necesitamos editar antes de enviárselo a los equipos cliente

Abrimos el openvpn.zip, extraemos el fichero VPNConfig.ovpn y lo editamos con un software de texto plano como bloc de notas o notepad++.

Editando el fichero VPNConfig.ovpn

Este fichero incluye las configuraciones de como el cliente se conectará contra el servidor VPN, por ejemplo, que el cliente se conecte con un Full-Tunnel o Split-Tunnel, elegir un servidor DNS en concreto, etc. En otra ocasión le dedicaré a explicar este fichero pero de momento solo configuraremos lo imprescindible para poder conectarnos.

dev tun
tls-client
remote YOUR_SERVER_IP 1194

#float

#redirect-gateway def1

# dhcp-option DNS: To set primary domain name server address.
# Repeat this option to set secondary DNS server addresses.

#dhcp-option DNS DNS_IP_ADDRESS

pull

# If you want to connect by Server's IPv6 address, you should use
# "proto udp6" in UDP mode or "proto tcp6-client" in TCP mode
proto udp

script-security 2
comp-lzo
reneg-sec 0
cipher AES-256-CBC
auth SHA512
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw
cmNoIEQDlnrzuBZ6brJFPRUEBA CERT16GQmRGunUHBcnWEvgJBQl9nJEiU0Zsnv

-----END CERTIFICATE-----

-----BEGIN CERTIFICATE-----
MIIFazCCA1OgAwIBAgIRAIIQz7DSQONZRGPgu2OCiwAwDQYJKoZIhvcNAQELBQAw
TzELMAkGA1UEBhMCVVMxCERT PRUEBA2KFludGVybmV0IFNlY3VyaXR5IFJlc2Vh

-----END CERTIFICATE-----
</ca>

YOUR_SERVER_IP, se debe cambiar por una IP Pública fija o un DDNS, en mi caso: labsmac.synology.me, seguido del puerto que se configuró, en mi caso 1194, es decir en mi archivo debe verse así:

remote labsmac.synology.me 1194

Si tienes una IP pública estática, puede verse así:

remote 223.13.67.24 1194

#redirect-gateway def1, esta línea nos indica, si vamos a establecer un Full-Tunnel o Split-Tunnel, con la almhoadilla # delánte será un Split-Tunel, en cambio si no la tiene será un Full-Tunnel

#redirect-gateway def1 (Split-Tunnel)
redirect-gateway def1 (Full-Tunnel)

Enviando los perfiles OpenVPN a los clientes

Una vez realizado los cambios recomiendo cambiar el nombre para identificar dicha conexión VPN, yo lo he renombrado a NAS_SynologyVPN.ovpn. Finalmente ya lo podríamos enviárselo a los clientes finales y lo mejor es mediante correo electrónico.

Configuración de clientes OpenVPN y estableciendo la conexión

En esta parte explicaré los diferentes programas que uso en los clientes finales (MacOS, Windows, etc.) para conectarse contra el servidor OpenVPN.

He dividido esta parte en pequeños artículos para que este no se haga tan extenso, cada sistema operativo tiene su propio artículo.

Tunnelblick (MacOS)

Empezamos con los Mac, el cliente OpenVPN que se suele usar en los Mac es Tunnelblick, para ello he preparado un post en el que te explico como instalarlo, configurarlo, cargarle el perfil ovpn y resolver posibles problemas.

OpenVPN Connect (IPad-iPhone)

Seguimos con los clientes OpenVPN, esta vez para instalarlos en el iPad y iPhone, te enseñaré como instalar la aplicación OpenVPN Connect, cargar el perfil ovpn y ver los logs para resolver posibles problemas.

OpenVPN (Windows)

Finalmente terminamos con el último cliente OpenVPN, Windows. Te enseñaré a instalar OpenVPN Cliente en Windows 10, cargarle el perfil, ver los logs y demás para resolver pequeños problemas que puedan surgir.

Fin

Bueno chic@s ya hemos acabado con el servidor OpenVPN, la conexión de los clientes VPN al servidor y acceso a los recursos de la empresa/casa. Espero que les sirva mucho, nos vemos en el siguiente post!

2 comentarios en «Synology 3 – Instalación de un Servidor VPN (OpenVPN)»

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.