Dados los problemas que están teniendo algunos clientes para las soluciones de teletrabajo (acceder remotamente a NAS) formaciones técnicas en profundidad sobre configuración de VPN en Synology. 

 

PARTE 1 - Activación de puertos para conexión VPN y configuración DMZ

 

Podemos definir DMZ como una zona desmilitarizada (demilitarized zone) que se sitúa entre la red interna y la red externa (normalmente Internet). La función de una DMZ es permitir las conexiones tanto desde la red interna como de la externa, mientras que las conexiones que parten de la DMZ solo puedan salir a la red interna, así, los equipos locales (hosts, en argot de redes) jamás podrían conectarse a la red interna.

 

En el caso particular de los routers domésticos o para pymes, el concepto DMZ host se refiere a la posibilidad de establecer una dirección IP que tendrá todos los puertos abiertos en el router, con la excepción de aquellos que ya estuvieran definidos en la sección NAT.

Para acceder a la configuración DMZ en un router debemos acceder al panel de administración escribiendo su IP en cualquier navegador (por defecto 192.168.0.1) e introducir nombre de usuario y contraseña. Después, accede a la sección Advanced (depende del modelo de router)  y en Firewall Settings verás la opción DMZ Host; simplemente introduce la IP y marca Enable DMZ para activarlo (en algunos modelos de routers puede ser necesario un reinicio).

Establecer un DMZ Host para un dispositivo puede ser muy útil cuando tenemos problemas con la configuración y queremos descartar que el origen del error sean los puertos. Así, temporalmente podemos dejar libre acceso a la IP que hayamos asignado dispositivo para, una vez detectado el problema, configurar únicamente los puertos que vayamos a utilizar en la sección Port Forwarding.

Redirección de puertos

La redirección de puertos, a veces llamado tunelado de puertos, es la acción de redirigir un puerto de red de un nodo de red a otro. Esta técnica puede permitir que un usuario externo tenga acceso a un puerto en una dirección IP privada (dentro de una LAN) desde el exterior vía un router con NAT activado.

La redirección de puertos permite que los equipos remotos (por ejemplo, máquinas públicas en Internet) se conecten a un dispositivo en concreto dentro de una LAN privada.

 

PART 2 - Instalar servidor VPN NAS Synology

 

Para activar el servidor VPN en Synology accedemos al “Centro de paquetes” y hacemos una búsqueda “vpn”.
Aparece como resultado “VPN Server” e instalamos la app.


Dentro de las opciones tenemos diferentes protocolos de conexión  los cuales detallamos.
 

 

Para la configuración de la VPN en Mac, se puede hacer de varias maneras.

Si vamos a seleccionar el protocolo que integra el OS de Apple tenemos que activar en el NAS en este caso Qnap, la opción del servicio L2TP/IP Sec ya que es el único que tiene Mac OS integrado.

Servidor VPN > L2TP/IPSec (PSK)

L2TP significa Protocolo de Tunelización de Capa 2 (del inglés Layer 2 Tunneling Protocol) El L2TP se sugirió por primera vez en 1999 como una mejora de tanto L2F (Layer 2 Forwarding Protocol ) y PPTP (Protocolo de Tunelización Punto a Punto). Como L2TP no ofrece una encriptación o autenticación fuerte por sí mismo, otro protocolo, llamado IPsec, se utiliza frecuentemente en conjunto con L2TP.
IPsec significa Internet Protocol Security IPsec es un protocolo muy flexible para seguridad de extremo a extremo, que autentica y encripta cada paquete individual de IP para una comunicación dada. IPsec se utiliza en un amplio rango de aplicaciones en la Capa de Internet del conjunto de protocolos de internet.
Al usarse juntos, L2TP e IPsec resultan mucho más seguros que PPTP (Protocolo de Tunelización Punto a Punto), pero aun así, es necesario tener en cuenta que están diseñados más para el anonimato que para la seguridad.
El L2TP a veces tiene problemas con los cortafuegos, debido a que usa el puerto UDP 500, que algunos cortafuegos suelen bloquear.

Importante tener en cuenta la “Clave precompartida” ya que nos la pide el asistente para la conexión y no usar el usuario “admin” para acceder el NAS, sería idóneo crear otro usuario para una correcta conexión.
 

 

PARTE 3 - Ahora vamos a nuestro Mac

 

Etapa 1: Preferencias del sistema.

Etapa 2: Seleccionamos el símbolo de
+ para añadir una nueva conexión.

Etapa 3: Seleccionamos en el apartado
de interfaz y escogemos VPN.

Etapa 4: Optamos por el protocolo L2TP
sobre IPSec y le damos a crear.

Etapa 5: Podemos conectar a través del servicio QuickConnect
activándolo con unos pocos pasos o creando una cuenta en caso de no tenerla creada.

Etapa 6: Indicamos la dirección del servidor (si tenemos
IP fija podemos indicarla o usar el link del QuickConnect
para el acceso). Nombre de cuenta el usuario que tenemos
en el NAS y vamos a ajustes de autentificación.

Etapa 7: Aquí ponemos la contraseña de acceso al NAS
y la “clave precompartida” que hemos visto en el
apartado de la configuración del Synology que
hemos creado al activar el servicio L2TP/IPSec.

Etapa 8: Guardamos dándole a aceptar y hacemos
clic en conectar. Una vez estemos conectados veremos
la información de conexión y los indicadores de envío
y recepción de paquetes de datos.


     

 

Puntos a tener en cuenta:

Para poder acceder a los datos de nuestro Synology y mapear las carpetas como volúmenes a través del protocolo AFP (Apple Filling Protocol) en nuestro Mac, si no hemos activado el DMZ en el router, tendremos que mapear los puertos 548 o 427 que son los que utiliza el protocolo AFP para la conexión.