Las redes VPN cada vez están tomando mayor protagonismo no solo ya en el ámbito empresarial, sino también en el ámbito doméstico. Gracias a ellas se implementa un nivel más de seguridad tanto para el acceso a Internet como para las conexiones remotas a nuestra casa o empresa si usamos el teletrabajo. Por eso hoy vamos a aprender cómo crear una VPN con NAS QNAP mediante QVPN Service 2.
Índice de contenidos
Los NAS son equipos destinados al almacenamiento en la nube personal, dotados de una gran capacidad de almacenamiento. Pero su gran versatilidad y potencia actual los hacen válidos para prácticamente cualquier tarea relacionada con redes: servidores web, correo, virtualización, backups, servicios multimedia como Plex, etc. Y uno de ellos será la capacidad para crear una VPN y blindar nuestra red tanto desde donde como desde fuera.
Qué es una VPN
Aunque a estas alturas muchos de vosotros ya sabréis qué es una VPN, conviene recordarlo. Una VPN o Red Privada Virtual es una red que permite la navegación privada a través de los programas y dispositivos conectados a la misma. Esto se hace por medio de una extensión de una red local LAN sobre la propia red pública sin estar vinculados físicamente a ella. De esta forma podremos está conectados por ejemplo desde nuestra casa al trabajo en una LAN privada con datos cifrados mediante túneles virtuales ajenos al flujo de datos de la red WAN.
Es una de las mejores formas que tenemos de navegar por internet de forma privada, lo que significa que los canales de datos serán mucho más difíciles de interceptar que en un proceso normal. Por esto se utiliza de forma habitual para teletrabajo, ya que al ser una LAN extendida, será más sencillo de manejar en lo que acceso de recursos internos se refiere. Pero otro de los usos más habituales es la de acceder a contenido bloqueado en nuestro país u otra región. En una VPN nos conectamos con el servidor que nos suministra la IP, siendo ésta la localización virtual de nuestro equipo. Si por ejemplo nos vamos a China y nos conectamos a nuestra VPN en España, podremos acceder a los servicios existentes en nuestro país.
Qué necesitamos para montarla en un NAS
Montar una VPN con NAS QNAP va a ser una tarea bastante simple, ya que los requerimientos son muy sencillos de cumplir. Por un lado necesitamos el dispositivo NAS para crear la VPN, que en este caso será un QNAP TS-431K con una CPU de 4 núcleos y 1 GB de RAM. Podremos utilizar absolutamente cualquier NAS del fabricante, ya que para un uso normal propio no se requiere una hardware de gran potencia.
Esto facilita bastante el trabajo, ya que con solo tener un NAS, será el sistema operativo el que suministre todos los recursos necesarios para la creación de la misma. Con una sola interfaz de red sería suficiente, si bien tener varias interfaces permite separar el envío de datos de la VPN y la WAN por ejemplo.
Además es recomendable tener un router compatible con UPnP, aunque no es obligatorio, facilita mucho lo que es la apertura de puertos para el acceso externo a la red. Y finalmente será muy recomendable crearnos una cuenta en el porta myQNAPcloud, ya que nos suministra un DNS para nuestro NAS sin necesitar de otros servicios de pago como DynDNS o similares.
Crear una VPN con NAS QNAP paso a paso
Sin más rodeos, vamos a proceder a ver con todo detalle como montaríamos VPN con NAS QNAP accesible desde el exterior. Con apertura de puertos, creación de usuarios y conectándonos desde un entorno Windows.
Instalación de QVPN Service 2 y configuración del NAS
La aplicación QVPN Service 2 estará disponible en la tienda de QNAP de forma gratuita accesible para cualquier propietario de un NAS de la marca. Así que bastará con buscarla e instalarla para activar el servicio.
Claro que antes debemos tener el NAS correctamente configurado. Nos referimos a tener creado un conjunto y espacio de almacenamiento y el sistema operativo actualizado. Debemos tenerlo conectado a la red local, bien a través de un switch o directamente al router. No será necesario crear usuarios dentro del sistema del NAS, ya que será en la propia QVPN Service en donde los crearemos.
Activación del servidor VPN en NAS QNAP
Esta aplicación nos va a permitir implementar el servicio VPN con hasta 4 protocolos, que elegiremos dependiendo de las necesidades de cada usuario:
QBelt
Este protocolo será de implementación propia por parte de QNAP, y se podrá utilizar en todo tipo de clientes al disponerse de aplicaciones QVPN para PC y móviles. Es un protocolo que se basa en DTLS y utiliza UDP para establecer inicios de sesión más rápidos. Dicho inicio se realiza a través de SSL y el tráfico irá cifrados con AES de 256 bits. Su seguridad es alta, y al disponerse de app para todas las plataformas, será de uso recomendable.
PPTP
O Point-to-Point Tunneling Protocol, es un protocolo desarrollado por Microsoft que encripta y encapsula los paquetes con el protocolo IP de una forma sencilla. Será uno de los protocolos más rápidos, aunque la encriptación es bastante frágil. Actualmente está obsoleto, ya que su seguridad ha sido rota mediante el programa ASLEAP, así que no recomendamos para nada su uso.
L2TP/IPSec
Layer 2 Tunneling Protocol es un protocolo para encapsular datos que a su vez utilizarán IPSec para la encriptación y enrutamiento por la red. El encabezado del paquete cuenta con la información suficiente para que el servidor VPN identifique al usuario que lo manda o lo envía, al igual que ocurre con el protocolo IP. Será el más recomendable para uso en clientes basados en Windows, ya que es compatible de forma nativa.
OpenVPN
Será uno de los más utilizados, ya que además de ser un software cliente y servidor para conectarnos a una VPN, también es un protocolo de red punto a punto. Es de código libre y permite establecer un túnel entre el cliente servidor utilizando OpenSSL para la encriptación. Además, es capaz de usar los protocolos de transporte TCP o UDP para la transmisión de los datos. Para conectar los cliente debemos instalar OpenVPN Client en los equipos y descargar el certificado y archivo de configuración que genere el servidor.
Nosotros vamos a elegir el método L2TP por ser uno implementado en Windows, plataforma con la que nos vamos a conectar. La activación del servidor VPN será tan fácil como pulsar la pestaña “Habilitar el servidor VPN” y luego aplicar la configuración. Con esto, ya tendríamos operativo el servicio, aunque antes hay que ver algunos parámetros importantes que se repiten en todos los métodos:
- Rango de direcciones IP: esto es fácil, simplemente determinar el rango de direcciones IP que se darán a los clientes que se conecten.
- Clave precompartida: esta clave será la que autentique el cliente en el servidor VPN para establecer el túnel. Será muy importante.
- Autenticación: en el método de autenticación debemos elegir MS-CHAPv2, que es la opción más segura de las disponibles.
- Interfaz de red y DNS: nos llevará al primer apartado para asignar la interfaz o interfaces de red a través de las cuales se efectuará la conexión con el servidor. En nuestro caso lo dejaremos por defecto, ya que solamente utilizamos uno de los puertos del NAS. El DNS también lo mantendremos predeterminado.
Por ahora, esto es lo único que tenemos que hacer en esta aplicación, más adelante volveremos a ella. Ahora toca configurar MyQNAP Cloud y abrir puertos para el acceso remoto.
Verificar que nuestro router es UPnP y el servicio está activo
Universal Plug and Play (UPnP) consiste en un conjunto de protocolos que permiten comunicar de forma transparente los periféricos de red con equipos como PC, repetidores Wi-FI, NAS, etc. De esta forma se pueden establecer distintos servicios de red entre los dispositivos, siendo un ejemplo claro la apertura de puertos para montar nuestra VPN con NAS QNAP.
La mayoría de routers son compatibles con este sistema, y para verificarlo debemos acceder a su firmware. En nuestro ejemplo utilizamos un router Asus, y la opción UPnP aparecerá en el apartado de WAN -> Configuración Básica.
Puede que por defecto no venga activado, ya que esté método aumenta un poco la vulnerabilidad frente a ataques. Además de activarlo, también podremos asignar el rango de puertos permitidos que pueda manejar el protocolo. Se recomienda que en el rango interno se omitan desde el 1024 hacia abajo por ser puertos reservados. Nosotros tenemos asignado el rango completo por otras cuestiones.
Configurar puertos UPnP y MyQNAPcloud
Ya estamos en condiciones de abrir puertos para crear nuestro VPN con NAS QNAP y conectarnos desde el exterior. Pero ahora nos haría falta un servicio DNS para no tener que utilizar nuestra IP para la conexión continuamente. Para ello haremos uso de la cuenta myQNAPcloud, disponible con la compra de un NAS QNAP.
MyQNAPcloud será otra aplicación que debemos instalar en el NAS desde la tienda, siendo gratuita y puede que ya esté preinstalada.
En primera instancia nos dirigiremos al primer apartado de “Overview” e iniciaremos el asistente de creación y conexión de la cuenta de usuario. Para ello solamente pulsamos en el botón “Empezar”.
En caso de aun no tener la cuenta creada, debemos acceder al enlace propuesto, y tras un breve proceso volveremos a esta aplicación para continuar la configuración.
A continuación se nos pedirá que registremos el nombre del NAS en la cuenta. Este será el que determine el nombre del DNS que la cuenta cree para nuestro NAS. Desde las opciones de configuración, podremos colocar el nombre que estimemos oportuno.
A continuación solamente debemos habilitar los servicios pertinentes para que se integren en la cuenta que hayamos creado. Los que sí o sí deberán estar marcados serán la configuración automática del enrutador, DDNS y myQNAPcloud Link
Seguidamente nos iremos al apartado de configuración automática del enrutador, y activaremos en primera instancia la opción de “Habilitar autenticación de puertos UPnP”. Pulsaremos en aplicar, y si el enrutador es compatible aparecerá en esta ventana.
Un paso fundamental será abrir los puertos pertinentes para darle acceso remoto al servicio VPN con NAS QNAP. En esta misma sección dispondremos de una tabla con los principales servicios admisibles por el NAS, con sus puertos asociados. Mientras más aplicaciones se vayan instalando en el NAS, más puertos asociados se añadirán a la lista.
Será tan simple como activar la opción concerniente a QVPN asociada al protocolo que vayamos a utilizar, en nuestro caso L2TP. Así que automáticamente se abrirán los puertos 500, 4500 y 1701 UDP del router. Lo bueno del sistema UPnP es que no necesitaremos acceder al propio router para efectuar la apertura, ya que directamente el programa se comunicará con él y procederá a abrirlos.
De forma adicional abriremos también el puertos 8080 y 443 para habilitar la gestión remota del NAS a través de myQNAPcloud.
Para finalizar, aplicaremos los cambios para que estos surtan efecto. Es posible que en los primeros momentos el estado de los puertos no se marque como realizado “OK”, solamente debemos esperar unos instantes hasta que la información se actualice debidamente.
Ahora nos dirigiremos al apartado de myQNAPcloud Link para habilitar el servicio si aún no se ha hecho. Abajo se nos proporcionará una URL que nos dará acceso directo al NAS para su gestión remota.
La URL no será la dirección DNS que debemos utilizar para autenticarnos en la VPN, esta la debemos localizar en el portal web, apartado “Detalles del dispositivo”.
Configuración de usuarios en VPN con NAS QNAP
Con todo lo anterior hecho, solamente resta mirar las distintas opciones de configuración que nos brinda QVPN Service. La más importante será sin duda la creación de usuarios para el acceso a la red.
Para añadir usuarios a la red VPN con NAS QNAP nos dirigiremos al apartado de “Configuración de privilegios”. Desde allí podremos añadir usuarios locales anteriormente creados en el NAS, o bien usuarios que pertenezcan a un dominio como LDAP o Active Directory. En nuestro caso haremos uso de los usuarios locales, así que previamente deberán estar creados en el sistema QTS.
A cada usuario le podremos dar acceso a un determinado servicio en caso de tener varios protocolos VPN en uso simultáneamente. Por defecto el usuario administrador ostentará permiso de acceso para todos ellos.
Las dos secciones siguientes nos mostrarán en tiempo real los usuarios que hay conectados a la red VPN y el log de intentos de acceso registrados. Como se puede ver, registrarán tanto los accesos fallidos como establecidos, para de esta forma poder verificar que no hay intentos de suplantado de identidad.
Configurar cliente VPN
Ya tenemos creado el VPN con NAS QNAP, así que ahora es el turno de ver cómo conectarnos al servidor. Para ello pondremos unos ejemplos con un sistema Windows.
Dado que L2TP es compatible de forma nativa con Windows, haremos uso de configuración VPN propia del sistema. Esta se encuentra en la app de Configuración > Red e Internet > VPN. Elegiremos la opción de “Agregar una conexión VPN”
Una ventana tipo formulario se abrirá, y debemos proceder a rellenarla debidamente. En este primer ejemplo llevaremos a cabo una conexión dentro de la red local, así que podremos poner directamente la IP interna del NAS. Elegiremos la opción de clave precompartida, que es la elegida en el servicio. Serán necesario colocar nuestro usuario y contraseña para dicho acceso.
A continuación el cliente debería poder conectarse sin problemas. Nos aparecerá el estado en la barra de tareas, con la conexión establecida.
Ahora haremos lo mismo pero en un equipo ubicado fuera de la red LAN. Lo único que debemos cambiar en la configuración de la conexión del cliente es el nombre del servidor. Esta vez haremos uso del DNS proporcionado por myQNAPcloud. Siempre será el nombre del NAS seguido de “.myQNAPcloud.com” todo en minúscula, no tiene pérdida.
Conclusiones finales sobre crear VPN con NAS QNAP
Tener un NAS nos asegura grandes posibilidades en todo lo que tiene que ver con aplicaciones y servidores orientados a redes. Sin duda tener los servicios de almacenamiento son solo la punta de iceberg de lo que estos dispositivos con capaces de hacer.
Un sistema como QTS nos dará herramientas de todo tipo orientadas a usuarios normales, administradores de red, pymes e incluso grandes empresas. El servicio VPN que hemos configurado se puede llevar a cabo de forma simultánea con varios protocolos, e interfaces de red, existiendo NAS con hasta 4 puertos o más disponibles. La gestión y configuración es muy sencilla, mucho más que la herramienta OpenVPN por ejemplo.
Además el servicio en la nube myQNAPcloud brinda las herramientas necesarias para la gestión remota y acceso al NAS, así como una dirección DNS que se puede usar par conexiones remotas. A esto se le une la compatibilidad con routers UPnP para hacer el trabajo aún más sencillo.
Os dejamos ahora con algunos tutoriales de VPN para que sigáis experimentando:
También os dejamos un vídeo que tiene en su canal de youtube QNAP muy bien explicado.
Esperamos que os haya sido de utilidad para sacarle más partido a vuestro NAS. Y agradecemos a QNAP la confianza en nosotros por cedernos el NAS QNAP TS-431K para efectuar el tutorial.
