Com organitzar un servidor VPN al vostre nas

És molt pràctic poder accedir a la vostra xarxa domèstica des de qualsevol lloc fora de casa amb, per exemple, el vostre telèfon intel·ligent. Per exemple, per operar dispositius IoT, visualitzar imatges des de la càmera IP o eludir els blocs regionals. En configurar un servidor VPN, esteu segur a la vostra xarxa domèstica en una acció. Un NAS sol ser prou potent per utilitzar-lo com a servidor VPN, sobretot si no necessiteu la velocitat més alta. En aquest article us mostrem com configurar-lo i utilitzar-lo en combinació amb un telèfon intel·ligent.

Si teniu tot tipus d'aplicacions boniques en execució a casa, tard o d'hora també voldreu accedir-hi des del vostre telèfon intel·ligent, tauleta o portàtil mentre esteu a la carretera. Penseu, per exemple, en la domòtica amb Home Assistant o Domoticz, la transmissió multimèdia amb Plex o Emby, l'ús de servidors de descàrrega o simplement l'accés a fitxers personals. Podeu organitzar-ho per aplicació, sovint enviant uns quants ports, però aquestes portes del darrere no estan exemptes de riscos. Per exemple, moltes aplicacions contenen vulnerabilitats o no utilitzen connexions xifrades.

Podeu resoldre aquests problemes amb una connexió VPN ben segura. En realitat, la connexió VPN proporciona una capa addicional de protecció a més de la seguretat de les aplicacions. També podeu utilitzar immediatament totes les aplicacions com esteu acostumats a casa i sense ajustar-ne la configuració. Això també s'aplica a aplicacions que normalment no hauríeu d'utilitzar a través d'Internet, com ara l'accés a fitxers de xarxa (vegeu el quadre "Accés a fitxers a través d'Internet"). Us mostrarem com aconseguir-ho amb un servidor VPN en un Synology o QNAP NAS.

Accediu als fitxers a través d'Internet

El vostre NAS pot ser el punt d'emmagatzematge central de la vostra xarxa. El protocol smb s'utilitza per accedir a fitxers des d'un PC Windows. Especialment la primera versió (smb 1.0) és molt insegura. Per exemple, una vulnerabilitat estava a l'arrel d'un atac important per part del ransomware WannaCry. A Windows 10, ara està desactivat de manera predeterminada i molts proveïdors bloquegen el port tcp 445 utilitzat per al trànsit de smb, haurien de poder utilitzar una connexió a Internet.

El mateix Microsoft també ho fa per a carpetes compartides del servei Azure Files. Tot i així, és inusual i no el recomanem. Això no és només un problema de confiança. Moltes xarxes funcionen amb dispositius més antics i vulnerables. Fins i tot en un Synology NAS recent, sembla que smb 3.0 està desactivat per defecte. El bloqueig de ports amb proveïdors com Ziggo també us pot molestar. A més, el rendiment mitjançant connexions a Internet sovint és decebedor. Sobretot, continueu sent vulnerable a les vulnerabilitats, tot i que encara es refereix a les vostres dades més crítiques. Per accedir als vostres fitxers a la xarxa, us recomanem una connexió VPN o alternatives com l'emmagatzematge al núvol.

01 Per què un nas?

És possible que ja tingueu alguns dispositius a la vostra xarxa que podeu utilitzar com a servidor VPN, com ara un encaminador. No hauríeu d'esperar miracles en termes de rendiment i OpenVPN no sempre és compatible. El vostre propi servidor és una bona opció, però això no està a l'abast de tothom. Si teniu un NAS, també és una opció, amb una potència de processament addicional i molta facilitat d'ús. Tant Synology com QNAP admeten la configuració com a servidor VPN de manera predeterminada amb una configuració relativament fàcil. Si teniu un model amb un processador que admet el conjunt d'instruccions AES-NI, us beneficiareu d'un rendiment significativament superior.

També podeu influir en el rendiment amb l'algoritme de xifratge i la mida de la clau. En aquest curs bàsic escollim un compromís segur, suficient per a un grapat de connexions. Les velocitats màximes reals poden estar fora de l'abast, però això no és un problema per a la majoria d'aplicacions i sempre hi ha altres factors limitants, com ara la vostra connexió a Internet.

02 Instal·leu l'aplicació

El servidor VPN de Synology admet PPTP, OpenVPN i L2TP/IPSec. Només els dos últims són interessants. Opcionalment, podeu configurar tots dos, però en aquest curs bàsic ens limitem a OpenVPN. Ofereix un bon rendiment i una bona seguretat, amb molta llibertat de configuració. Per instal·lar-lo aneu a Centre de paquets. Cerca Servidor VPN i instal·lar l'aplicació. A QNAP obres Centre d'aplicacions i et busca Servei QVPN a la secció Utilitats. A més dels protocols anteriors, aquesta aplicació també admet el protocol QBelt desenvolupat pel mateix QNAP. També podeu utilitzar l'aplicació QNAP com a client VPN afegint perfils, en cas que el NAS necessiti utilitzar un servidor VPN extern. Això també és possible a Synology, trobareu l'opció a sota Xarxa en el Panell de control.

03 Configuració a Synology

Obert Servidor VPN i toqueu sota l'encapçalament Configuració del servidor VPN activat OpenVPN. Posa un registre Activa el servidor OpenVPN. Ajusteu la configuració a les vostres preferències, com ara protocol (udp o tcp), port i xifratge (vegeu el quadre "Protocol, port i xifratge per a OpenVPN"). Es recomana una opció segura: AES-CBC amb una clau de 256 bits i SHA512 per a l'autenticació. Aneu amb compte, perquè també hi ha opcions insegures a la llista. Amb l'opció Permet als clients accedir al servidor LAN Assegureu-vos que també podeu accedir a altres dispositius de la mateixa xarxa que el NAS des de la vostra connexió VPN. Si no ho feu, només podreu utilitzar el nas i les aplicacions d'aquest nas, que de vegades pot ser suficient.

L'opció Activeu la compressió a l'enllaç VPN preferim apagar-lo. El valor afegit és limitat i no està exempt de riscos a causa d'algunes vulnerabilitats. Finalment feu clic Aplicar Seguit per Exporta la configuració per recuperar el paquet zip amb el qual establiràs la connexió més endavant. A Visió general veureu que OpenVPN està habilitat. Esteu utilitzant el tallafoc al vostre NAS? Després aneu a Tauler de control / Seguretat / Tallafoc i afegiu una regla que permeti el trànsit per al servidor vpn.

04 Configuració a QNAP

Obriu l'aplicació en un NAS QNAP Servei QVPN i tria a continuació Servidor VPN l'opció OpenVPN. Posa un registre Activa el servidor OpenVPN i ajusteu la configuració segons les vostres preferències. Igual que amb Synology, podeu configurar lliurement el protocol i el port. Per defecte, AES s'utilitza per a l'encriptació amb una clau de 128 bits (per defecte) o de 256 bits. L'opció Activa la connexió VPN comprimida apaguem. A continuació, feu clic Aplicar. Després d'això, podeu descarregar el perfil d'OpenVPN, que també conté el certificat. Ho farem servir amb Android. baix Visió general podeu veure si el servidor vpn s'està executant amb altres detalls com ara usuaris connectats.

Protocol, port i xifratge per a OpenVPN

OpenVPN és flexible de configurar. Per començar, tant udp com tcp es poden utilitzar com a protocols, preferint-se udp perquè és més eficient i ràpid. La naturalesa "reguladora" del protocol TCP funciona en contra del trànsit en lloc de cooperar amb un túnel VPN. A més, podeu triar pràcticament qualsevol port. Per a udp, el port predeterminat és 1194. Malauradament, les empreses sovint tanquen aquests i altres ports per al trànsit de sortida. Tanmateix, gairebé sempre és possible el trànsit del lloc web "normal" a través dels ports tcp 80 (http) i 443 (https). Podeu fer-ne un ús intel·ligent.

Si trieu el protocol tcp amb el port 443 per a la connexió OpenVPN, podeu connectar-vos a través de gairebé qualsevol tallafoc i servidor intermediari, però amb una pèrdua de velocitat. Si teniu el luxe, podeu configurar dos servidors VPN, un amb udp/1194 i un segon amb tcp/443. Pel que fa al xifratge, AES-CBC és el més comú amb AES-GCM com a alternativa emergent. Una clau de 256 bits és la norma, però una clau de 128 o 192 bits també és molt segura. Fins a un futur llunyà, serà pràcticament impossible trencar una clau de 128 bits (ben escollida). Per tant, una clau encara més llarga afegeix poc en termes de protecció, però costa més potència de càlcul.

05 Habilita els comptes d'usuari

També cal un compte d'usuari per iniciar sessió al servidor vpn. Aquest és un compte d'usuari normal al nas amb els permisos correctes per utilitzar el servidor vpn. De manera predeterminada, Synology permet a tots els usuaris utilitzar el servidor VPN. Ajusteu-ho a les vostres preferències entrant Servidor VPN desagradable drets anar. A QNAP entres Servei QVPN desagradable Configuració de privilegis. Aquí afegiu manualment els usuaris vpn desitjats des dels usuaris locals del nas.

06 Edita el perfil d'OpenVPN

Heu de passar pel perfil d'OpenVPN en un editor de text i fer els ajustos necessaris. A Synology extreu el fitxer zip (openvpn.zip) en una carpeta i després podeu desar el fitxer VPNConfig.ovpn es pot obrir al vostre editor de text. Aquí trobareu el comandament de la línia YOUR_SERVER_IP 1194 i una mica més enllà prototip udp. Això indica quin número de port (1194) i protocol (udp) s'ha d'utilitzar per configurar la connexió. En el lloc de LA TEVA_IP_SERVIDOR introduïu l'adreça IP de la vostra connexió a Internet a casa, amb QNAP aquesta ja està emplenada per defecte.

No rebeu una adreça IP fixa del vostre proveïdor d'Internet per a la connexió a Internet a casa, sinó una adreça IP dinàmica i, per tant, variable? Aleshores, un servei dynamic-dns (ddns) és una bona alternativa. Simplement podeu configurar-lo al vostre nas (vegeu el quadre "Servei dns dinàmic al vostre nas") i després introduïu l'adreça en lloc de l'adreça IP al perfil (això no passa automàticament). Amb Synology, el dns dinàmic és molt útil, ja que després podeu utilitzar el certificat del servidor creat per configurar la connexió, per resoldre un problema de certificat.

Servei dns dinàmic al vostre nas

Amb un servei dynamic-dns (ddns) la vostra adreça IP es conserva i es transmet a un servidor extern, la qual cosa garanteix que el nom d'amfitrió escollit sempre estigui enllaçat amb l'adreça IP correcta. Només podeu executar això al vostre nas. A Synology el trobareu a sota Tauler de control / Accés remot. El més fàcil és triar Synology com a proveïdor de serveis (gratuït) amb un nom d'amfitrió i un nom de domini disponibles (escollim greensyn154.synology.me), sempre que la combinació estigui disponible. Opcionalment, també podeu configurar un proveïdor ddns personalitzat. A QNAP vas a Tauler de control / Xarxa i commutador virtual. Sota l'epígraf Serveis d'accés trobes l'opció? DDNS. Podeu configurar un proveïdor ddns personalitzat, així com configurar i utilitzar el propi servei myQNAPcloud de QNAP. Un assistent us guiarà a través de la configuració. Al final, podeu triar quins serveis s'han de configurar. Per motius de seguretat, només podeu limitar-ho DDNS escollir.

07 Afegeix certificats

Amb QNAP, l'autenticació en iniciar sessió al servidor VPN només es basa en el nom d'usuari i la contrasenya. Amb Synology també necessiteu dos certificats de client per evitar errors de connexió, que, per descomptat, també és molt més segur. Podeu afegir-los manualment a l'aplicació, però també (com fem aquí) incloure-los al perfil d'OpenVPN. Utilitzem el certificat ddns (en el nostre exemple pertanyent a greensyn154.synology.me) per als dos certificats. Anar a Tauler de control / Seguretat. Toqueu Configura i assegureu-vos que aquest certificat estigui seleccionat darrere Servidor VPN. Tanqueu la finestra amb Cancel · lar. Feu clic amb el botó dret al certificat i trieu Certificat d'exportació.

Extraieu el fitxer zip. Obriu el perfil OpenVPN en un editor de text. A la part inferior veus un blocamb el contingut de aprox.crt. A continuació, afegiu un bloc en què introduïu el contingut de cert.pem conjunts. A continuació, afegiu un altre bloc amb el contingut de privkey.pem. Amb aquest perfil podeu configurar una connexió en combinació amb el compte d'usuari del vostre NAS.

08 Altres opcions de configuració

Podeu configurar més opcions segons les vostres preferències. El primer depèn del propòsit d'ús. Només voleu utilitzar la connexió VPN per accedir a la vostra xarxa domèstica de manera remota? A Synology, us heu d'assegurar que abans de la línia passarel·la de redirecció def1 al teu perfil un parèntesi (#) perquè es tracti com un comentari. Si elimineu el parèntesi, tot el trànsit passarà pel túnel VPN, també per als llocs web habituals que visiteu, per exemple. Amb QNAP, aquesta és una configuració del servidor, de manera que no afecta el perfil. Tu ho has posat Servei QVPN amb l'opció Utilitzeu aquesta connexió com a passarel·la predeterminada per a dispositius externs. Si l'activeu, tot el trànsit del client VPN passarà pel túnel VPN. Vols comprovar-ho? A continuació, visiteu http://whatismyipaddress.com amb un navegador. Si la vostra adreça IP pública (de la vostra connexió a Internet) apareix aquí, sabeu que el trànsit passa pel túnel.

09 Reenviament de ports a l'encaminador

En aquest curs bàsic hem establert el protocol udp al port 1194 per al servidor vpn i aquest és també l'únic trànsit que necessiteu per reenviar des del vostre encaminador al vostre nas amb una regla de reenviament de ports. És recomanable donar primer al NAS una adreça IP fixa a la vostra xarxa. La manera d'afegir aquesta regla difereix per encaminador. La regla en si és senzilla. El trànsit d'entrada utilitza el protocol udp i el port és 1194. Com a destinació introduïu l'adreça IP del vostre nas i el port també és 1194 ara.

10 Accés des del telèfon intel·ligent

Només és un petit pas utilitzar la connexió VPN des d'un telèfon intel·ligent. Assegureu-vos que esteu a una xarxa externa (com ara la xarxa mòbil) i no a la vostra pròpia xarxa WiFi, de manera que realment feu una connexió des de fora. Com s'ha indicat, utilitzem l'aplicació oficial OpenVPN Connect que pots descarregar des de Google Play Store o iOS App Store. Podeu connectar un telèfon intel·ligent Android a l'ordinador, després d'això podeu copiar el perfil d'OpenVPN a la carpeta de descàrrega. A continuació, importeu el perfil amb l'aplicació mitjançant Importa perfil / fitxer. Amb un iPhone, podeu utilitzar iTunes o enviar-vos per correu electrònic el perfil d'OpenVPN i obrir-lo a l'aplicació OpenVPN.

Introduïu el nom d'usuari i la contrasenya associats al vostre compte al NAS. Ara us podeu connectar tocant el perfil. Després d'això, teniu accés al vostre NAS i a la xarxa domèstica a la qual està connectat el vostre NAS.

Restriccions en utilitzar ipv6

En aquest article, suposem que utilitzeu una adreça ipv4 per al vostre servidor vpn i no ipv6. En algunes situacions això és un problema. Per exemple, els proveïdors d'Internet com Ziggo de vegades ja no donen als clients una adreça IPv4 pública. En aquest cas, només podeu rebre connexions entrants al vostre servidor VPN mitjançant ipv6. I aquest és un altre problema si voleu connectar-vos al vostre telèfon intel·ligent des d'una xarxa mòbil, perquè ipv6 només s'ofereix amb moderació en connexions mòbils.

Missatges recents