OpenVPN con nuestra QNAP con diversos clientes V2
#1
Creación de OpenVPN en QNAP como servidor

El hacer que nuestra QNAP sea un servidor de OpenVPN nos asegura la encriptación de tráfico de datos entre nuestro dispositivo cliente y la QNAP.
Podemos acceder a ella para ver su contenido y todos los servicios que tenga activos de forma segura tal como si estuviésemos en la misma red local. Esto nos evita tener que abrir múltiples puertos en nuestro router ya que sólo abririamos uno (el de OpenVPN)
Ni que decir tienen que es algo que debemos usar en nuestros dispositivos móviles cuando estemos en redes WIFI públicas.
También podemos usarlo para salir a Internet desde estos terminales móviles como si estuviésemos en la ubicación de nuestra QNAP.
Por ejemplo, estamos en un país A que no permite la navegación web libre, si ese cliente se conecta por VPN a nuestra Qnap que está ubicada en un país B sin esas limitaciones, el cliente navega en web como si estuviese en el país B (cuando realmente no lo está).
Algo parecido sucede para aquellos que quieren ver la BBC, ya que si no estás en UK no puedes hacerlo, pero si estableces una VPN contra una máquina servidor ubicada en UK podrás ver la BBC, ya que la BBC identifica nuestra IP origen como ubicada en UK.

  • Configuración de QNAP QTS 2.5 como servidor de OpenVPN
Desde los menús de QNAP vamos al panel de control, Servidores de aplicaciones y Servidor VPN.
En la ventana nos desplazamos hasta ver la “Configuración de OpenVPN”
   
 Desde esta ventana podemos:
  • habilitar y deshabilitar el servidor OpenVPN.En la imagen vemos el rango de IPs de la vpn 192.168.249.X,el puerto, pero pueden ser otros rangos privados de tipo 10.X.Y.Z, 172.16.X.Y a 172.32.X.Y y 192.168.X.Y.
  • protocolo y puerto (1194-UDP). Si usamos otro, hemos de abrirlo en nuestro router
  • el grado de cifrado (AES 128bit o AES 256bit)
  • la tarjeta de red usada (Ethernet 1 o agrupación de éstas)
También hemos marcado la redirección de la puerta de enlace, así cuando un cliente establezca comunicación, éste usará a la QNAP como puerta de salida a Internet.

  • Configuración de QNAP QTS 4.3 como servidor de OpenVPN
Desde los menús de QNAP vamos al App Center y abrimos QVPN Service.
   
 En esta ventana podemos:
  • habilitar y deshabilitar el servidor OpenVPN.
  • En la imagen vemos el rango de IPs de la vpn 192.168.249.X,el puerto, pero pueden ser otros rangos privados (10.X.Y.Z, 172.16.X.Y a 172.32.X.Y
  • protocolo y puerto (1194-UDP). Pero podemos usar otro. Eso sí, hemos de abrirlo en nuestro router
  • el grado de cifrado (AES 128bit o AES 256bit)
  • la tarjeta de red usada (Ethernet 1)
También hemos marcado la redirección de la puerta de enlace, así cuando un cliente establezca comunicación, éste usará a la QNAP como puerta de enlace.


  • QNAP como Cliente de OpenVPN
Una nas también puede ser un cliente, algo muy interesante si tenemos varias sedes. Así podemos tener las Qnap sincronizando y usando recursos de otras nas usando una VPN.

Desde los menús de QNAP vamos al panel de control, Servidores de aplicaciones y Cliente VPN
En la ventana que se nos muestra, podemos añadir nuevos servidores de OpenVPN.
   
 Aquí configuramos datos que habitualmente están en el archivo *.ovpn.
Es importante la dirección, el puerto y el protocolo a usar. Pulsando el botón de explorar buscaremos el archivo del certificado (*.crt) exportado desde el servidor.
Tras pulsar el botón de crear nos aparecerá en la lista de posibles conexiones.
Recordar que no tiene porque ser el servidor de OpenVPN una máquina de QNAP, pudiendo ser un PC u otro dispositivo que tenga en servicio un servidor de OpenVPN.

  • Configuración de IOs como cliente
 Usaremos obligatoriamente el programa iTunes para conectar el iPhone o iPad al equipos.
 Instalaremos la app OpenVPN desde el Apple Store
   

 Tras el primer arranque nos aparece la pantalla de bienvenida, ya que no tenemos ningún certificado y configuración instaladas
   

 Para instalarlo hemos de conectar el iPhone (o iPad) al iTunes. Cuando ya esté conectado, iremos al dispositivo.
   

   

Una vez seleccionado el dispositivo, pulsamos sobre Archivo compartidos del menú lateral izquierdo y luego sobre OpenVPN de la lista central de Apps.
Para agregar los archivos podemos pinchar desde nuestro explorador de archivo y arrastrarlos sobre la sección de Documentos OpenVPN, o bien pulsar al botón “Añadir archivo...” situado abajo a la derecha.
   

 Deben de estar ambos archivos, el de certificado y el de configuración.

En cuanto estén en la lista ya podemos ir a nuestro iPhone o iPad y abrir el programa OpenVPN. Nos preguntará por pantalla para instalar esa configuración.
   

 Antes de probar hay que hacer un cambio en la configuración del iPhone. Vamos a Ajustes, en la parte inferios de ajustes tendremos OpenVPN, lo abrimos activamos la opción de “Seamless tunnel (IOS8+)” y la opción de “Force AES-CBC ciphersuites”
   

Una vez agregado estaremos en la pantalla de ingreso de credenciales y contraseña. Recordar que debemos evitar en lo posible usar el usuario admin, para ello creamos usuarios locales específicos a los que desde la QNAP les autorizamos como usuarios de OpenVPN.

Podemos marcar para que recuerde la contraseña y si todo ha ido bien nos conectaremos correctamente tal como se ve en la captura siguiente.
   

La forma de activar el servicio de OpenVPN es usando la app de  IOS, no sirve ir a Ajustes y activar la VPN.
  • Clientes Windows
Desde la página de https://openvpn.net/ podemos descargarnos la versión adecuada. Recordad que usaremos la versión Comunity y después dependiendo de nuestro sistema operativo la versión de 32 o 64 bits.

   

  • Configuración de XP como cliente
Pongo como hacerlo para los nostálgicos, pero recordar que es un sistema que ya no tiene soporte y no deberíamos tenerlo en equipos de cara a Internet.
Escogemos desde el área de descargas la versión 2.3.18 (old stable) del 2017.09.26
   
Tras la descarga del ejecutable iniciamos la instalación
   

   
Nos presenta varias opciones, pero en nuestro caso las marcadas son suficientes.
   

Tras la aceptación comenzará la copia de archivos y la instalación de un driver de un dispositivo de comunicaciones TAP. Hemos de aceptar y dar permisos.
   

Continuamos con la instalación
   
 y pulsamos sobre finalizar.
Partimos de que ya tenemos el archivo ZIP con el certificado y la configuración generados por la nas QNAP.
Ahora abrimos una nueva carpeta en la ruta “c:\Archivos de programa\OpenVPN\config” , por ejemplo ponemos el mismo nombre que el de nuestra nas para distinguirla de otras configuraciones. En el ejemplo “nasprueba”. En ese directorio dejamos los dos archivos:
  • el certificado ca.crt
  • el archivo de configuración de extensión ovpn que renombraremos como la carpeta, quedando en nuestro caso como “naspruebas.ovpn”
Lanzamos el ejecutable de OpenVPN y la aplicación se quedará abajo a la izquierda en la barra de tareas.
   
Ahora pulsando el botón secundario del ratón sobre él aparece el menú contextual.
   

En el ejemplo vemos en el menú desplegable varios posibles servidores OpenVPN (que NO tienen porque ser máquinas QNAP).
Elegimos "Connect" y se nos abre una ventana donde nos identificamos con las credenciales del usuario de la QNAP autorizado para el servicio OpenVPN.
   

Tras hacerlo y si todo va bien, la conexión se establece y se minimiza la ventana. El icono se pondrá en verde y ya estamos conectados.
   
Una forma de comprobarlo es hacer un ping a la ip de la QNAP o abrir un navegador y escribir la ip de la nas para ver su página de inicio.
  • Configuración de Windows 7 como cliente (válido para 32 y 64 bits)
Escogemos la versión para Windows Vista y superiores (2.4.4-i601)
   

 Necesitamos ser administrador o tener sus privilegios para instalarlo.
   
   
   

 Dejamos las opciones por defecto
   
   

 Durante la instalación se instala un dispositivo que debemos marcar la casilla de confiar y pulsar en instalar
   

 El programa continuará instalando. Puede parecer por momentos que se ha quedado bloqueado, darle tiempo (un par de minutos) que continuará instalándose.
   
   

Ya hemos finalizado la instalación.
Ahora crearemos una carpeta en “c:\Program Files\OpenVPN\config”. Para distinguirla de otros servidores la llamo “naspruebas” y en ella descomprimo el archivo del certificado “ca.crt” y el archivo “openvpn.ovpn”. Renombre el archivo “openvpn.ovpn” como “naspruebas.ovpn”.

Ahora ya puedo ejecutar OpenVPN. Se situará en la barra inferior a la derecha (ojo si tenéis activada la opción de ocultar iconos no activos). En este caso como solo hay una configuración de servidores OpenVPN, no aparece una lista, aparece directamente el menú de conexión.
   

Saldrá la pantalla de login, donde ponemos el usuario y clave. Recomiendo no marcar la casilla de guardar la clave.
   

Y si todo es correcto, nos conectaremos a la nas de QNAP mediante OpenVPN.
   
  • Configuración de Windows 10 como cliente (válido para 32 y 64 bits)
He comprobado que la instalación es la misma que en Windows 7. Lo único que he visto cambiado es el aviso de de conexión establecida 

   


  • Configuración de Android como cliente
Para este caso caso he utilizado un móvil con Android 5.0, pero entiendo que será muy similar en otras versiones.
Previamente he dejado en la tarjeta microSD del teléfono un directorio con los archivos ca.crt y el de extensión ovpn. 
Vamos al Play Store, buscamos e instalamos OpenVPN
   
Una vez instalado lo arrancamos y entramos en opciones, luego vamos a preferencias.
   

Aquí de forma similar a lo que hicimos en Ios, activamos las opciones siguientes:
   

Ahora vamos a importar el certificado, para ello vamos de nuevo al menú de opciones y seleccionamos importar, luego seleccionamos importar desde SD. Exploramos las carpetas y navegamos hasta llegar a la SD donde dejamos los archivos
   

Como cualquier programa que usa por primera vez una función de Android, tendremos un aviso de solicitud de conexión que deberemos aceptar y ya sólo nos queda introducir el nombre del usuario , la clave y pulsar el botón de “Connect”, esperar
   

la conexión ha quedado establecida como se ve en la última captura 
   

Tras las últimas actualizaciones de QTS (Enero 2018) hay cambios en la obtención de los archivos de configuración de OpenVPN. Ahora en vez de descargar 2 archivos (configuración y certificado) se descarga solamente uno de extensión ovpn.
Integra el contenido de los archivos anteriores. Se puede editar con un editor de texto en sus primeros caracteres para cambiar el puerto y/o dirección web-ip.

Si alguien se anima (venga valientes   ) a describir el proceso en un Mac en otro hilo pongo el enlace.

Como siempre si veis errores o erratas enviarme un privado y se corrige.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#2
Wow.... pedazo tutorial que toca estudiarme...... Mil gracias Maestro.
  Reply
#3
El tutorial tiene tiempo y todo cambia.
En este caso en lo referente a los certificados ha cambiado, ya que ahora quedan integrados en el archivo de configuración.


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673, QBoat Sunny y TS-453Be)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#4
Cordial saludo. Luego de tener OpenVPN ya configurado en el PC y en mi celular con la App QVPN, que puertos puedo cerrar por seguridad y cuales debo dejar abiertos para poder entrar con la ID de myqnapcloud al NAS y para usar desde fuera de mi red PLEX, QFile, Qphotos...
GABOCAD
QNAP TS-453Be / 16gigas
  Reply
#5
(01-08-2019, 03:19 AM)GABOCAD Wrote: Cordial saludo. Luego de tener OpenVPN ya configurado en el PC y en mi celular con la App QVPN, que puertos puedo cerrar por seguridad y cuales debo dejar abiertos para poder entrar con la ID de myqnapcloud al NAS y para usar desde fuera de mi red PLEX, QFile, Qphotos...
Hola
En la nas deja todo como está, y en el router solo abres el puerto OpenVPN apuntando hacia la ip de tu nas.


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673, QBoat Sunny y TS-453Be)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#6
Buenas noches,

Hace poco configure el nas con un certificado de Let´s Encrypt para solo acceder de forma segura. Leyendo por el foro he visto este tutorial que es otra forma de tener el trafico encriptado. Os quería preguntar dos cosas:

1) ¿Cual de las dos formas es mas segura?

2) ¿Podemos tener las dos formas configuradas para acceder al nas? No se si es una locura o no se puede, pero lo digo por si algún día tengo que acceder con un equipo que no sea mio no tener que configurar en dicho equipo OpenVPN. Ya se que tendría que tener dos puertos abiertos en el router.

Muchas gracias.
  Reply
#7
(02-10-2019, 10:00 PM)yosoymiguel Wrote: Buenas noches,

Hace poco configure el nas con un certificado de Let´s Encrypt para solo acceder de forma segura. Leyendo por el foro he visto este tutorial que es otra forma de tener el trafico encriptado. Os quería preguntar dos cosas:

1) ¿Cual de las dos formas es mas segura?
Son cosas distintas.
(02-10-2019, 10:00 PM)yosoymiguel Wrote: 2) ¿Podemos tener las dos formas configuradas para acceder al nas? No se si es una locura o no se puede, pero lo digo por si algún día tengo que acceder con un equipo que no sea mio no tener que configurar en dicho equipo OpenVPN. Ya se que tendría que tener dos puertos abiertos en el router.

Muchas gracias.
El certificado asegura las comunicaciones y el tráfico vía web. Los certificados son generados para una o varias direcciones web. Eso permite que el tráfico entre la web y el navegador final vaya encriptado (cifrado).

La VPN es para abrir un canal seguro (o túnel) entre el servidor vpn y el cliente. Por el túnel va cifrado todo tipo de tráfico, desde una web, tráfico ftp, o cualquier otra cosa.

Por ejemplo sirve para ocultar el tipo de navegación si estamos en una wifi ajena a nuestro control, y la navegación de cara a Internet parece que sale desde nuestra nas.


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673, QBoat Sunny y TS-453Be)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#8
Hola

Hace poco ha pasado por mis manos un teléfono con Android mas actualizado versión 10. Así que pongo nuevas capturas de como instalar y configurar el cliente OpenVPN en él.

Como paso previo se ha enviado por correo electrónico el archivo de extension ovpn generado por la QNAP. 
Así lo podremos gestionar desde el móvil.
Lo guardamos en descargas u otra carpeta que debemos recordar para usarla después.
   



Nos descargamos e instalamos el programa "OpenVPN Connect" desde el Play Store
   

Luego lo ejecutamos, nos mostraré términos de uso e incluso pedirá permisos de acceso a almacenamiento.
   

Vamos a la carpeta donde descargsmos el archivo ovpn que nos enviamos por correo.
   

Ahora debemos importar el archivo de configuración y su certificado
   
   

importamos el certificado
   

Escribimos el nombre descriptivo y usuario de conexión
   

Una vez importado, ya podemos hacer nuestra primera conexión.
   

Por ser la primera vez nos pedirá permisos
   
   

Seleccionad continuar ya que no hay certificado externo que elegir.
   

Ya estamos conectados
   
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply
#9
Hola buenas noches.
Siguiendo tu tutorial he instalado openvpn en el NAS y en mi portátil windows y todoha ido perfecto. Incluso podía acceder a mi router desde el exterior. 
Posteriormente, siguiendo indicaciones para aumentar la seguridad, creé un nuevo usuario con derechos de administrador para posteriormente desactivar el usuario admin. Sin embargo desde entonces el vpn no me funciona. Tendré que volver a comfigurar todo de nuevo o se puede "salvar" el openvpn actual.
Gracias por el tutorial y la posible ayuda que me puedas dar  Smile
  Reply
#10
Hola
Claro que accedes a tu router, recuerda que ya vez conectado estás en tu red de casa.

Supongo ahora no te deja ya que intentarás usar en la vpn un usuario admin (que has desactivado).

Vete QTS genera un usuario que va a ser exclusivo para usar con la vpn. Desactívale el uso de aplicaciones de QTS.
Luego vete a QVPN y dale permisos para usar la vpn.
Después desde el teléfono o el pc, solo has de identificarte como ese nuevo usuario.

Lo de crear usuarios exclusivos para la vpn es una práctica cara a organizarse y no mezclar accesos, permisos o cambios de clave.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Reply




Users browsing this thread: 1 Guest(s)