Evitar ataques externos en nuestros NAS QNAP

[Raulitroxxx]

Hola, con qufirewall activo el iphone no te conecta porque no les has dado acceso mientras que al portatil sí le has dado acceso en qufirewall. Me explico. Al crear el servidor Openvpn en el nas lo habrás creado con un rango de direcciones ips para los distintos clientes que se van a conectar. Viendo la imagen que has puesto has debido de crear en el servidor Openvpn un rango de direcciones parecido a esto   192.168.1.50 - 192.168.1.52. También puedes haber hecho otro rango parecido pero a la vez distinto como por ejemplo   192.168.1.51 - 192.168.1.100 o también 192.168.1.52 - 192.168.1.60. Como ves las posibilidades son múltiples. 

En la imagen que has puesto tienes arriba 2 reglas. Con la primera regla pretendes dar acceso a una red entera que sería la que tienes configurada en Openvpn: 192.168.1.52/24. El problema es que esto de primeras ya está mál. Independientemente de los rangos que te he puesto antes la red correcta y que tendrías que poner sería 192.168.1.0/24.

La segunda regla que tienes en qufirewall es una regla de entrada en el puerto de openvpn y el protocolo udp con una única ip que has puesto: 192.168.1.52 que es la misma ip que has puesto en la primera regla. Así que sólo estás dando acceso a esta última ip que, por lo que dices, va a ser la que se le ha asignado al portatil.

Solución:

Elimina las dos reglas de arriba de qufirewall y crea una sóla en el puerto 1194, con el protocolo UDP y pones cómo origen 192.168.1.0/24

Una red tiene un rango de 254 posibles ips. La red 192.168.1.0/24 abarca desde la 192.168.1.0 hasta la 192.168.1.254 incluida la ip que has puesto 192.168.1.52 que será la de tu portatil y también la ip que se haya asignado al iphone. Para poner una regla de acceso en qufirewall basada en la red a la que le quieres dar acceso hay que poner la primera ip de esa red. Esto no tiene nada que ver con las ips de los clientes de Openvpn que hayas configurado porque lo que haces es asignar unas ips en el rango de la red que has escogido 192.168.1.0/24 que abarca desde la ip 0 a la 254.
Con esa red que pones como origen ya te cubre todos los rangos posibles que hayas configurado en Openvpn para los clientes de acuerdo a la imagen que has puesto.

En el nas, en el servidor Openvpn NO tienes que tocar nada.

A tener en cuenta: La red que crees en Openvpn tiene que ser siempre distinta a la que tengas en tu red lan. Si tu router y tu lan tiene la red 192.168.0.1 en este caso la tendrías bien porque tienes puesta la 192.168.1.0 para Openvpn.

Hola yeraycito, gracias por contestar, después de escribir me lie a tocar cosas en el qufirewall y creo que ya di con una solución.

En relación a lo que me comentas del rango de ip en la vpn, en mi openvpn me venía por defecto un rango de ip del tipo 10.x.x.x, totalmente diferentes a mi rango de ip, en principio cargue el mismo archivo tanto al portatil como al iphone,  lo que hice es dentro del archivo de configuración añadir link remote la dirección de myqnapclud, luego lo que he configurado son las reglas del qufirewall como paso a explicar ahora y parece que si me funciona.

Lo único que he tenido que hacer es quitar la regla DENEGAR: ALL/CULAQUIERA/ANY/ANY, quitando esto y me funciona el iphoen, en su lugar he metido DENEGAR en todos los paises en diferentes reglas de 14 en 14 como deja el sistema.

No se si con esta configuración sustituyo a la regla anterior y que me daba problemas, la cosa es que haciéndolo así ya me funciona todo el portátil y el iphone. Lo único que creo que no me deja es estar con el portátil y el iphone a la vez me hace desconexiones. Si veis que estoy haciendo algo mal decirme.

Gracias.

[gonac58]

buenas..
en el rango de ip's he dejado, por defecto, el 10.8.0.2 - 10.8.0.254
 y mis ip's locales van de 192.168.1.100 - 192.168.1.200, segun leo, ¿ debo cambiar ese rango por el rango del router...(192.168.1.1) ?
saludos.

[Raulitroxxx]

buenas..
en el rango de ip's he dejado, por defecto, el 10.8.0.2 - 10.8.0.254
 y mis ip's locales van de 192.168.1.100 - 192.168.1.200, segun leo, ¿ debo cambiar ese rango por el rango del router...(192.168.1.1) ?
saludos.

Hola, yo en mi caso no he tocado nada de eso.

Yo tengo en las reglas de qufirewall como 1ª la ip de mi nas porque si no dejaba de reconocermela tanto el qfinder como por la web con la ip.

En cuanto a la VPN en la NAS tengo el puerto abierto apuntando a la ip interna de la NAS. Entiendo que tanto el pc como el iphone se conectan a esa ip una vez se activa la ip. Lo que sí que tuve que hacer ya que la ip pública va cambiando es poner en la configuración del archivo VPN como link remote la dirección de myqnapcloud con el puerto de la VPN. 

A no ser que esté equivocado, creo que la ip solo hay que apuntar al de la NAS, ya que es el puerto que debe estar abierto solamente en el router del NAS, una vez conectas ahí da igual la ip del portátil o del iphone, ya que de hecho cuando te conectes desde fuera de la red local tendra otra ip pública no indicada en ningún sitio.

En mi caso, detecté que el problema me lo hacía el qufirewall que cuando estaba activo me bloqueaba la conexión de internet del teléfono, no se porque no del portátil, pero cambiando las reglas que puse antes parece solventado. Esos si, no se si habré quitado una regla de seguridad, que es posible, pero de momento no he visto otro modo de lograrlo con el qufirewall activado.

[yeraycito]

buenas..
en el rango de ip's he dejado, por defecto, el 10.8.0.2 - 10.8.0.254
 y mis ip's locales van de 192.168.1.100 - 192.168.1.200, segun leo, ¿ debo cambiar ese rango por el rango del router...(192.168.1.1) ?
saludos.

No, no tienes que cambiar nada. Son redes distintas

---

Hola yeraycito, gracias por contestar, después de escribir me lie a tocar cosas en el qufirewall y creo que ya di con una solución.

En relación a lo que me comentas del rango de ip en la vpn, en mi openvpn me venía por defecto un rango de ip del tipo 10.x.x.x, totalmente diferentes a mi rango de ip, en principio cargue el mismo archivo tanto al portatil como al iphone,  lo que hice es dentro del archivo de configuración añadir link remote la dirección de myqnapclud, luego lo que he configurado son las reglas del qufirewall como paso a explicar ahora y parece que si me funciona.

Lo único que he tenido que hacer es quitar la regla DENEGAR: ALL/CULAQUIERA/ANY/ANY, quitando esto y me funciona el iphoen, en su lugar he metido DENEGAR en todos los paises en diferentes reglas de 14 en 14 como deja el sistema.

No se si con esta configuración sustituyo a la regla anterior y que me daba problemas, la cosa es que haciéndolo así ya me funciona todo el portátil y el iphone. Lo único que creo que no me deja es estar con el portátil y el iphone a la vez me hace desconexiones. Si veis que estoy haciendo algo mal decirme.

Gracias.



Hola otra vez. Si cómo dices en openvpn has dejado el rango de ips del tipo 10.x.x.x que trae por defecto ¿ para qué habias creado una regla en qufirewall dando acceso en el puerto 1194 a la ip 192.168.1.52 teniendo en cuenta que esa ip no tiene nada que ver con openvpn? Con esa regla has conseguido despistarme.
En mi modesta opinión, y no te ofendas, has dejado las reglas de qufirewall hechas un desastre. Vamos a ver. Cuando se instala por primera vez qufirewall se nos pregunta en qué pais vivimos para crear una regla de geolocalización para permitir el acceso a nuestro nas sólamente a las ips del pais que vivimos, en este caso España. Una vez hecho esto el programa arranca y al hacerlo las reglas quedan así de arriba a abajo:

 - Aplicación

 - Protección de acceso de IPS

 - Regla de acceso de nuestra lan ( esta regla la tienes puesta en la imagen que pusiste pero ES IMPOSIBLE que sea la que se ve, en vez de 192.168.1.52/24 debería poner 192.168.1.0/24 que sería tu red lan y la de tu router por tanto la has modificado málamente )

 - La regla de acceso creada al instalar qufirewall que da acceso a las ips de España

 - La regla de DENEGAR TODO que has eliminado

Si con los cambios que has hecho te funciona todo y estás contento vale pero cómo debería estar sería así ( de arriba a abajo ):

 - Aplicación

 - Protección de acceso de IPS

 - Regla de acceso de lan ( 192.168.1.0/24 )

 - Regla de acceso de Openvpn: Puerto 1194, Protocolo UDP, Origen 10.x.x.0/24

 - La regla de acceso de España

 - La regla de DENEGAR TODO


Información extraida de los libros Cómo gestionar un Nas Qnap y NO morir en el intento y Nas Qnap al borde de un ataque de nervios del reconocido y afamado escritor coreano Qu-nap Mal-ware......

[Raulitroxxx]

buenas..
en el rango de ip's he dejado, por defecto, el 10.8.0.2 - 10.8.0.254
 y mis ip's locales van de 192.168.1.100 - 192.168.1.200, segun leo, ¿ debo cambiar ese rango por el rango del router...(192.168.1.1) ?
saludos.

No, no tienes que cambiar nada. Son redes distintas

---

Hola yeraycito, gracias por contestar, después de escribir me lie a tocar cosas en el qufirewall y creo que ya di con una solución.

En relación a lo que me comentas del rango de ip en la vpn, en mi openvpn me venía por defecto un rango de ip del tipo 10.x.x.x, totalmente diferentes a mi rango de ip, en principio cargue el mismo archivo tanto al portatil como al iphone,  lo que hice es dentro del archivo de configuración añadir link remote la dirección de myqnapclud, luego lo que he configurado son las reglas del qufirewall como paso a explicar ahora y parece que si me funciona.

Lo único que he tenido que hacer es quitar la regla DENEGAR: ALL/CULAQUIERA/ANY/ANY, quitando esto y me funciona el iphoen, en su lugar he metido DENEGAR en todos los paises en diferentes reglas de 14 en 14 como deja el sistema.

No se si con esta configuración sustituyo a la regla anterior y que me daba problemas, la cosa es que haciéndolo así ya me funciona todo el portátil y el iphone. Lo único que creo que no me deja es estar con el portátil y el iphone a la vez me hace desconexiones. Si veis que estoy haciendo algo mal decirme.

Gracias.



Hola otra vez. Si cómo dices en openvpn has dejado el rango de ips del tipo 10.x.x.x que trae por defecto ¿ para qué habias creado una regla en qufirewall dando acceso en el puerto 1194 a la ip 192.168.1.52 teniendo en cuenta que esa ip no tiene nada que ver con openvpn? Con esa regla has conseguido despistarme.
En mi modesta opinión, y no te ofendas, has dejado las reglas de qufirewall hechas un desastre. Vamos a ver. Cuando se instala por primera vez qufirewall se nos pregunta en qué pais vivimos para crear una regla de geolocalización para permitir el acceso a nuestro nas sólamente a las ips del pais que vivimos, en este caso España. Una vez hecho esto el programa arranca y al hacerlo las reglas quedan así de arriba a abajo:

 - Aplicación

 - Protección de acceso de IPS

 - Regla de acceso de nuestra lan ( esta regla la tienes puesta en la imagen que pusiste pero ES IMPOSIBLE que sea la que se ve, en vez de 192.168.1.52/24 debería poner 192.168.1.0/24 que sería tu red lan y la de tu router por tanto la has modificado málamente )

 - La regla de acceso creada al instalar qufirewall que da acceso a las ips de España

 - La regla de DENEGAR TODO que has eliminado

Si con los cambios que has hecho te funciona todo y estás contento vale pero cómo debería estar sería así ( de arriba a abajo ):

 - Aplicación

 - Protección de acceso de IPS

 - Regla de acceso de lan ( 192.168.1.0/24 )

 - Regla de acceso de Openvpn: Puerto 1194, Protocolo UDP, Origen 10.x.x.0/24

 - La regla de acceso de España

 - La regla de DENEGAR TODO


Información extraida de los libros Cómo gestionar un Nas Qnap y NO morir en el intento y Nas Qnap al borde de un ataque de nervios del reconocido y afamado escritor coreano Qu-nap Mal-ware......

Hola de nuevo, no me ofendo, al revés te agradezco que me ayudes, ya que con el tema del qufirewall llevo mi pelea jaja.

Te explico el porque de algunas de mis configuraciones..lo primero de todo es que tengo una subred creada tras el router, ya que instalé un switch gestionable que traía su propia ip, esta la cambié por 1.2 para que fuese visible para el router. Te comento esto, porque no se si es por este motivo que cuando activaba el qufirewall dejaba de ver la NAS, tanto en el qfinder como en poder acceder a su ip local. Descubrí después de mucho trastear y tener que resetear las configuaraciones de red que para que esto no me pasase tenía que meter esta regla (192.168.1.52/24), quizás no debería ir así colocada pero es la única manera de no perder el acceso a mi nas.

Por el mismo motivo el puerto de la VPN la he apuntado hacia mi NAS, pero lo mismo llevas razón y debería apuntar al rango de ip de la vpn (probaré). Una de las cosas que me pasaba en mi portátil fuera de mi red local, era que cuando me conectaba a la VPN no veía todo lo que estaba en mi red, lo que colgaba de la subred no lo veía, por eso he ido probando hasta que ahora parece que me va todo.

En cuanto a la regla de denegar todo, como comenté es la única forma que he encontrado de poder navegar en el iphone cuando la VPN está activada. Pensé que metiendo reglas de denegar a todos los paises me valdría igual, si no es así estoy equivocado dime y sigo probando.

En definitiva, como no controlo mucho de este tema, me he vuelto loco con el qufirewall y las reglas a implementar. 

Probaré de todos modos a ordenar las reglas como me dices y si ves que con lo que te he puesto sigo estando mal en las configuraciones te agradezco que me indiques, ya que como te digo me estoy volviendo loco un poco para lograr que todo funcione bien.


Edito: He probado a configurar el orden como me indicas y también he editado la regla del puerto VPN con la ip 10.8.0.2/24 y he metido la de denegar todo y creo que me funciona todo bien, así que muchas gracias por tu ayuda, yo al final lo conseguí pero toqueteando a lo loco jaja.

[yeraycito]

Me alegro que hayas simplificado las reglas en qufirewall y te funcione iguálmente, ¿a que te ha quedado más bonito ?
Con tus nuevas explicaciones parece que está todo más claro y, si no lo entiendo mal y perdóname si me equivoco lo tienes así:

 - Un switch gestionable al que le has cambiado la ip para que la vea tu router a la 192.168.1.2

 - Por tanto tienes un router con la ip 192.168.1.1

 - Un nas y otros equipos en la lan con las ips 192.168.1.x

El resultado es que tienes una red basada en 192.168.1.0/24

Siendo esto así la explicación que te di antes es correcta. En qufirewall tienes que tener puesta una regla de acceso de la lan que es 192.168.1.0/24

En cuanto a la regla para Openvpn que has puesto en qufirewall 10.8.0.2/24 si te funciona bien con todos los equipos que quieras conectar a través de la vpn estupendo. Si tuvieras problemas de acceso con alguno te aconsejo que la cambies por 10.8.0.0/24

Como te dije en un comentario anterior por norma general las redes se ponen por la primera ip que es la 0. Al hacerlo así se da acceso a todas las ips posibles que van de la 0 a la 254. Esto no tiene nada que ver con las ips que se dan acceso en Openvpn. 

Y ya sabes, si tienes alguna duda haz uso del conocido eslogan feminista que dice " Antes de tocar preguntar "    

[Raulitroxxx]

Me alegro que hayas simplificado las reglas en qufirewall y te funcione iguálmente, ¿a que te ha quedado más bonito ?
Con tus nuevas explicaciones parece que está todo más claro y, si no lo entiendo mal y perdóname si me equivoco lo tienes así:

 - Un switch gestionable al que le has cambiado la ip para que la vea tu router a la 192.168.1.2

 - Por tanto tienes un router con la ip 192.168.1.1

 - Un nas y otros equipos en la lan con las ips 192.168.1.x

El resultado es que tienes una red basada en 192.168.1.0/24

Siendo esto así la explicación que te di antes es correcta. En qufirewall tienes que tener puesta una regla de acceso de la lan que es 192.168.1.0/24

En cuanto a la regla para Openvpn que has puesto en qufirewall 10.8.0.2/24 si te funciona bien con todos los equipos que quieras conectar a través de la vpn estupendo. Si tuvieras problemas de acceso con alguno te aconsejo que la cambies por 10.8.0.0/24

Como te dije en un comentario anterior por norma general las redes se ponen por la primera ip que es la 0. Al hacerlo así se da acceso a todas las ips posibles que van de la 0 a la 254. Esto no tiene nada que ver con las ips que se dan acceso en Openvpn. 

Y ya sabes, si tienes alguna duda haz uso del conocido eslogan feminista que dice " Antes de tocar preguntar "    

Se agradecen los consejos. De momento funciona todo que no es poco jeje.

Y sí, así es, tanto ip del router como switch gestionable, lo que no sabía es lo que comentas que al poner 0 ya se habilitaban todas de la 0 a 254.

La única regla que sigo sin poner porque me deja de ir la VPN en el iphone es la de DENEGAR all/cualquiera/any/any.

Muchísimas gracias por la ayuda, poco a poco vamos aprendiendo cosas. Seguro que ayudará a más gente estos post que anden con mismas dudas.

Un saludo.

[yeraycito]

Vamos a ver, la regla de denegar todo no debe de impedir el acceso a tu iphone siempre que esté bien colocada. Aparte de eso de nada te sirve tener una regla de acceso sólo para España si a continuación no hay una regla que deniega todo impidiendo el acceso de todos los demás paises. El NO ACCESO del iphone con qufirewall activado segúramente va a ser por lo que te comenté antes. La regla que has puesto para opnvpn segúramente no está cubriendo toda la red al no empezar por 0. Hazme caso y prueba a poner las reglas cómo te digo a continuación de arriba para abajo ( el orden es muy importante ):

 - Aplicación

 - Protección de acceso de IPS

 - Regla de acceso de lan    192.168.1.0/24

 - Regla de acceso de Openvpn:      Puerto 1194, Protocolo UDP, Origen 10.8.0.0/24

 - Regla de acceso sólo a España

 - Regla de DENEGAR TODO

---

Lo voy a explicar de otra manera a ver si se entiende mejor. Un firewall, da igual el que sea, el de nuestro nas o cualquier otro, tiene cómo principal misión bloquear todo el acceso externo a nuestra red por eso la regla de bloquear todo es muy importante que exista. Si queremos dar acceso a nuestra red, por ejemplo, a una vpn tendremos que poner " reglas excepcionales " que lo permitan. El orden en que estén puestas esas reglas es MUY IMPORTANTE y esa importancia se mide de arriba para abajo. En este caso, la regla de DENEGAR TODO se pone la última, abajo del todo y encima de ella las " reglas excepcionales " que permiten el acceso desde el exterior o de nuestra propia red lan. Para dar acceso a una red basada en Openvpn o a nuestra red lan hay que crear una regla que permita el acceso teniendo en cuenta que una red incluye 254 posibles ips que van desde la 0 a la 254 y para que tenga efecto esa regla hay que poner la ip que empieza por 0 cómo puede ser 192.168.1.0/24 para nuestra lan o 10.8.0.0/24 para Openvpn. Al hacerlo así cualquier dispositivo que haya en esas redes tendrá libre acceso independiéntemente de la ip que tenga asignada tanto en la red lan cómo en la red Openvpn. En el caso de la regla de geolocalización que se nos crea al instalar qufirewall y que, en este caso, lo que hace es permitir el acceso a nuestro nas de las ips correspondientes a España existe y funciona siempre y cuando debajo de ella, en este caso, abajo del todo, exista una regla que DENIEGUE todo el tráfico restante de los demás paises. Sin esa regla de DENEGAR TODO todas las demás reglas no sirven para nada ya que al no existir lo que ocurre es que está funcionando la regla contraria que sería la de PERMITIR TODO, o lo que es lo mismo, que no tuviéramos firewall.

[Raulitroxxx]

Nada, para hacer todo correcto y desde cero, he desinstalado y he instalado de nuevo qufirewall, y efectivamente me da el orden que me dices y me detecta la puerta de enlace como me indicas (192.168.1.0/24), hasta ahí todo bien, pero vuelvo al mismo fallo.

O quito la regla de DENEGAR todo o me bloquea la VPN en el iphone (me conecta pero no navego ni puedeo ver app). La única solución que le vi el otro día era quitar esa regla y meter reglas con 14 paises por regla hasta completar todos y así me iba. No se si se te ocurre que puede pasar.

Por otro lado, en el router la VPN solo me funciona y la redirecciono a la ip local del nas, si lo hago a la 10-8.0.0 tampoco me funciona la VPN.

Perdona tanta coñazo, pero es que ya es cabezonería saber porque pasa el bloqueo, yo he pensado que pueda ser que DENEGAR todo entienda otra vez que está españa dentro o que bloquease algún país que afecte a ios, pero no, porque el otro día metí todos los países menos españa.

Eso sí, como dices están todas las reglas mas ordenadas ahora 

[yeraycito]

La red que se crea con Openvn se podría decir que es una " red virtual " y esta red pasa a través de la ip real de tu nas. Por tanto, en el router tienes que hacer la redirección y abrir el puerto de Openvpn a la ip de tu nas asegurándote de que use el protocolo UDP.     NO a la de Openvpn.

En cuanto al iphone sigo pensando lo mismo. Pon las reglas en qufirewall EXACTAMENTE igual que te he dicho antes y poniendo como regla de Openvpn 10.8.0.0/24

Si aun así no te funciona el iphone prueba a poner la regla de Openvpn justo encima de la regla de DENEGAR TODO y debajo de la regla de España.
Quedaría así:

 - Aplicación

 - Protección de acceso de IPS

 - Regla de acceso lan 192.168.1.0/24

 - Regla de acceso sólo a España

 - Regla de Openvpn 10.8.0.0/24

 - Regla de DENEGAR TODO

Si aun así tuvieras problemas de acceso en el iphone posíblemente se debería a tema de DNS. Para resolverlo, en tu iphone en la aplicación Openvpn y en el apartado DNS pones lo siguiente:    10.8.0.1

Es lo último que te comento, no te puedo ayudar más.