Acceso al nas con Wireguard, SMB, Qmanager y más
#1
Como le han alargado la vida los señores de Qnap a mi nas me he vuelto, por el momento, a QTS. Es muy posible que lo que explique aquí no tenga que ver con el nas pero por si acaso. Como digo, he vuelto a instalar QTS con la última versión de firmware. Tengo instalado wireguard en opnsense en un mini-pc. Tengo en un ordenador que está en la misma red local que el nas y con el mismo rango de ips que el nas una carpeta compartida. En el nas, para probar, tengo otra carpeta compartida. Tengo activos el smb en el nas y en el ordenador. Con wireguard desactivado en el móvil accedo sin problemas mediante wifi a las dos carpetas compartidas nas - ordenador. Si activo wireguard en el movil y accedo mediante conexión de datos desde el exterior accedo sin problemas a la carpeta compartida por smb del ordenador pero no puedo acceder a la carpeta compartida del nas. Con wireguard activado y accediendo mediante wifi en la misma red local ocurre exáctamente lo mismo. Con wireguard desactivado y conectado por wifi accedo sin problemas a la ip del nas. Con wireguard activado no. Imagino que será problema de wireguard, aunque tengo mis dudas y no se que puede ser. 

Por si acaso he abierto un post en el foro de Opnsense que se puede ver aquí:    https://forum.opnsense.org/index.php?topic=22900.0

Con OpenVPN no he probado y es posible que luego pruebe. ¿ pasa esto con OpenVpn ?

Otra cosa. Siguiendo las recomendaciones de seguridad de Ganekogorta he desabilitado la cuenta admin del nas y he creado un usuario para poder acceder. Me he descargado las aplicaciones para el nas Qmanager y Qfile para el móvil. Accediendo con el móvil por wifi en la misma red local ( sin wireguard activado ) esas aplicaciones me reconocen la existencia del nas sin problemas. Accedo mediante ip local NO por Qnap ID. Al intentar acceder pide usuario y contraseña que el usuario viene por defecto como admin. Por supuesto, al estar la cuenta admin desabilitada pongo las credenciales del nuevo usuario. El resultado es que no se puede acceder porque las credenciales de acceso son inválidas. Eso es lo que dicen las aplicaciones. Investigando por ahí he encontrado una web antigua de Qnap que explica que el acceso con esas aplicaciones tiene que ser con la cuenta admin. ¿ Sigue siendo así ? Desde luego lo parece.
  Responder
#2
Pues al final el problema con wireguard si era culpa del nas. Y el problema se llama QuFirewall. Lo tenía activado con las reglas básicas que trae por defecto y al desactivarlo se ha solucionado todo. Por lo menos lo del acceso a la carpeta compartida del nas. Lo de las aplicaciones móviles de Qnap sigue igual que antes. Desactivada la cuenta admin y accediendo con las nuevas credenciales no se puede. Aparte de eso en el nas salta el aviso de Login Fail ( http/https ). Así que es probable que sólo se pueda acceder mediante la cuenta admin al igual que el acceso por ssh.

Por cierto, para seguir usando QuFirewall en el nas he hecho lo siguiente. Partiendo de la configuración básica que trae por defecto QuFirewall con las reglas sin tocar incluida la de acceso por geoip sólo a España he creado dos reglas manuálmente.

 - Una dando acceso a la ip del cliente Wireguard.

 - La segunda dando acceso a la ip del móvil sin wireguard cuando está conectado en la red local mediante wifi. Lo que no me explico es cómo se podía acceder a la ip del nas desde un ordenador desde la red local y sin embargo desde el movíl conectado por wifi en la misma red local con wireguard desactivado y con el mismo rango de ips que el ordenador y el nas no se podía.

A continuación he puesto esas dos reglas ( subiéndolas para arriba ) entre la regla ya configurada del adaptador del nas y la de geoip.

Ala, me voy a dormir que luego viene Ganekogorta echándome la bronca por estar despierto tan tarde...... Big Grin Big Grin Big Grin
  Responder
#3
Hola Yeraycito

Te confirmo que las aplicaciones Qfile y Qmanager de iOS funcionan con otro usuario que no sea admin. Yo lo tengo así.

En cuanto a QuFirewall, está dando bloqueos ya que no tenemos reglas para rangos de red de la vpn. No eres el primero al que le pasa.
El otro día estuve echando un cable a un usuario vía Telegram con caso similar, después de varias horas…era QuFirewall. Y mi mira que en mis primeras instrucciones le indique que lo desactivara. [emoji2371]

Así que como primera recomendación, para pruebas desactivar QuFirewall y si todo va bien activarlo. ¿Que deja de funcionar la nueva función? Toca revisar las reglas de Qufirewall.

En tu caso, que tienes un pfsense. Yo no habilitaría el de la nas (o como mucho sólo para permitir accesos nacionales), al final te puede dar más problemas ya que tienes dos cortafuegos en serie y has de hacer coincidir ciertas reglas o se te pasará el crear la de la nas.


En cuanto a tus horas de sueño, tienes hechos polvo tus ciclos circadianos [emoji23] podemos decir que eres un “gautxori” [emoji6]
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#4
Pues si las aplicaciones funcionan con otro usuario que no sea admin es muy extraño que a mí no me deje en android. Pongo el nombre de usuario correspondiente con su correspondiente contraseña de acceso sin errores. Activo ssl en la aplicación porque está configurado así en el nas, le doy a conectar, me avisa de que va a conectar con otro certificado y que si lo acepto, lo hago y a continuación me sale denegado acceso credenciales incorrectas o usuario desabilitado, o algo así. Y nada, no conecta. Es el mismo mensaje que aparece via web cuando desabilitas la cuenta admin y quieres volver a entrar con esa misma cuenta.
  Responder
#5
Hola

Sería cuestión de probar con un iPhone a ver si el problema es sólo Android. Pero poco más podemos hacer, son aplicaciones cerradas.

A ver si hay alguien por el foro que nos pueda confirmar algo…o lanza un tiquet a qnap a ver qué dicen. [emoji2371]

Por cierto, acabo de conseguir montar un docker con wireguard. Quiero hacer más pruebas y ya pondré un nuevo mensaje en su correspondiente sección.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#6
Resuelto el problema con muchos matices. He desinstalado QuFirewall y he vuelto a activar la cuenta admin para probar. He reiniciado el nas. A continuación he hecho varias pruebas. Para hacerlas he utilizado Qmanager para Android y antes de hacer cada una de ellas he borrado datos y caché de esa aplicación para realizarlas como si fuera recién instalada. Todas las pruebas han sido con wireguard en el móvil desactivado y conectado mediante wifi en la red local. La configuración de Qmanager para acceder es mediante la ip local del nas, nada de Qnap ID ni nada de myqnapcloud.com.

Resultados:  Qmanager detecta el nas siempre a la primera.

1 - Si accedo por una cuenta que no sea la de admin con la opción de acceso por https en el nas ( forzar conexión segura ) y activado https en Qmanager con su correspondiente puerto detectado sin problemas: Error al conectar - Sus credenciales de inicio de sesión no son correctas o su cuenta ya no es válida.

2 - Si accedo con la cuenta admin con la opción de acceso por https en el nas ( forzar conexión segura ) y activado https en Qmanager: Error al conectar - Sus credenciales de inicio de sesión no son correctas o su cuenta ya no es válida.

3 - Si accedo con una cuenta que no sea la de admin desactivando la opción de forzar conexión segura, o sea, manteniendo el acceso al nas tanto por http como por https y conectando con Qmanager por http ( opción por defecto ): Error al conectar - Sus credenciales de inicio de sesión no son correctas o su cuenta ya no es válida.

4 - Si accedo con la cuenta admin con la opción de forzar conexión segura en el nas DESACTIVADA manteniendo en el nas el acceso tanto por http cómo por https y accediendo con Qmanager por http: TODO BIEN

Una vez comprobado que el paso 4 es el que funciona activo la conexión wireguard en el móvil y pruebo a acceder con Qmanager tanto desde el exterior con la conexión de datos del móvil cómo en la red local a través del wifi. Resultado: TODO BIEN

Si aplico el paso 4 a la aplicación Qfile se obtienen los mismos resultados: TODO BIEN

La última versión de Android a dia de hoy en Android 11. Las pruebas las he hecho con un Samsung Note con Android 10

Conclusiones:

 - En Android las aplicaciones móviles de Qnap sólo funcionan con la cuenta admin del nas

 - El acceso al nas con esas aplicaciones sólo funciona mediante http.

Para terminar una curiosidad. En el nas podemos escoger la versión más reciente y la más antigua de SMB. Por defecto la opción más reciente es SMB 3 y la más antigua es SMB 2. Si cambio la versión más antigua SMB 2 por SMB 3, en Android 10 el SMB no conecta. Si dejo las opciones por defecto SI.
  Responder
#7
Resuelto y descubierto el problema totálmente. Se producía un error impidiendo el acceso al nas con el resultado de Error al conectar - sus credenciales de inicio de sesión no són válidas tanto con las aplicaciones móviles de Qnap o por smb mediante un gestor de archivos en Android. Sin embargo accediendo desde un ordenador linux por smb el acceso se producía sin problemas. Como digo ya está resuelto y el problema radicaba en la longitud de la contraseña de acceso al nas. El nas Qnap admite un tamaño máximo de 64 caracteres ( mayúsculas, minúsculas, símbolos y números ). Al hacer uso de ese tamaño máximo de contraseña pasaba lo indicado anteriórmente. He reducido el tamaño de la contraseña de inicio de sesión al nas a 50 caracteres y ha desaparecido el problema. Se accede bien tanto con las aplicaciones móviles de Qnap cómo desde un explorador de archivos en android por smb, tanto en la red local cómo desde el exterior con Wireguard, tanto por http cómo por https, con la cuenta admin o cualquier otra cuenta. Las pruebas que hice anteriórmente fueron con Android 10 y ahora las he hecho con Android 11 y los problemas citados antes persistian. Por tanto el problema parece ser que a Android no le sientan bien contraseñas de un tamaño muy grande.
  Responder
#8
Hola

Y yo me quejaba de la longitud de mis claves… ¿más de 50? ¿Haces copia-pega o la escribes a mano?
Yo tuve problemas por exceso de longitud de clave para enrolar la nas a un dominio.
Tuve que acortarla para poder unirme y luego cambiarla para dejarla como estaba.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#9
La seguridad ante todo. Uso un gestor de contraseñas si no cualquiera se acuerda  Tongue
  Responder




Usuarios navegando en este tema: 1 invitado(s)