Seguridad acceso externo al NAS Certificado contratado y OpenVPN
#1
Hola:

Intento configurar la mayor seguridad de acceso a mi NAS desde fuera de mi LAN.

Para ello me he desvinculado de myqnapcloud contratando un dominio y un servidor DDNS así como un certificado.

Ya tengo todo funcionando con mi dominio y mi certificado.

Ahora quería aumentar la seguridad con una VPN, pero veo que utiliza otro certificado.

OpenVPN y el uso de mi certificado son complementarios o si uso OpenVPN el tener mi propio certificado no me sirve para nada?

Es decir mi certificado que he comprado solo me sirve si accedo por https al servidor web en el puerto que lo hay colocado y no lo puedo usar para el OpenVPN

Es así?

Saludos y gracias.
  Responder
#2
(28-01-2022, 08:25 PM)jaht escribió: Hola:

Intento configurar la mayor seguridad de acceso a mi NAS desde fuera de mi LAN.

Para ello me he desvinculado de myqnapcloud contratando un dominio y un servidor DDNS así como un certificado.
Hola
Está bien si quieres tener tener destino de dns y subdominio.

(28-01-2022, 08:25 PM)jaht escribió: Ya tengo todo funcionando con mi dominio y mi certificado.
Correcto así cuando tu navegas a tu web por https el certificado te asegura que va bajo cifrado.

(28-01-2022, 08:25 PM)jaht escribió: Ahora quería aumentar la seguridad con una VPN, pero veo que utiliza otro certificado.

OpenVPN y el uso de mi certificado son complementarios o si uso OpenVPN el tener mi propio certificado no me sirve para nada?
Es correcto, no tienen nada que ver ambos certificados.
OpenVPN usa su propio certificado entre los clientes de OpenVPN y el servidor de OpenVPN.
(28-01-2022, 08:25 PM)jaht escribió: Es decir mi certificado que he comprado solo me sirve si accedo por https al servidor web en el puerto que lo hay colocado y no lo puedo usar para el OpenVPN

Es así?

Saludos y gracias.

No te preocupes que ha de ser así y no hay pérdida de seguridad alguna.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#3
Hola:

Gracias por contestar.

Entonces veo dos escenarios de seguridad en el acceso externo:

1.  Certificado digital instalado en el NAS  (el de myqnapcloud u otro comprado o autofirmado)

Nos permita acceso web seguro (https sobre el puerto 443 que es el único puerto que tengo abierto ahora en el router) ¿mejor cambiar el puerto?
Me permite el uso de Qfile, Qvideo  (estos utilizan https???)
Si quiero usar DLNA (VLC , PLEX ...) he de configurar otros servicios  (FTP,FTPS,SFPT, SMB, NFS ??) QTS 5 me deja telnet, SSH, SNMP y para FTP veo que hay que instalar quFTP

2.  Montar una VPN

Configuras todo en tu red LAN y luego añades la VPN y desde fuera es como si estuvieras en tu red LAN



¿Cuál de las dos opciones va a dar mejor seguridad y/ o  mejora rendimiento?

Saludos y gracias
José
  Responder
#4
Hola

Sin duda la segunda.

El tema de exponer por ejemplo algo con ssl como un wordpress es que tienes que estar pendiente de actualizaciones.

Pero esto pasa en cualquier sistema, y sobre todo si sacan vulnerabilidades tipo zero day.

Es por eso que no se recomienda exponer la pantalla de login de QTS, Qphoto,…a internet.


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#5
No termino de ver claro la seguridad en la VPN.

Yo estoy montando una NAS para que mi mujer y mis dos hij@s tenga ahí su nube y puedan guardar cosas desde sus móviles y sus ordenadores y las tengan accesibles allí donde estén. Hasta ahí bien.

Pero además voy a dar acceso a ver fotos y videos a 6 sobrin@s y 6 cuñad@s. Estos, al usar la VPN, se conectarán y será como si estuvieran en mi LAN

Lo que pretendo configurar en los equipos remotos es Qfile para mi mujer y mis dos hij@s y luego un acceso DLNA para todos. Por lo tanto será la aplicación Qfile y otra aplicación que soporte DLNA la que corra en los equipos remotos

¿Q ocurre si uno de ellos tiene un virus en su equipo? ¿sería como si tuviera un virus y se conectase en mi casa a la LAN? ¿o como usan unas aplicaciones específicas no puede un virus pasarse al NAS o a algún equipo que esté conectado a la LAN? Ya ves mi ignorancia en estos temas.


Por cierto, cuando actualicé de QTS 4.x a QTS 5, el escritorio del servicio web, me sale con los iconos muy grandes y no he encontrado donde cambiar la resolución del escritorio web-


Muchas gracias.
  Responder
#6
Hola, la opción más segura para conectarte desde el exterior a tu nas y, de paso, a tu red local es con una vpn.
Puedes ver cómo instalarla aquí: https://www.qnapclub.es/showthread.php?tid=4295

El sistema operativo del nas es un Linux modificado, si te conectas a el con equipos windows los virus de windows no afectan a linux, y si lo haces desde dispositivos móviles lo mismo.
  Responder
#7
Hola y gracias.

Lástima que para mi Nas  TS230  aún no está disponible QVPN Service 3. Pero bueno ya tengo funcionando mi OpenVPN.

Lo que no sé es si vale la pena dejar el puerto por defecto 1194 o poner otro aumentará la seguridad. 

Tampoco se si con mi portatil, cuando estoy conectado a la VPN, todo el tráfico va por la VPN al NAS ( aunque este accediendo a otras web como un qnapclub.es) o solo redirecciona el tráfico que va a la IP Interna de mi NAS   

Por otro lado estoy mirando si es posible usar mi dominio en mi red interna. Mi dominio apunta a mi IP externa y cuando entro al servidor web del NAS desde mi red interna y ahora desde fuera de la red por VPN, me sale que el certificado no es valido y por tanto el sitio no es seguro. Es solo una cuestión estética  ya que el certificado está a nombre de mi dominio y no de IP interna.

He mirado si en el router se puede configurar pero tiene  tantas cosas que ni me aclaro (movistart) o a lo mejor estoy buscando algo que no existe, redireccionar en la red interna un dominio a una ip interna en vez de que salga a internet.   

Saludos y gracias
  Responder
#8
Hola

El cambio de puerto está bien para evitar los bots. Puedes cambiarlo a cualquiera por encima de 1024 y menor de 65535.
Importante que uses udp.

Usar el certificado en tu casa, bueno es posible, pero poco habitual, se supone que tu confías en tus propias máquinas. Con agregar la excepción en el navegador cuando accedas por primera vez por https, te evitas el aviso.

Otra forma sería agregar en el archivo “host” de tu ordenador algo similar a
Nombre.dominio.com 192.168.x.y
Es decir la dirección de tu nas y la ip local de tu nas.
Pero tendrías un problema cuando ese equipo esté fuera de tu red ya que NO resolvería la ip que está obligada por el archivo “host”.
Esto está bien para equipo fijos de tu red, pero no para portátiles.

Y luego está lo que comentas del router, tienes que ver si permite asignar nombre / dominios a ip locales.


Un saludo

Agur eta ondo ibilli

Mon (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be y QHora-301w)
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#9
(30-01-2022, 08:22 PM)jaht escribió: Lo que no sé es si vale la pena dejar el puerto por defecto 1194 o poner otro aumentará la seguridad. 

Tampoco se si con mi portatil, cuando estoy conectado a la VPN, todo el tráfico va por la VPN al NAS ( aunque este accediendo a otras web como un qnapclub.es) o solo redirecciona el tráfico que va a la IP Interna de mi NAS   

Por otro lado estoy mirando si es posible usar mi dominio en mi red interna. Mi dominio apunta a mi IP externa y cuando entro al servidor web del NAS desde mi red interna y ahora desde fuera de la red por VPN, me sale que el certificado no es valido y por tanto el sitio no es seguro. Es solo una cuestión estética  ya que el certificado está a nombre de mi dominio y no de IP interna.


Hola, lo de cambiar el puerto por defecto de la vpn NO es obligatorio pero SI recomendable para despistar a "los malos", Esto es válido también para otros servicios y configuraciones.

Si te conectas con tu portatil en tu casa, o sea, en la red local, la vpn es innecesaria. Si lo haces desde el exterior TODO el tráfico de salida pasa por la vpn hasta el servidor vpn que está en tu nas. Lo que no se es si luego vuelve a salir a internet a través de tu router. En mi Opnsense para que eso ocurra hay que crear una regla de salida en el router.

Un dominio es una cosa y un certificado otra. Certificados hay de varias clases y una de ellas son los autofirmados, éstos dan el error de sitio no seguro tanto en la red interna cómo al acceder desde el exterior. Si utilizas un certificado de Cloudflare o de LetsEncrypt y accedes desde el exterior a tu dominio NO dan ningún error.
  Responder
#10
(28-01-2022, 08:25 PM)jaht escribió: Para ello me he desvinculado de myqnapcloud contratando un dominio y un servidor DDNS así como un certificado.

Hola,
cuando en su día configuré mi openvpn y exporté el fichero de configuración para los clientes, observé que venía referenciada la ip pública del router (línea: remote <ip> <puerto>) . Como mi ip pública no es estática del todo, la cambié por mi DDNS de myqnapcloud (XXXXXX.myqnapcloud.com) y de momento veo que no me ha fallado (aunque tampoco hago un uso súper intensivo de la vpn últimamente).

¿Puedo preguntarte por qué has necesitado o preferido contratar dominio y DDNS diferente?
TS-253A 2x4TB RAID1 8GB RAM
“La inteligencia es la habilidad de evitar hacer trabajo y conseguir que el trabajo se haga.” (Linus Torvalds)
  Responder




Usuarios navegando en este tema: 2 invitado(s)