Aprende a configurar un túnel VPN entre dos routers QNAP Qhora-301W

Aprende a configurar un túnel VPN entre dos routers QNAP Qhora-301W

Sergio De Luz

El router QNAP Qhora-301W es un equipo orientado al ámbito de pequeñas y medianas empresas, donde se necesite segmentar las redes locales con VLAN y que necesitan disponer de servicios de VPN para conectarse remotamente. Este router no solamente tiene unas características hardware de gama alta, como varios puertos 10G Multigigabit, Dual-WAN e incluso Wi-Fi 6 con doble banda simultánea, también dispone de un sistema operativo QuRouter que nos permitirá configurar túneles VPN. Hoy en RedesZone os vamos a enseñar cómo podemos establecer un túnel VPN site-to-site con OpenVPN en estos routers.

¿Para qué hacer un túnel VPN entre dos routers?

Generalmente se configura un servidor VPN para que los diferentes clientes se conecten a la red local de casa o de la empresa. En este caso de uso tenemos la posibilidad de acceder a los recursos locales vía VPN, y acceder a Internet a través de nuestra propia conexión a Internet. En otros casos, podemos hacer una redirección del tráfico de red de Internet a través del servidor, y salir a Internet a través de este servidor, con el objetivo de tunelizar todo el tráfico desde el origen hasta el destino. Este tipo de arquitecturas de VPN se denominan Roadwarrior.

Hay otro escenario llamado Site-to-Site, en este caso tenemos la posibilidad de unir dos sedes (ya sea una casa o una empresa) a través de VPN. Dependiendo de la configuración, se podrá tener acceso solamente a los recursos locales, o también hacer redirección de todo el tráfico a través de la VPN. En este caso, todos los clientes WiFi o cableados conectados al router, saldrán a Internet a través del servidor VPN ya que nuestro router se ha conectado en modo cliente.

En el siguiente esquema podéis ver cómo se puede configurar un Site-to-Site (arquitectura de la izquierda) y cómo se puede configurar el Roadwarrior (arquitectura de la derecha):

Por ejemplo, si quieres saltarte las actuales restricciones de Netflix y compartir una misma cuenta, podemos usar dos routers con servidor-cliente VPN para engañar al sistema de detección de cuentas compartidas. De esta forma, tendremos un servidor VPN configurado, este servidor debe ser accesible a través de Internet y configurar un DNS dinámico para localizar el servidor a través de un dominio. En el caso del cliente VPN integrado en el router, se conectará al servidor, y todo el tráfico de cara a Internet de los clientes cableados o WiFi conectados viajarán a través del túnel hasta el servidor, saliendo a Internet con la misma dirección IP.

El router QNAP Qhora-301W nos permite configurar tanto el servidor OpenVPN, como también el cliente OpenVPN. Se podría utilizar Wireguard si el router soportase cliente con Wireguard, sin embargo, actualmente solo soporta este protocolo en modo servidor y no en cliente.

Configuración de los routers

En el ejemplo que os vamos a indicar a continuación, hemos utilizado dos routers QNAP Qhora-301W, uno está configurado como servidor y el otro como cliente. A continuación, podéis ver la configuración más relevante:

  • Router que actúa como servidor.
    • Este router debe tener IP pública obligatoriamente, para que sea accesible a través de Internet.
    • Necesitamos configurar el DDNS del router.
    • La LAN puede ser 192.168.100.1 que es la que viene de forma predeterminada configurada.ç
    • En este equipo es donde tenemos que configurar el servidor OpenVPN
  • Router que actúa como cliente.
    • Este router no tiene que tener IP pública de forma obligatoria, aunque lo más normal es que sí la tenga. Puede estar detrás de CG-NAT y seguirá funcionando correctamente al actuar en modo cliente.
    • La LAN debe ser diferente a la del destino, por ejemplo, podemos poner 192.168.200.1. De esta forma, no tendremos conflicto de LAN entre las dos sedes.

Ahora que ya sabéis cómo sería la configuración global de la arquitectura de red privada virtual que vamos a configurar, procedemos con la configuración del servidor y también del cliente.

Configuración del servidor OpenVPN del router

Lo primero que debemos hacer es acceder al router con nuestras credenciales de acceso, asegurarnos de que tenemos la conexión a Internet funcionando, y que el operador nos haya proporcionado una dirección IP pública, para ser accesibles desde Internet. También deberíamos asegurarnos de que la LAN de este router es la 192.168.100.1 como hemos mencionado antes.

Una vez que estas dos cosas las hayamos configurado y comprobado, vamos a crear un DDNS en el router, para acceder remotamente sin necesidad de saber la IP pública. Para hacerlo, necesitamos iniciar sesión con nuestro QNAP ID y posteriormente elegir un DDNS.

En la sección de QuWAN iniciamos sesión con nuestra cuenta de QNAP, tenemos que poner el nombre de usuario que es el email de registro, y también la contraseña de acceso. Una vez que pinchemos en «Aplicar», podemos elegir el nombre del dispositivo, que será el DDNS que va a crear automáticamente en myqnapcloud.com. Una vez elegido, pinchamos en «Aplicar». Cuando hayamos aplicado los cambios, veremos que ahora en «Configuración QuWAN» tenemos diferentes opciones, pero no debemos tocar nada más de aquí.

En la sección de DDNS podemos activar el DDNS y automáticamente se sincronizará el dominio DDNS de myqnapcloud.com con la dirección IP pública que hemos conseguido a través de la WAN de Internet. Una vez hecho, nos saldrá que está funcionando todo correctamente, y nos indicará el resultado de la última actualización de DDNS.

Ahora llega el momento de configurar el servidor OpenVPN en la sección de «Servidores QVPN». Lo primero que debemos hacer es crear un nombre de usuario y contraseña para acceder correctamente, una vez que creamos el usuario y clave, procedemos a habilitar este usuario, ya que podemos habilitar y deshabilitar los que nosotros queramos.

En la sección de «Servidores QVPN / Configuración de QVPN», nos vamos a la sección de OpenVPN y procedemos a configurarlo. Pinchamos en la sección de «Configuración» y podemos configurarlo de la siguiente forma:

  • Grupo de IP del cliente: 10.8.0.X
  • Puerto: UDP y el número de puerto lo cambias para que no sea el predeterminado.
  • Cifrado: alto
  • DNS: podemos poner el típico 8.8.8.8 que son los DNS de Google.

Otras opciones que debemos activar son las de «Use esta conexión como pasarela predeterminada para dispositivos remotos» y también la que está justo debajo, aunque nuestro consejo es que desactivéis el enlace de VPN comprimido, porque apenas mejora el rendimiento y en el pasado ha habito ataques relacionados con la compresión.

Una vez configurado, habilitamos el servidor para que se inicie, no debería darnos ningún tipo de error. Ahora tenemos que pinchar en el botón de «Descargar configuración».

La configuración es el archivo con extensión ovpn, lo guardamos donde nosotros queramos para posteriormente subirlo al otro router, no obstante, también lo podemos usar nosotros mismos para acceder a la red local de casa o de la oficina.

Este archivo que nos hemos descargado debemos abrirlo con un bloc de notas, y modificar la dirección IP que aparece en «remote IP 11943 udp» por el dominio DDNS que hemos registrado en el servidor. Por ejemplo, en nuestro caso sería casanetflix1.myqnapcloud.com.

Ahora que ya tenemos configurado el servidor, procedemos a configurar el segundo router. No obstante, antes de hacerlo nuestro consejo es que te conectes con un ordenador o PC desde otra red, para comprobar que el servidor está funcionando correctamente y que acepta conexiones.

Configuración del cliente OpenVPN del router

En este caso, comprobamos que tenemos conexión a Internet de forma correcta, no importa que estemos en CG-NAT o tengamos IP pública, lo más normal es esto último, pero es posible que tengas este Qhora-301W detrás del router del operador. También debemos asegurarnos de que la LAN de este router es la 192.168.200.1 para no tener ningún conflicto con la LAN del primer router.

En este caso no tenemos que configurar nada del DDNS, simplemente tenemos que añadir el perfil que nos hemos descargado antes. Nos vamos a la sección de «Clientes QVPN«, pinchamos en el botón de color azul «Añadir perfil» y procedemos a añadirlo.

Ahora procedemos a elegir el archivo .ovpn que hemos descargado y modificado anteriormente, le damos un nombre al perfil y procedemos a poner el nombre de usuario y también la contraseña para autenticarse correctamente en el servidor.

Ahora que ya hemos añadido el perfil, lo único que tenemos que hacer es seleccionar el perfil en la parte superior, y pinchar en «Activar servicio de cliente QVPN«. Una vez que lo hayamos hecho, el router cliente se comenzará a conectarse con el servidor.

Si queremos comprobar si la conexión se ha establecido correctamente, podemos irnos a la sección de «Registros» en el cliente, y también en el servidor, donde nos aparecerá la conexión entrante que tiene el túnel VPN levantado.

En estos momentos, todo el tráfico de red del segundo router se enviará al primero a través del túnel que hemos configurado, de esta forma, todos los clientes cableados e inalámbricos se conectarán a Internet a través de la IP pública del router que actúa como servidor.

Tal y como podéis ver, la configuración del servidor y cliente es bastante sencilla e intuitiva, en unos 10 minutos tendremos todo perfectamente configurado para evadir bloqueos de Netflix, para acceder a la red local remota en cualquier momento etc. Debemos indicar que el servidor siempre tendrá el «control», ya que puede deshabilitar las credenciales de usuario en cualquier momento, y también permite expulsar al cliente del servidor en cualquier momento.

¡Sé el primero en comentar!