QVPN Service: Manual para configurar un servidor OpenVPN en un NAS QNAP


Una red privada virtual, o también conocida como VPN, nos ofrecen conexiones seguras para poder acceder a los recursos compartidos y a los servicios de nuestro hogar de manera fácil y rápida. Al crear una VPN en nuestro hogar, tan solo necesitaremos tener acceso a Internet para poder acceder a todos los recursos, y además, podremos salir a Internet a través de nuestra propia conexión VPN de casa, ideal por si nos conectamos en redes Wi-Fi públicas y no queremos que capturen y lean nuestra información, ya que todo el tráfico punto a punto va cifrado a través de la VPN.

Uno de los mejores sitios para configurar un servidor VPN es en un servidor NAS. El fabricante QNAP dispone de una aplicación completamente gratuita llamada QVPN Service que nos va a permitir configurar un servidor VPN muy fácilmente. Las principales características de QVPN Service es que permite crear un servidor VPN de tipo PPTP, L2TP/IPsec y también OpenVPN. En este manual nos vamos a centrar específicamente en la creación y configuración de OpenVPN en un servidor NAS de QNAP, también os enseñaremos cómo conectarnos a él con sistemas de escritorio Microsoft Windows y Android 7.0.

El servidor NAS de QNAP que nosotros hemos utilizado para la realización de este manual es el QNAP TS-253A, uno de los mejores NAS de 2 bahías que hemos probado hasta la fecha. El sistema operativo instalado es QTS 4.3.3, la última versión disponible a fecha de abril de 2017.

Configuración del servidor VPN en el QNAP

Antes de empezar con la configuración del servidor VPN, deberemos instalar la aplicación QVPN Service, habilitar el servicio Dynamic DNS (DDNS) que nos proporciona gratuitamente QNAP, y posteriormente configurar OpenVPN para permitir a los clientes VPN conectarse con nuestro servidor.

Instalación de QVPN Service

Lo primero que tenemos que hacer es acceder a nuestro servidor NAS a través de la dirección IP privada que nuestro router le ha proporcionado, tal y como hacemos siempre para entrar en la configuración de su sistema operativo a través del navegador web. Una vez dentro, lo primero que tenemos que hacer es instalar QVPN Service, por lo que procedemos a abrir “AppCenter” y en la barra de búsqueda ponemos: “QVPN” y automáticamente nos saldrá el software que se encargará de hacer de servidor VPN, aunque este software también tiene la opción de actuar como cliente VPN.

Una vez que lo hayamos instalado, en la página principal de QTS nos aparecerá un nuevo icono del programa QVPN Service, tal y como podéis ver a continuación:

Una vez que lo hayamos instalado, deberemos configurar el servicio Dynamic DNS si es que no lo tenemos ya en uso, o no usamos el propio servicio Dynamic DNS de nuestro router.

Configuración de myQNAPCloud para usar el servicio Dynamic DNS

En el menú principal del sistema QTS pinchamos sobre myQNAPCloud para registrarnos en este servicio gratuito de QNAP, y obtener algo muy importante: el servicio DDNS. El servicio DDNS es necesario para encontrar nuestro servidor VPN a través de un dominio, ya que normalmente en nuestro hogar tendremos direcciones IP públicas dinámicas, por lo que cada vez que reiniciamos el router la IP cambia automáticamente.

En el menú principal de myQNAPCloud pinchamos en “Empezar” para que nos salga directamente el asistente de configuración y registro.

Una vez que hemos pinchado en “Empezar” nos dará la bienvenida, y nos dirá los principales pasos que seguiremos con este asistente de configuración. Pinchamos en “Iniciar” para iniciar dicho asistente de configuración y empezar.

A continuación deberemos introducir un correo electrónico, una contraseña y nuestros datos: nombre y apellidos, fecha de nacimiento y de manera opcional nuestro número de móvil. Todo esto es necesario para darnos de alta en el servicio de QNAP Cloud.

Una vez que pinchemos en “Siguiente”, nos aparecerá la pantalla de inicio de sesión, aquí deberemos introducir el correo electrónico y la contraseña que hayamos puesto en el paso anterior. En estos momentos habrás recibido un correo electrónico de QNAP confirmando toda la información introducida.

Una vez que pinchemos en “Siguiente”, deberemos darle un nombre descriptivo a nuestro NAS, esto se usará para localizar el NAS de forma remota. Si por ejemplo ponemos de nombre “redeszone”, localizaremos el NAS a través del dominio “redeszone.myqnapcloud.com”, tal y como podéis ver aquí:

Cuando pinchemos en “Siguiente”, el asistente de configuración nos preguntará qué servicios queremos activar, por defecto están activados los siguientes servicios:

  • Configuración automática del router
  • DDNS
  • Publicar servicios online
  • CloudLink

Si solo queremos usar DDNS, marcamos únicamente esta opción. Si en un futuro quieres activar las otras funciones simplemente deberás hacerlo desde el menú principal de myQNAPCloud. Algo muy importante es la parte donde pone “Control de acceso”, es recomendable que esté en “Privado” para que no aparezca nuestro dispositivo en ningún resultado de búsqueda, ideal para proteger nuestra privacidad.

Si pinchamos en “Siguiente”, el asistente de configuración se encargará de completar todo el proceso de configuración elegido, esperamos unos segundos y a continuación nos aparecerá un resumen de lo que acabamos de hacer en el propio asistente de configuración.

Por último, si accedemos al panel principal de myQNAPCloud en la zona de “My DDNS” veremos que la actualización del dominio es correcta, nos aparecerá nuestra dirección IP pública, necesaria para localizar el servidor VPN y poder acceder a todos los servicios como FTP de manera fácil y rápida. En la siguiente fotografía podéis ver en detalle cómo quedaría:

Una vez que ya tenemos el dominio DDNS para localizar el servidor VPN, vamos con su configuración.

Configuración de OpenVPN dentro de QVPN Service

En el menú principal de QVPN Service tendremos acceso a todos y cada uno de los servidores VPN compatibles con la aplicación: PPTP, OpenVPN y L2TP/IPsec. En este menú también se nos mostrará el estado de los servidores, los clientes VPN conectados a los diferentes servidores, e incluso el estado de la conexión cliente VPN del propio NAS.

En este manual vamos a trabajar con OpenVPN, por lo que debemos irnos a la zona “Configuración del servidor VPN / OpenVPN”. Una vez que estemos aquí tendremos varias configuraciones que realizar:

  • Subred de la VPN elegida, por defecto es 10.8.0.0 pero podemos utilizar cualquier subred que nosotros queramos, siempre que sea con direccionamiento IPv4 privado.
  • Protocolo de la capa de transporte para OpenVPN, podremos elegir TCP o UDP, y también podremos elegir el puerto a utilizar, por defecto es 1194.
  • Número máximo de clientes que se pueden conectar simultáneamente al servidor VPN.
  • La longitud del cifrado simétrico, AES 128 bits o AES 256 bits.
  • Interfaz de red: los NAS de QNAP tienen la posibilidad de usar varias interfaces de red, aquí podremos elegir en qué interfaz queremos que el servicio “escuche” para las conexiones entrantes.

Una opción muy importante es “Use esta conexión como puerta de enlace predeterminada para dispositivos remotos“, esto nos va a permitir navegar por Internet a través del servidor VPN, ideal para proteger nuestra privacidad y seguridad si nos conectamos a redes Wi-Fi públicas. Os recomendamos usar esta opción si además de acceder a recursos compartidos de la red local, queréis que todas vuestras comunicaciones estén protegidas. Por último, tenemos la posibilidad de habilitar compresión y acelerar el rendimiento en conexiones de baja velocidad, y especificar los servidores DNS manualmente a los clientes VPN.

Una vez configurado el servidor a nuestro gusto, pinchamos en aplicar. A continuación deberemos descargar la configuración para los clientes, si pinchamos en “Descargar certificado” el NAS nos proporcionará tanto el certificado como el fichero de configuración en formato ZIP. Gracias a esta descarga podremos conectarnos rápidamente con los clientes OpenVPN sin necesidad de crear nosotros la configuración que en ocasiones es complicada.

Crear usuarios para el servidor OpenVPN

Cuando hayamos configurado el servidor OpenVPN, deberemos crear un usuario para poder acceder a dicho servidor, ya que cuando nos vayamos a conectar nos pedirá iniciar sesión con estos credenciales. En el panel de control en la sección de Privilegio y Usuarios deberemos crear uno nuevo, con el nombre y la contraseña que vosotros queráis, incluso podéis usar los usuarios ya creados anteriormente:

Cuando lo hayamos creado, nos vamos nuevamente al menú del OpenVPN y pinchamos en “Configuración de privilegios”, aquí pinchamos en “Añadir usuarios VPN”:

Una vez que hayamos pinchado en “Añadir usuarios VPN” nos saldrá el listado de usuarios locales que tenemos dados de alta en el sistema, elegimos el que nosotros queramos y le damos permisos para poder iniciar sesión vía VPN, tal y como podéis ver aquí:

Una vez que pinchemos en aplicar, estos credenciales de usuario son los que deberemos introducir cuando nos conectemos a la VPN.

Configuración del router para poder usar el servidor OpenVPN

El router que nos proporciona conectividad en Internet en nuestro hogar también debemos configurarlo para poder usar el servidor OpenVPN del NAS. Lo primero que tenemos que hacer es abrir un puerto (Port forwarding) hacia la dirección IP privada del servidor NAS, este puerto será de tipo TCP o UDP dependiendo de lo que hayáis elegido anteriormente, y deberemos abrir el puerto 1194 (puerto por defecto) o el puerto que hayáis elegido para vuestro servidor OpenVPN.

Al habilitar el servidor OpenVPN en otra subred distinta a vuestra red local, si queréis acceder al propio NAS no es necesario hacer nada más. Sin embargo, si quieres acceder a los recursos de la red local y poder acceder a Internet a través de la VPN, debéis crear una ruta estática en vuestro router. En la zona WAN encontraréis un menú que se llama “Static Route” o similar, en este menú deberéis poner:

  • Dirección de red: 10.8.0.0 (por defecto esta es la subred del OpenVPN)
  • Máscara de subred: 255.255.255.0
  • Gateway: la dirección IP privada de vuestro servidor NAS

De esta manera, con el reenvío del puerto y la ruta estática, podréis usar el servidor VPN tanto para acceder a los recursos del servidor NAS, los recursos de tu red local así como acceder a Internet pasando por dicho servidor.

Configuración de Windows para conectarnos al servidor OpenVPN creado

Lo primero que tenemos que hacer para utilizar OpenVPN en Windows es descargarlo, podéis descargarlo desde la página web oficial de OpenVPN. Una vez descargado, debéis instalarlo como cualquier otro programa de Windows, con todas las opciones por defecto tendremos todo instalado sin problemas y estaremos listos para conectarnos al servidor VPN que hemos creado.

Cuando nos descargamos el fichero comprimido del apartado OpenVPN, si lo descomprimimos tendremos el certificado digital de la autoridad de certificación, el fichero de configuración de OpenVPN también un Readme donde nos indicarán las instrucciones que debemos realizar para usarlo.

El fichero de configuración que genera automáticamente es el siguiente:

Tal y como podéis ver, usaremos AES-256-CBC para el canal de datos, y en el canal de control usaremos TLS con varias suites de cifrado. Para poder conectarnos, debemos copiar o mover la carpeta entera a la ruta “C:\ Archivos de programa \ OpenVPN \ config” tal y como podéis ver aquí:

Una vez realizado, ejecutamos OpenVPN y en la parte inferior derecha de tu escritorio de Windows te aparecerá el icono de OpenVPN. Pinchamos con el click derecho del ratón y pulsamos sobre “openvpn” para posteriormente pinchar en “Connect”. El nombre de “openvpn” se puede cambiar si cambiáis el nombre del fichero de configuración .ovpn de la carpeta que habéis copiado anteriormente.

Cuando pinchemos en “Connect”, automáticamente nos pedirá nombre de usuario y contraseña para conectarnos:

Una vez introducido, veremos toda la secuencia de establecimiento de la conexión OpenVPN con el servidor:

Si queréis que no os pida nunca más el usuario ni la contraseña de acceso en los diferentes sistemas operativos donde os vayáis a conectar, simplemente debéis crear un fichero de texto en la misma ruta donde se encuentra el fichero de configuración descargado y la ca.crt con la siguiente información:

usuario

contraseña

Por ejemplo nosotros hemos creado un fichero llamado “user-pass.txt” con los credenciales:

Y en el fichero de configuración openvpn.ovpn debéis modificar la directiva:

auth-user-pass

Y debéis poner:

auth-user-pass [nombre_fichero_texto]

A continuación podéis ver cómo quedaría:

Cuando nos hayamos conectado al servidor OpenVPN, en el menú principal del servidor NAS de QNAP nos aparecerá dicha conexión. Nos pondrá la dirección IP de origen, destino, método de conexión, hora de inicio, duración y también el nombre de usuario utilizado en la conexión:

Y ya habremos establecido correctamente la conexión OpenVPN y podremos acceder al NAS, a los recursos de la red local y acceder a Internet pasando por nuestro servidor VPN.

Configuración de Android para conectarnos al servidor OpenVPN creado

En sistemas operativos Android tenemos dos aplicaciones OpenVPN que funcionan realmente bien. La aplicación oficial es la siguiente:

OpenVPN Connect
Developer: OpenVPN
Price: Free

Sin embargo, nosotros utilizamos esta otra aplicación porque en algunos terminales sobre todo de Samsung tiene problemas de permisos a la hora de leer los certificados desde la SD:

OpenVPN für Android
Developer: Arne Schwabe
Price: Free

La configuración de estas aplicaciones son muy similares, simplemente debemos pasar la carpeta descargada del NAS descomprimida al terminal móvil, ya sea a la tarjeta micro SD o a la memoria interna. Una vez hecho esto, abrimos la aplicación e importamos la configuración con el fichero openvpn.ovpn. En el caso de que por ejemplo no cargue la CA, podremos hacerlo más tarde editando el perfil creado:

Pinchamos sobre “Editar” en el perfil creado, y nos vamos hasta la sección de “Enrutamiento” donde elegimos “Usar ruta predeterminada”, así enviaremos todo el tráfico por la VPN. También debemos irnos a la sección “Básico” donde debemos seleccionar el fichero ca.crt, por temas de permisos en las últimas versiones de Android no lo coge automáticamente.

Una vez hecho esto, podemos poner el usuario y contraseña directamente en la configuración, así no nos pedirá cada vez que nos conectemos esta contraseña. Por seguridad es recomendable que nos la pida cada vez, ya que si alguien roba nuestro móvil y lo desbloquea tendrá acceso a toda nuestra red interna de casa.

Por último, pulsamos sobre el perfil seleccionado para conectarnos al servidor VPN y nos saldrá el log de conexión completo, si pulsamos sobre la “llave” que está en la barra superior de Android, veremos la IP y el tráfico de datos a través de dicho servidor VPN.

Hasta aquí hemos llegado con nuestro manual de instalación, configuración y conexión de una VPN de tipo OpenVPN en un servidor NAS del fabricante QNAP. Tal y como habéis visto, aunque la configuración en un principio pueda parecer complicada, si sigues nuestros pasos podrás conseguirlo sin muchos problemas.

Si tenéis alguna duda sobre la configuración o algún problema a la hora de realizar esta configuración, podéis ponernos un comentario y os responderemos encantados.

Os recomendamos acceder a nuestra sección del fabricante QNAP donde encontraréis análisis de producto y también otros manuales.

Publicado por Sergio De Luz el 04 Mayo 2017 , actualizado el 27 Abril 2017

  • JAVIER ALVAREZ

    Tengo una duda aqui:
    “”si quieres acceder a los recursos de la red local y poder
    acceder a Internet a través de la VPN, debéis crear una ruta estática en
    vuestro router. En la zona WAN encontraréis un menú que se llama “Static Route” o similar, en este menú deberéis poner:
    Dirección de red: 10.8.0.0 (por defecto esta es la subred del OpenVPN)
    Máscara de subred: 255.255.255.0
    Gateway: la dirección IP privada de vuestro servidor NAS””

    En mi router tengo en seccion security/vpn tunnel
    local secure group
    remote secure group
    remote secure gateway

    Tengo que poner la dirección de red en local secure y remote secure?

    Muchas gracias

    • ¿Qué router es? Por lo que comentas parece que tiene la posibilidad de crear túneles VPN por él solo… Sección WAN o LAN suele estar la parte de ruta estática.

      • JAVIER ALVAREZ

        https://uploads.disquscdn.com/images/853dc4c9676072c92f132da61210c235bcffc45cf56233a884a9c439cd54c2ac.gif

        Hola
        Gracias por la ayuda, vuestra web es buenisima, una autentica escuela, de lo mejor.
        Tengo un cisco epc3925 y el qnap ts253a, en el nas ya tengo configurado open vpn. Sin abrir puerto 1194 en cisco en myqnapcloud lo comprueba y da correcto. En cisco redirecciono el puerto al nas. Pero me atranco en la direccion de red, te dejo una imagen del vpn tunnel del cisco.
        La idea es navegar con un pc y usar movil android con vpn propia. Si puedo hacerlo solo con el cisco mejor.
        Muchas gracias

        • Hola,

          Parece que esa VPN que incorpora el router es de tipo IPSec, y no de tipo OpenVPN. Te recomiendo usar la del QNAP ya que es más fácil de utilizar. Tan solo tendrás que abrir el puerto correspondiente en el router, y crear la ruta estática en el propio router.

          Busca por el router algo de “static route” y en el menú te aparecerá que tendrás que introducir la dirección de red (10.8.0.0) la máscara (255.255.255.0) y la puerta de enlace (ip privada de tu NAS).

          Saludos!

Últimos análisis

Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10
Valoración RZ
8
Valoración RZ
10