Montaje de un servidor VPN en un NAS

Privacidad
Imagen Privado  por  BeckerG   (CC BY-ND)

¿Qué es una VPN?

VPN es el acrónimo de VPN Virtual Private Network, o red privada virtual.

Para conectarse a Internet, tu smartphone, tableta, PC, TV, etc se comunican con el router de tu proveedor de Internet que, a su vez, conecta con tu proveedor de Internet, que es quien luego se encarga conectarte al exterior. A cada dispositivo se le otorga una dirección (IP) local, que es una dirección única para todos aquellos equipos conectados al router, al igual que lo es una dirección postal, pero esta dirección no es visible desde Internet. Esto es una red local, un conjunto de dispositivos conectados de tal modo que puedan verse entre ellos y compartir datos sin pasar por Internet.

Una conexión VPN lo que te permite es formar parte de una red local sin necesidad que sus integrantes estén conectados, necesariamente, entre sí a través del mismo router, sino a través de Internet. Físicamente no estoy en mi casa, por lo que no estoy conectado a mi router (ni por cable ni por mi WiFi), y no puedo ver los equipos de mi red local, por lo que no puedo compartir datos con ellos.

¿Para qué me puede servir una VPN?

Usando mi VPN puedo estar conectado virtualmente a mi router (a través de Internet) y, así, tener visibilidad sobre esos equipos que tengo conectados en casa, y compartir información con ellos, pero además de forma segura, ya que la conexión que se establece está cifrada.

Digamos que estoy de viaje y quiero depositar las fotos que he hecho en un disco de red que tengo en mi casa a modo de copia de seguridad, o que estoy en el trabajo y necesito acceder a un informe que realicé en el equipo de sobremesa de mi casa y que ahora requiero, o que necesito conectarme a una cámara de vigilancia de casa para observar si mi gato está rondando cerca del jarrón de la dinastía Ming que tengo en el salón 😜. Puedo hacer esas cosas si el equipo al que me conecto, desde el exterior, tiene una dirección pública (por ejemplo, www.micachivache.net), pero no si ese equipo no está "expuesto" al exterior.

Además de poder acceder a los recursos de una red local, sirve para esconder, ocultar o enmascarar tu dirección IP real y cambiar nuestra ubicación a otra distinta (por ejemplo para desbloquear contenido limitado a ciertos países), y especialmente (y ese el mayor uso que le doy) para navegar de forma segura cuando te conectas a redes públicas y compartidas (los datos que circulan a través de una conexión VPN están cifrados, por lo que, en caso de estar conectados a una WiFi pública, será imposible que nadie pueda rastrear nuestra actividad o robarnos datos). Básicamente, cuando conectas cualquier dispositivo a una VPN, este actúa como si estuviese en la misma red que la que tiene el servicio de VPN, y todo el tráfico de datos se efectua de forma encriptada con la VPN a la que te conectas.

Montando el servicio de VPN en tu NAS

Vamos a pasar a explicar los pasos que hay que seguir para montar el servicio de VPN en tu NAS; en este caso sobre un Synology:

  1. Abre y redirecciona el puerto 1194 en tu router: el servicio de VPN usa este puerto para poder gestionar las peticiones de conexión. Si no abres ese puerto y lo rediriges a tu NAS, el router no le dirá a tu NAS que tiene una petición VPN, y no podrás conectarte.
  2. Instala el paquete VPN Server en tu NAS
  3. Activar el servicio OpenVPN: desde el paquete instalado, vamos a configurar el servicio VPN. Podemos elegir entre varios protocolos, y lo haremos a través del protocolo OpenVPN (existen motivaciones para optar por este en lugar de otros, pero se sale del objetivo de este artículo). Una de las cosas a determinar es el protocolo de la capa de transporte a usar. Yo he optado por TCP en lugar de UDP; supone una mayor carga de trabajo, pero es más confiable que UDP. Habilitamos la opción "Permitir que los clientes accedan al LAN del servidor" y seleccionamos el cifrado AES (más robusto que el propuesto por defecto).
  4. Exportar la configuración (ya verás para qué nos sirve este paso más adelante).
  5. Damos permiso de acceso al servicio VPN a aquellos usuarios del NAS que lo requieran.

Configurando un cliente de acceso a la VPN

Hemos montado la parte servidora; ahora hay que configurar el cliente de acceso a la VPN. Para ello habrá que instalar y configurar el cliente VPN en cada una de las máquinas con las que quieras acceder (tu smartphone, el ordenador de la oficina, tu portátil, …).

¿Recuerdas el paso 4 anterior en que habías exportado (guardado en el disco local del ordenador desde el que has configurado el servicio de VPN de tu NAS) un fichero? Ese fichero contien el certificado que te permitirá acceder a la VPN y que deberás de poner a disposición de cada cliente.

Cada equipo cliente que se conecta a una red virtual debe tener instalado este certificado, que permite cifrar las comunicaciones, es decir, hacer que el destinario de la información es la única "persona" que podrá "leer" el contenido de la misma. Dicho en otras palabras, nadie podrá saber qué informacón envías o recibes cuando te conectes a tu VPN.

ATENCIÓN: deberás editar el archivo .ovpn pues, al menos en mi Synology, no se establece correctamente el parámetro YOUR_SERVER_IP El valor para este parámetro debe de ser el nombre que estés usando para el DDNS

Cliente VPN en iOS

Vamos a explicar los pasos que hay que seguir para pone en funcionamiento el cliente del servicio de VPN en tu NAS en iOS:

  1. Instala el cliente OpenVPN en iOS: debes descargarte la app OpenVPN que es la que usaremos como cliente de nuestra VPN.
  2. Carga en la app el certificado OpenVPN: ahora es cuando te digo que, aunque no te lo parezca, hay veces que Apple me sobrepasa…
    1. Conecta el dispositivo iOS al Mac. Verás que se abre iTunes. Ve a la sección de aplicaciones (son las que tienes instaladas en tu iOS) y selecciona OpenVPN
    2. Incorpora los archivos generados por el servidor de VPN del NAS pulsando sobre el botón Añadir (.cert y .ovpn)
  3. Cierra iTunes y desconecta el dispositivo iOS del Mac
  4. Abre en iOS la app OpenVPN y verás que en la sección OVPN Profiles tienes la conexión que has generado a través de iTunes.
  5. Pulsa en el símbolo del lápiz para introducir tu usuario y contraseña al que le has dado los permismos VPN en el NAS y pulsa el botón Save
  6. Conéctate desplazando el "interruptor" hacia la derecha

Cliente VPN en macOS

Vamos a explicar los pasos que hay que seguir para pone en funcionamiento el cliente del servicio de VPN en tu NAS en macOS:

  1. Instala el cliente OpenVPN en macOS: debes descargarte la [aplicación Tunnelblick](<https://tunnelblick.net) que es la que usaremos como cliente de nuestra VPN.

  2. Crea una conexión haciendo doble click sobre el archivo .ovpn y cambia el nobre que por defecto le da Tunnelblick a la conexión

  3. Pulsa en el botón Conectar. Se te requerirá el nombre de usuuario y contraseña del usuario al que le has dado los permismos VPN en el NAS. Si todo ha ido bien aparecerá una ventana que nos indica que estamos conectado y el icono, en la barra de menús, de Tunnelblick pasará a estar activo.