Valoramos tu privacidad

Utilizamos cookies para personalizar su uso de nuestro sitio. Esto incluye cookies de terceros que utilizamos con fines de publicidad y el análisis del sitio. Consulte nuestra Declaración de privacidad y nuestra Política de cookies para obtener más información sobre cómo recopilamos y utilizamos los datos.

Opción de cookies
OK
Centro de conocimientos

Configurar VPN Server

Con el paquete VPN Server, podrá convertir fácilmente Synology NAS en un servidor VPN para permitir que los usuarios accedan de manera remota y segura a sus recursos compartidos dentro de la red de área local de Synology NAS. Mediante la integración de protocolos de VPN (PPTP, OpenVPN y L2TP/IPSec), VPN Server ofrece opciones para establecer y administrar servicios VPN adaptados a sus necesidades individuales.

Observación:

  • La habilitación del servicio VPN afecta al rendimiento de red del sistema.
  • Solo los usuarios administrators pueden instalar y configurar VPN Server.

PPTP

PPTP (Protocolo de tunelización de punto a punto) es una solución VPN utilizada habitualmente y compatible con la mayor parte de clientes (incluidos Windows, Mac, Linux y dispositivos móviles). Para obtener más información acerca de PPTP, haga clic aquí.

Para habilitar el servidor PPTP VPN:

  1. Abra VPN Server y, a continuación, vaya a PPTP en el panel de la izquierda.
  2. Marque Habilitar servidor PPTP VPN.
  3. Especifique una dirección IP virtual del servidor VPN en los campos Dirección IP dinámica. Consulte Acerca de la dirección IP dinámica a continuación para obtener más información.
  4. Establezca el Número máximo de conexiones para limitar el número de conexiones VPN simultáneas.
  5. Establezca el Número máximo de conexiones con la misma cuenta para limitar el número de conexiones VPN simultáneas con la misma cuenta.
  6. Elija cualquiera de las siguientes opciones del menú desplegable Autenticación para autenticar los clientes VPN:
    • PAP: las contraseñas de clientes VPN no se cifrarán durante la autenticación.
    • MS-CHAP v2: las contraseñas de clientes VPN se cifrarán durante la autenticación con ayuda de la versión 2 de Microsoft CHAP.
  7. Si utiliza MS-CHAP v2 para la autenticación anterior, elija cualquiera de las siguientes opciones del menú desplegable Cifrado para cifrar la conexión VPN:
    • No MPPE: la conexión VPN no se protegerá mediante el mecanismo de cifrado.
    • Optional MPPE: la conexión VPN estará protegida, o no, con un mecanismo de cifrado de 40 o 128 bits, dependiendo de la configuración del cliente.
    • Require MPPE: la conexión VPN estará protegida con un mecanismo de cifrado de 40 bit o de 128 bit, según la configuración del cliente.
  8. Establezca la MTU (Unidad máxima de transmisión) para limitar el tamaño del paquete de datos transmitido a través de VPN.
  9. Marque Utilice DNS manual y especifique la dirección IP de un servidor DNS para llevar DNS a clientes de PPTP. Si se inhabilita esta opción, el servidor DNS utilizado por Synology NAS se enviará a los clientes.
  10. Haga clic en Aplicar para que se apliquen los cambios.

Observación:

  • Al conectarse a una VPN, las configuraciones de cifrado y autenticación de los clientes VPN deben ser idénticas a las especificadas en VPN Server, de lo contrario los clientes no podrán conectar.
  • Para ser compatible con la mayoría de clientes de PPTP con sistemas operativos Windows, Mac OS, iOS y Android, la MTU predeterminada se establece en 1400. Para entornos de red más complicados, se requerirá una MTU más pequeña. Intente reducir el tamaño de la MTU si sigue recibiendo un error de tiempo de espera o sufre conexiones inestables.
  • Compruebe la configuración de cortafuegos y reenvío de puerto de su Synology NAS y del enrutador para asegurarse de que el puerto TCP 1723 está abierto.
  • El servicio PPTP VPN está integrado en algunos enrutadores y puede que el puerto 1723 esté ocupado. Para asegurarse de que VPN Server funciona correctamente, es posible que deba inhabilitar el servicio VPN PPTP incorporado con la interfaz de administración del enrutador, a fin de que el PPTP de VPN Server funcione. Además, algunos enrutadores más antiguos bloquean el protocolo GRE (protocolo IP 47), lo que provocará un fallo de conexión VPN. Se recomienda utilizar un enrutador compatible con VPN Pass-through.

OpenVPN

OpenVPN es una solución de código abierto para implementar el servicio VPN. Protege la conexión VPN con el mecanismo de cifrado SSL/TLS. Para obtener más información acerca de OpenVPN, haga clic aquí.

Para habilitar el servidor VPN OpenVPN:

  1. Abra VPN Server y a continuación vaya a OpenVPN en el panel de la izquierda.
  2. Marque Habilitar servidor OpenVPN.
  3. Especifique una dirección IP virtual interna del servidor VPN en los campos Dirección IP dinámica. Consulte Acerca de la dirección IP dinámica a continuación para obtener más información.
  4. Establezca el Número máximo de conexiones para limitar el número de conexiones VPN simultáneas.
  5. Establezca el Número máximo de conexiones con la misma cuenta para limitar el número de conexiones VPN simultáneas con la misma cuenta.
  6. Establezca el Puerto y el Protocolo para la transmisión de datos de OpenVPN. Puede determinar a qué puerto de su Synology NAS y a través de qué protocolo se reenvían los paquetes de datos a través de VPN. El valor predeterminado es Puerto UDP 1194.
    Observación: Para asegurarse de que los servicios de su Synology NAS funcionan correctamente, evite asignar el mismo conjunto de puerto y protocolo que otros servicios de Synology. Para obtener más información, consulte este artículo.
  7. Configure Cifrado en el menú desplegable para cifrar paquetes de datos en túneles de VPN.
  8. Configure Autenticación en el menú desplegable para autenticar clientes de VPN.
  9. Marque Habilitar compresión en el enlace VPN si desea comprimir los datos durante la transferencia. Esta opción puede aumentar la velocidad de transmisión, pero tal vez consuma más recursos del sistema.
  10. Marque Permitir que los clientes accedan al LAN del servidor para permitir que los clientes accedan a la LAN del servidor.
  11. Marque Habilitar el modo de servidor IPv6 para permitir al servidor OpenVPN enviar direcciones IPv6. Primero necesitará conseguir un prefijo a través de 6in4/6to4/DHCP-PD in Panel de control > Red > Interfaz de red. A continuación seleccione el prefijo en esta página.
  12. Haga clic en Aplicar para que se apliquen los cambios.

Observación:

  • VPN Server no es compatible con el modo de puente para conexiones entre sitios.
  • Compruebe la configuración de cortafuegos y reenvío de puertos de su Synology NAS y del enrutador para asegurarse de que el puerto UDP 1194 está abierto.
  • Al ejecutar OpenVPN GUI en Windows Vista o Windows 7, tenga en cuenta que UAC (Control de cuenta de usuario) se habilita de manera predeterminada. Si está habilitado, deberá utilizar la opción Ejecutar como administrador para conectar correctamente con OpenVPN GUI.
  • Cuando habilite el modo del servidor IPv6 en Windows con OpenVPN GUI, tenga en cuenta lo siguiente:
    1. El nombre de interfaz utilizado por el VPN no puede tener ningún espacio, por ejemplo LAN 1 se debe cambiar por LAN1.
    2. La opción redirigir-pasarela se debe ajustar en el archivo openvpn.ovpn en el lado del cliente. Si no desea ver esta opción, deberá ajustar el DNS de la interfaz de VPN manualmente. Puede utilizar Google IPv6 DNS: 2001:4860:4860::8888.

Para exportar el archivo de configuración:

Haga clic en Exportar configuración. OpenVPN permite que el servidor VPN emita un certificado de autenticación a los clientes. El archivo exportado es un archivo zip que contiene ca.crt (archivo de certificado para el servidor VPN), openvpn.ovpn (archivo de configuración para el cliente) y README.txt (instrucción sencilla sobre cómo configurar la conexión de OpenVPN para el cliente). Para obtener más información, haga clic aquí.

Observación:

  • Cada vez que VPN Server funciona, copia y utiliza automáticamente el certificado mostrado en Panel de control > Seguridad > Certificado. Si necesita utilizar un certificado de terceros, impórtelo en Panel de control > Seguridad > Certificado > Agregar y reinicie VPN Server.
  • VPN Server se reiniciará automáticamente cada vez que se modifica el archivo de certificado mostrado en Panel de control > Seguridad > Certificado.

L2TP/IPSec

L2TP (protocolo de seguridad de capa 2) por IPSec proporciona una mayor seguridad a las redes privadas virtuales y es compatible con la mayoría de clientes (como Windows, Mac, Linux y dispositivos móviles). Para obtener más información acerca de L2TP, haga clic aquí.

Observación:

  • Para utilizar L2TP/IPSec, asegúrese de que Synology NAS está ejecutando DSM 4.3 o una versión superior.

Para habilitar el servidor L2TP/IPSec VPN:

  1. Abra VPN Server y, a continuación, vaya a L2TP/IPSec en el panel de la izquierda.
  2. Marque Habilitar el servidor VPN L2TP/IPSec.
  3. Especifique una dirección IP virtual del servidor VPN en los campos Dirección IP dinámica. Consulte Acerca de la dirección IP dinámica a continuación para obtener más información.
  4. Establezca el Número máximo de conexiones para limitar el número de conexiones VPN simultáneas.
  5. Establezca el Número máximo de conexiones con la misma cuenta para limitar el número de conexiones VPN simultáneas con la misma cuenta.
  6. Elija cualquiera de las siguientes opciones del menú desplegable Autenticación para autenticar los clientes VPN:
    • PAP: las contraseñas de clientes VPN no se cifrarán durante la autenticación.
    • MS-CHAP v2: las contraseñas de clientes VPN se cifrarán durante la autenticación con ayuda de la versión 2 de Microsoft CHAP.
  7. Establezca la MTU (Unidad máxima de transmisión) para limitar el tamaño del paquete de datos transmitido a través de VPN.
  8. Marque Utilice DNS manual y especifique la dirección IP de un servidor DNS para llevar DNS a clientes de L2TP/IPSec. Si se inhabilita esta opción, el servidor DNS utilizado por Synology NAS se enviará a los clientes.
  9. Para obtener el máximo rendimiento de la VPN, seleccione Ejecutar en modo kernel.
  10. Introduzca y confirme una clave compartida anteriormente. Esta clave secreta se debe dar a los usuarios de L2TP/IPSec VPN para autenticar la conexión.
  11. Marque Habilitar modo compatible con SHA2-256 (96 bit) para permitir que ciertos clientes (no RFC estándar) usen la conexión L2TP/IPSec.
  12. Haga clic en Aplicar para que se apliquen los cambios.

Observación:

  • Al conectarse a una VPN, las configuraciones de cifrado y autenticación de los clientes VPN deben ser idénticas a las especificadas en VPN Server, de lo contrario los clientes no podrán conectar.
  • Para ser compatible con la mayoría de clientes de L2TP/IPSec con sistemas operativos Windows, Mac OS, iOS y Android, la MTU predeterminada se establece en 1400. Para entornos de red más complicados, se requerirá una MTU más pequeña. Intente reducir el tamaño de la MTU si sigue recibiendo un error de tiempo de espera o sufre una conexión inestable.
  • Compruebe la configuración de cortafuegos y reenvío de puerto de Synology NAS y el enrutador para asegurarse de que los puertos UDP 1701, 500 y 4500 están abiertos.
  • El servicio L2TP o IPSec VPN está integrado en algunos enrutadores y es posible que los puertos 1701, 500 o 4500 estén ocupados. Para asegurarse de que VPN Server funciona correctamente, es posible que deba inhabilitar el servicio VPN L2TP o IPSec incorporado mediante la interfaz de administración del enrutador, a fin de que el L2TP/IPSec de VPN Server funcione. Se recomienda utilizar un enrutador compatible con VPN Pass-through.

Acerca de la dirección IP dinámica

En función del número que haya introducido en Dirección IP dinámica, VPN Server elegirá de entre una gama de direcciones IP virtuales mientras asigna direcciones IP a clientes VPN. Por ejemplo, si la dirección IP dinámica del servidor VPN se ha establecido como "10.0.0.0", una dirección IP virtual del cliente VPN podrá oscilar entre "10.0.0.1" y "10.0.0.[Número máximo de conexiones]" para PPTP y entre "10.0.0.2" y "10.0.0.255" para OpenVPN.

Importante: Antes de especificar la dirección IP dinámica del servidor VPN, tenga en cuenta que:

  1. Las direcciones IP dinámicas permitidas para el servidor VPN deberán ser cualquiera de las siguientes:
    • Entre "10.0.0.0" y "10.255.255.0"
    • Entre "172.16.0.0" y "172.31.255.0"
    • Entre "192.168.0.0" y "192.168.255.0"
  2. La dirección IP dinámica especificada del servidor VPN y las direcciones IP virtuales asignadas para clientes VPN no deberán estar en conflicto con las direcciones IP que se utilizan actualmente dentro de su red de área local.

Acerca de la configuración de pasarela de enlace del cliente para la conexión VPN

Antes de conectarse a la red del área local de Synology NAS a través de VPN, es posible que los clientes tengan que modificar su configuración de pasarela de enlace para la conexión VPN. De lo contrario, es posible que no puedan conectarse a Internet cuando esté establecida la conexión VPN. Para obtener información más detallada, haga aquí.

PPTP
OpenVPN
L2TP/IPSec