Buenas Principito
Creo que tienes diferentes problemas, pero lo que más me sorprende es que la seguridad no te importe lo más mínimo!! Conectar un NAS por upnp es en esencia poner un cartel en la puerta de la casa que diga: "NAS para uso y disfrute de cualquier hacker"
Vamos por partes, como decía Jack el destripador.
Es cierto que cada vez está más de moda (y lo entiendo) el uso de NAS propios. Es más, se hacen casi imprescindibles por las prestaciones que pueden darnos. Pero su buena configuración y gestión es lo más importante, y eso implica como segundo punto su seguridad, siendo el primero su buena elección, por supuesto.
Pero antes que eso, vamos a ver que pasa de cara al Router.
El Router es agnóstico a cualquier dispositivo. Para poder usar cualquier aplicación o servicio tipo "servidor", al estar detrás de un dispositivo NAT como un Router, se requiere como es natural redirecciones de puertos. Este es el punto más importante para seguridad, usabilidad, todo. El uso de upnp por lo general es para que toda la apertura de puertos sea automática, de modo que sea el propio dispositivo (el NAS en este caso) el que pueda mapear los puertos necesarios. Si bien es cierto que esto puede ser en algunos dispositivos algo deseable, en un NAS JAMÁS SE DEBE DE HACER. Esto no está reñido con tener habilitado upnp en el Router, que por comodidad se debería de tener habilitado, pero en el NAS se tendría que tener totalmente deshabilitado.
Para el Router, lo único que habría que hacer sería realizar es:
1º. Asignar de forma estática una IP concreta al NAS para que no cambie nunca, por ejemplo 192.168.1.100
2º. Redireccionas los puertos necesarios REALMENTE, y JAMAS USAR PUERTOS EXTERNOS CONOCIDOS.
.................
Cuando uno habilita y usa upnp en el NAS, ocurre algo nefasto. El NAS va a intentar abrir todos los puertos que le venga en gana, aun cuando sean servicios que no se van a usar. Y esto es un problema de seguridad enorme, porque estás exponiendo una gran cantidad de servicios hacia Internet directamente, y con ello aumentando x10 o x100 las posibilidades de que accedan al NAS. Es totalmente innecesario y una barbaridad, cuando por lo general como mucho un usuario no suele requerir para acceso externo más de 2 o 3 servicios como mucho del NAS, eso son como mucho 2-3 redirecciones.
Otro problema mayoritario, es el usar upnp y además no modificar los puertos que usan dichos servicios. Cuando se usa upnp, el dispositivo hace redirecciones iguales. Es decir, que si el dispositivo usa para interfaz Web el puerto 80, intentará abrir el puerto 80 externo en el Router. Lo mismo para el 443, el 22, el 21... y esto es de nuevo pegarse un tiro en el pie y hacer que tu NAS esté en manos de usuarios mal intencionados. Y créeme que no se trata de exageraciones, sino que pasa sí o sí.
Esto en cambio usando redireccones manuales tb se solventa, el 99% de los problemas de seguridad con un NAS se evitan no usando los puertos por defecto externos. Es decir, que si uno quiere acceder por remoto a la interfaz web del NAS, por defecto puerto 443 por ejemplo, solo tenemos que hacer una redirección en el Router que sea, por ejemplo, 15000 externo a 443 interno a la IP del NAS. La única diferencia es que para acceder a la interfaz del NAS hay que añadir el puerto: https://mi_DDNS.com:15000. Esto es así debido a que de forma constante y automatizada, Internet está escaneada y atacada de forma indiscriminada a puertos conocidos y de interés. Y aunque es posible escanear todos los puertos de una línea, es tiempo demasiado costoso que no se hace. Ocultar los servicios para Internet es esencial.
------------
Todo ello como digo es de cara únicamente a la seguridad, pero también en tu caso seguramente solucionaría todos los problemas, y me explico. El Router por defecto usa para sí mismo algunos puertos, por ejemplo el 443/22 y alguno más. Obviamente si el Router lo usa para si mismo, no puedes usarlos tú de forma externa, porque el Router ya lo usa para él. upnp no puede ni sabe lidiar con ello. Imagina que el NAS está intentando mapear para sí mismo el puerto 443... no podrá, y te tira un error.
Este problema es muy muy habitual con Synology, fabricante que por cierto jamás recomendaría para un NAS, teniendo alternativas infinitamente mejores con QNAP en prestaciones, configuración, seguridad... pero eso es ya otra historia diferente. EL caso es que para Synology, los asistentes automáticos que tiene son todos para suicidarse, mostrando información que nada tiene que ver, mensajes de alarma si tienes algún dispositivo que el no tenga en su propia lista interna y un largo etc. Prueba de ello es el mensaje que te sale, que en esencia lo que te está diciendo es que estás detrás de doble NAT. Sí, hay usuarios que tienen realmente doble NAT, esto sucede si tienes por ejemplo un HGU al que conectas tu propio Router y a ese Router un NAS o un PC. Entonces sí estás realmente en doble NAT si el HGU no está configurado en bridge. Obviamente si solo tienes un HGU y ningún otro Router, NO TIENES DOBLE NAT.
El asistente como te digo te dice eso porque las comprobaciones que hace son muy deficientes. Como te digo, posiblemente es porque haya intentado mapear un puerto en uso para el Router, y sin avisarte que no ha podido porque ya está en uso por el Router, te dice que no se puede usar. Repito... un software bastante deficiente.
Es totalmente cierto que por defecto hay puertos externos que no se pueden usar porque el Router ya los usa para él mismo, pero esto es hasta una ventaja, porque a pesar de que se puede modificar en el Router para que se use otro, al menos por defecto evita que usuarios menos experimentados puedan exponer dispositivo sensibles a Internet.
--------------------------
Mi recomendación? Es sencilla.
1º. Como he dicho, asignar de forma estática una IP al NAS por medio del Router y DHCP.
2º. Deshabilitar en el NAS cualquier servicio que no se vaya a usar
3º. Deshabilitar en el NAS el uso de upnp, repito, en el NAS, no en el Router.
4º. No usar JAMAS los puertos por defecto cuando se accede desde Internet, y esto se puede hacer de dos maneras, la que más guste:
a) Los puertos en el NAS se quedan igual, y por tanto en la red local pueden usarse los puertos por defectos, y se realiza una redirección en el Router que sea Puerto externo alto a puerto interno por defecto
b) Los puertos en el NAS se modifican por puertos altos, y en el Router se realiza una redirección simétrica, Puerto alto X <-> Puerto interno X (el mismo puerto). En este caso el puerto usado siempre será el mismo tanto dentro como fuera de casa.
5º. Dado que el NAS es un elemento crítico y generalmente con información personal, como mínimo se requiere un buen Firewall correctamente configurado en el NAS para bloquear cualquier intento externo, por ejemplo con bloqueos regionales, por intentos, deshabilitar por supuesto las cuentas de administración, le uso obligado de doble autentificación.. etc etc etc.
Si se hace todo ello, el NAS funcionará perfectamente con el Router que sea, te lo aseguro, y más importante aun... de forma segura. El uso de upnp o de puertos por defecto externos, es mucho peor que una temeridad, sobre todo cuando digo que por lo general en un NAS tenemos información privada.
Quitando lo que he dicho de los puertos que por defecto usa el Router para sí mismo, y que repito que se puede cambiar, aunque no es nada recomendable, no existe ningún otro problema con los equipos de Movistar. Eso con independencia de como digo Synology es cuanto menos poco fiable. Recuerdo alguien que dijo una vez que Synology era Apple y QNAP Android, y en parte es así, es decir, tanto Apple como Synology son sistemas mucho más obtusos, cerrados, con sobreprecio... donde la única forma de hacer las coas es su forma. Y eso puede estar bien para cierto número de personas. No obstante si quieres un mínimo de libertad y de poder configurar y adaptar de forma correcta los dispositivos a tu gusto, no son para nada lo más recomendable.
Saludos, cualquier cosilla nos vas diciendo.
