configuración NAS Synology con router Mitrastar

OscarH2 · ‎09-12-2022

Hola Llevo tres días intentando habilitar el acceso a mi NAS desde un dominio ofertado por Synology. Explico mis pasos.

1. He creado el dominio DDNS a través del panel de control de Synology, utilizando uno que él ofrece.

2. He accedido a la configuración del router y he habilitado el UPnP

3. Luego he intentado configurar el router desde Synology pero el MitraStar no aparece en la lista de Synology y este no puede configurar los puertos de forma automática.

4. He intentado crear el puerto en mi router a través del acceso a su configuración, para que este le pueda dar acceso al NAS desde el dominio creado. Para ello he usado la IP interna que me reconoce el NAS y en el rango le he dado los valores de puerto que aparece en Synologhy: 5000. He habilitado el puerto para TCP y UDP. Lo he hecho, también, con un técnico de movistrar, para asegurarme de que lo hacía bien.

5. Salgo de la red local de casa, me conecto con 4G, entro en el dominio y este no aparece.

No sé como resolverlo, solo se me ocurre buscar otro operador que ofrezca un router compatible con el listado de Synology. Alguien sabe que estoy haciendo mal?

Técnico-Movistar · ‎09-12-2022

Hola @OscarH2

Te dejo este hilo donde se trata la configuracion , espero que te sea de ayuda

Quedamos a la espera de que nos informes si lo has podido configurar.

Un saludo

Soraya

Si necesitas soporte técnico en averías, puedes acceder a nuestro apartado de Soporte Técnico . No te pierdas las últimas ofertas en miMovistar, Tarifas Móvil, Fibra, Móviles, Televisión, Alarmas y Ofertas Movistar.
.

Theliel · ‎09-12-2022

Buenas @OscarH2

En primer lugar, ten mucho mucho mucho... cuidado con lo que haces y como lo haces. Aquí la ignorancia/desconocimiento se paga muy caro, haciendo que el NAS sea carne de cañón para cualquier hacker de tres al cuartos. Todo lo que preguntas es comprensible, lo que pasa es que se entre cruzan mucho asuntos diferentes que son más importantes aun

Así que si me lo permites te hago una rápida introducción de toda la problemática, porque en esencia todo se resume en el mismo origen.

Los Router domésticos (no grandes empresas y demás), el 99.99% son dispositivos NAT. Es decir, te permiten compartir tu conexión de Internet con todos tus dispositivos. Al Router se le asigna una IP pública, por parte de Movistar, pero luego todos tus dispositivos conectados a él tienen su propia red privada, independiente de Internet, con su propia IP. Esto te permite que puedas tener una sola conexión contratada y que todos puedan tener conexión. Pero más importante también, todos tus dispositivos están protegidos. Por qué? Porque nadie del exterior puede "hablar" con un dispositivo de tu interior, no sabría como llegar a él, llegarían al Router, no al dispositivo Interno. Claro, pero cuando tu visitas una web o cualquier cosa el servidor te contesta bien... sí, pero porque tu equipo inició la comunicación, y el Router hace un seguimiento de esa conexión, y cuando le responden al Router, este sabe que esa conexión es para tu equipo.

Esto hace necesario que sea obligado lo que llamamos "abrir puertos" o "reenvío de puertos" cuando necesitamos que la conexión se inicie en el exterior. Es decirle en esencia al Router que si le llega tráfico al puerto X, lo envíe siempre al puerto Y de un equipo de la red. Pero esto siempre entraña un riesgo, puesto que cuando se hace eso realmente estamos exponiendo el dispositivo de nuestra red local, o al menos el servicio/aplicación que esté usando dicho puerto en nuestro dispositivo.

Entendido esto, el resto es sencillo de seguir.

1º. Que el Router tenga habilitado upnp perfecto, de echo es recomendable sobre todo para usuarios que no son muy avanzados en esto de abrir puertos manuales y toda la pesca. Pero ojo, hay que tener en cuenta algo importante, cuando se usa upnp un dispositivo/aplicación puede abrir el puerto que quiera potencialmente. Esto per sé no es malo, pero si no se tiene un mínimo de control es un fallo de seguridad enorme, porque estás exponiendo hacia el exterior servicios/dispositivos importantes. Además por lo general upnp no cambia el puerto externo del Router, asigna el mismo externo al interno que use la aplicación/servicio, ESTO ES LO PEOR QUE PUEDE HACERSE, JAMAS USAR LOS PUERTOS POR DEFECTO

2º. Que quieras usar el servicio propio de Synology DDNS no hay mayores problemas, pero ya estás empezando a vender tu alma a ellos, y esto sí es un problema, porque expones servicios a ellos por lo general, y cuanto menos control puedan tener ellos sobre tu NAS mejor. Si no te queda otra opción ok, pero hay mejores alternativas a esto

3º. Synology, con perdón, te vende hardware mediocre a precio de oro, y su software está más enfocado a que el usuario no se entere de lo que pasa que a reconocer muchos problemas que tienen, personalmente es infinitamente mejor opción QNAP, pero cada cual que haga lo que estime. Ejemplo de ello es como dices el "configurador" que tienen, que en esencia lo que hace es usar upnp para mapear todos los puertos que le de la gana al NAS en el Router. Por un lado, es habitual el mensaje de que no es compatible porque no lo tiene en su lista. Nada le impediría usar upnp para crear los mapeos de puertos, que por suerte no lo hace, por cierto. NO SE TE OCURRA USAR UPNP EN EL NAS, al menos en cuanto a configuración con el Router se refiere. JAMAS. El NAS crearía puertos abiertos para cualquier servicio que esté en ese momento usando, y encima en sus puertos por defectos. Dicho de otro modo sería como poner un cartel luminoso diciendo: Pirateenme, roben todos mis datos.

-------------

El modo a actuar es mucho mucho más sencillo que todo eso.

1º. Asegurarse de que el NAS tiene deshabilitado upnp (no el Router), upnp en cuanto a la configuración con el Router. Todo hacerlo manual.

2º. Pensar muy bien y exactamente que servicios realmente se requieren para acceso externo. Jamás uno más de la cuenta, y jamás el puerto por defecto, esto lo expando más abajo. Si lo único que se requiere es acceder de forma remota al administrador del NAS, DMS en Synology, solo se requiere un puerto, ni más ni menos, un puerto TCP.

3º. Usar siempre puertos externos arbitrarios y altos. El principal problema es usar puertos conocidos. Una red zombi o un hacker no barre por lo general los 65535 puertos posibles, esto tarda la vida, no es práctico. Lo que hacen es escanear un conjunto muy pequeño, a lo mejor 50-100 puertos, que son conocidos. Por ejemplo, 80/443/22/21/20/5000/53... aunque no hace invisible realmente modificar el puerto externo, si evita automáticamente el 99.9% de todos los problemas, aprovechándonos de usar puertos arbitrarios. Todo esto se traduce en que si DSM usa por defecto el puerto 5000, no hace falta tampoco que lo cambies dentro del NAS o para acceder desde tu red local, pero cuando lo añades en el Router, usas otro puerto como puerto externo del Router, por ejemplo el 15345. Es decir, se configura un puerto que sea externo 15345 TCP a Interno 5000 en la IP 192.168.1.X. La única diferencia haciendo esto es que cuando la conexión es remota, la aplicación usada o el navegador Web usado hay que especificar el puerto correctamente, nada más.

No hacer esto, repito, implica exponer un servicio conocido, en este caso el administrador del NAS a Internet, y esto hace que sea atacado constantemente en busca de vulnerabilidades, que antes o después aparecen, y en definitiva te quedarte de un día para otro con todo el contenido encryptado o perdido por la mala praxis de exponer hacia Internet lo que no se necesita, o del modo incorrecto.

-----------

Configura manualmente los puertos que realmente necesites, ni uno más, ni uno menos, y siempre usando puertos externos no conocidos. En el Router al abrir los puertos asegúrate simplemente de realizarlo bien, el puerto externo adecuado, el puerto interno adecuado, la IP del NAS correctamente configurada (usar DHCP estático en el Router para asegurarse de que siempre tenga la misma IP local), y por último que el puerto se abre en la Interfaz WAN correcta del Router.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

OscarH2 · ‎09-12-2022

Gracias Theliel

He creado otro dominio siguiendo tus indicaciones (en NO-IP) para no depender de Synology. No obstante, no sé como chequear si el NAS tiene (o no) activo el UPnP. Con el router está claro con el NAS no sé como.

Solo tengo dos puestos abiertos, para 500X y 500X (HTTP y HTTPS respectivamente, según el software de control de Synology) dentro de la IP privada donde figura el NAS (190.168.X.50) pero no hay manera de entrar desde los dominios creados (Synology y NOIP) al NAS, a pesar de que el checking del dominio en el software de control de Synology es "Normal").

Nada, no funciona. Estoy convencido que es un tema IP dentro del router y que este no me deja acceder al NAS desde el dominio.Cuando me funcione haré el trueque de puerto externo a puerto interno, pero ahora quiero conseguir que funcione y no hay manera.

OscarH2 · ‎09-12-2022

Sigo los pasos, tengo una IP privada baja para el NAS y dentro del rango del router (33 a 199).

He creado los puertos dentro del equipo y según aparecen en el software de control del NAS y sigue sin funcionar? Alguna sugerencia?

Valdría la pena resetear el router y volver a crear los puertos?

Theliel · ‎09-12-2022

Buenas @OscarH2

En lo tocante a deshabilitar upnp en el NAS, no te puedo decir exactamente donde, pero se debería de poder deshabilitar... espero. Puede estar dentro de ajustes generales, en centro de redes... puede llamarse de otro modo, como publicador de servicios o casas así, ya te digo que le tengo bastante manía a como Synology hacen las cosas, no me sé de memoria su DSM. Pero repito, debería de estar deshabilitado, de lo contrario te obligaría a tener que tener deshabilitado upnp en el Router, y obviamente eso no es adecuado

En lo tocante a un mapeo de puerto normal y corriente, el ABC es simple:

1º. Configurar un servicio DDNS para evitar tener que usar la IP que además cambia. Esto es sencillo, si lo has hecho ya, perfecto, solo tienes que verificar que efectivamente funciona y que el dominio apunta a la IP pública del Router.

2º. Ahora asegurarse que la IP asignada por el Router la NAS es siempre la misma. Esto es simple también, accedes al ROuter, pasas a la interfaz avanzada, de allí a LAN, y allí deberías de poder crear una entrada DHCP estática, donde se asigna una IP siempre a la misma dirección MAC. Miras la MAC del adaptador de red del NAS y la pones. Reinicias si quieres todo y te aseguras que efectivamente la IP asignada es correcta

3º. Desde la misma interfaz avanzada del Router, realizas el mapeo desde NAT -> VirtualServer (o PortForwarding, depende de como lo ponga el Router). Allí es una redirección sencilla, puerto externo 12345 (por ejemplo, si pide un rango el puerto de inicio y final el mismo), puerto interno el 5000 (si es el 5000), la IP asignada por DHCP especificada en el punto anterior, y depende del Router hay que especificar la interfaz WAN, pueden ser hasta 3 diferentes, seleccionra la correcta, depende del modelo de Router puede llamarla de un modo u otro. En algunos se llama ppp0.1, en otros es ipX, no recuerdo de memoria cual.

4º. Si todo es correcto, tendrías que poder acceder desde fuera sin mayor problema, especificando ahora sí el dominio y el puerto. Si es en formato url. https://midominio.ddns.net:12345

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

OscarH2 · ‎10-12-2022

Gracias Theliel por la ayuda. He seguido tus instrucciones:

1. Entro en la configuración avanzada de mi router Mitrastar

2. Accedo a al LAN y dentro de "Enable DHCP Server" miro de añadir a la lista de "Static IP Lease List" la "MAC address" y su "static IP", tal como aparecen en el software de Synology para Network/Lan1.

La sorpresa es que el router no me deja colocar la dirección del MAC, me dice: "Address "90-09-DX-2X-BX-XX" is invalid MAC address."

No lo entiendo, es un corta/pega, debería funcionar.

Nada sigo igual.

Theliel · ‎10-12-2022

buenas @OscarH2

Las direcciones MAC tienen diferentes formatos de representación habituales. Los más comunes por orden de uso son:

AA:BB:CC:DD:EE:FF

AA-BB-CC-DD-EE-FF

AABBCCDDEEFF

Es decir, el separador. Dependiendo del Router/Switch/Software en el que se inserten, se requiere especificarlo de un modo o de otro. Es un problema de egos... oficialmente son válidas por estándar las dos primeras. La primera es el estándar de la IEFT, el segundo es el estándar de la IEEE. Personalmente siempre me gustó más la primera, pero después de muchos muchos muchos... años, aun se pelean de cual es o debería de ser la representación correcta. Quizás la más correcta debería de ser la segunda, pero repito... hay muuucho detrás, y al final ego de cada parte.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

OscarH2 · ‎17-12-2022

Gracias Theliel,

Lo he conseguido con matices. Indico los pasos para que la gente que tenga el mismo problema lo pueda ejecutar y llegar a usar el NAS desde fuera de casa (sin conexión wiffi o cable):

1. He accedido a la configuración del router y he habilitado el UPnP. Se puede hacer dsd la página principal o desde configuración avanzada.

2. He creado el dominio DDNS a través del panel de control de Synology, utilizando uno que él ofrece. Tambien he creado otro dominio DDNS en un hosting externo (en NO-IP) y lo he vinculado dentro de Sinology escogiendo la opción de este.

3. Para ambos he utilizado el software de synology para vincularlos y crear un certificado de acceso seguro. Ese certificado a mi no me funciona y siempre me sale el mensaje de que la página web a la que accedo no es segura.

4. Como indicabaTheliel he entrado en las opciones avanzadas del router Mitrastar. Accedo a al LAN y dentro de "Enable DHCP Server" miro de añadir a la lista de "Static IP Lease List" la "MAC address" y su "static IP", tal como aparecen en el software de Synology para Network/Lan1. La MAC adres la encontrais en la info del dispositivo del software de Synology o en la pegatina que acompaña el producto. El formato, en mi caso ha sido con puntos (AA:BB:CC:DD:EE:FF).

5.Desde la misma interfaz avanzada del Router, voy a NAT y allí creo la entrada al NAS desde el router. Como rango esterno, y siguiendo los consejos deTheliel, me invento una entrrada 2569 (por ejemplo) y como rango interno el que me propone el software de Synology por defecto. Importante, selecciona en la creación del puerto la opción ppp0.1

6. Reseteo el router y, tras su regreso, salgo de la red local de casa, me conecto con 4G y utilizo ambos dominios para conectarme. FUNCIONA. El único problema es que el navedador es reticente a dejarme entrar por los certificados de seguridad, los tengo que habilitar y decir que el lugar es seguro. Creo que esto podría ser debido a que uso en el acceso un puerto con rango externo diferente al propuesto por Synology, pero me da igual, con lo que me ha costado el caso es que puedo entrar.

Insisto, gracias Theliel.

Theliel · ‎18-12-2022

Buenas @OscarH2

El puerto que se escoja es totalmente indiferente para la advertencia del certificado, el puerto no es un parámetro de ellos.

Los navegadores Web muestran advertencias de certificados por muy variados motivos, pero por lo general, en estos casos al menos, es debido a que no tiene un certificado instalado emitido por una entidad de certificación reconocida a nivel mundial para el dominio usado. Hasta hace poco la única forma de tener un certificado validado por un CA (Autoridad de Certificación) de cualquier dominio era pasar por caja, con precios por lo general a partir de los 100€ al año. Una organización, llamada LetEncrypt, por primera vez en la historia empezó a emitir certificados con validez general para usuarios sin coste alguno. Y a día de hoy la mayoría de NAS y muchos otros dispositivos cuentan con integraciones de estos para facilitar esta tarea.

El asunto es sencillo. En QNAP por ejemplo, e imagino que para Synology también, se puede generar desde dentro del propio NAS un certificado propio firmado por LetEncrypt asociado al dominio que se quiera usar. Si el dominio no es correcto en el certificado instalado, si el certificado ha caducado, si el certificado es autofirmado, si el CA que lo ha emitido no tiene un reconocimiento mundial.... entonces aparecerá la advertencia.

OJO! Un certificado autofirmado o uno generado por uno mismo, no implica un problema de seguridad, la conexión es igualmente cifrada, lo que denota simplemente es que el CA que lo ha emitido o creado no es reconocido a nivel mundial como un CA fiable. Cosa que no tiene la menor importancia si lo has autofirmado tú, o lo has creado tú o....

Saludos.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Técnico-Movistar · ‎19-12-2022

Hola @OscarH2

Agradecemos a @Theliel su colaboración y nos alegra que su aportación te haya servido de ayuda. ¿Te ha quedado alguna duda al respecto de lo que solicitabas?

Por otra parte, si consideras que tu consulta está resuelta, te agradeceríamos que en el hilo que has abierto, pulsases en el botón “Aceptar como solución” del post en el que se te ha resuelto tu caso. Es importante para nosotros que vuestras consultas queden resueltas y para otros usuarios es útil utilizar estas respuestas para sus dudas.

Saludos.

Fernando.

Si necesitas soporte técnico en averías, puedes acceder a nuestro apartado de Soporte Técnico . No te pierdas las últimas ofertas en miMovistar, Tarifas Móvil, Fibra, Móviles, Televisión, Alarmas y Ofertas Movistar.
.

Técnico-Movistar · ‎21-12-2022

Hola @OscarH2

No hemos recibido más comunicaciones por tu parte, por lo que entendemos que no necesitas de mas ayuda. Para cualquier otra consulta ya sabes donde encontrarnos.

Un saludo.

Nacho.

Si necesitas soporte técnico en averías, puedes acceder a nuestro apartado de Soporte Técnico . No te pierdas las últimas ofertas en miMovistar, Tarifas Móvil, Fibra, Móviles, Televisión, Alarmas y Ofertas Movistar.
.

enrollao · ‎20-06-2025

Buenas a todos,

Otro afortunado con NAS Synology empezando a configurarlo, me gustaría conseguirlo conectándolo a través de un PLC en otra habitación en vez de estar en la habitación del Router conectado a éste. Espero que sea posible, cualquier información extra se agradece.

¡Muchas gracias a todos por sus comentarios, son de gran ayuda!

Saludos

Theliel · ‎21-06-2025

Buenas @enrollao

Un dispositivo de red, el que sea, en principio es totalmente agnóstico al Router. Para el Router el NAS no es más que otro dispositivo de red más. Los PLC/Repetidores/AP/Switchs... no son más que bridges o bridge multipuestos, son en principio totalmente transparentes también a la red, con lo que estos si están bien configurados tampoco tienen que tener ningún impacto en la configuración, al menos en principio.

todo ello significa que realmente la configuración y puesta en marcha de cualquier NAS, se reduce en esencia y a muy groso modo, a configurar el propio NAS como uno desee, y dependiendo de los puertos que uno pueda necesitar para los diferentes servicios que quiera usar en el NAS, mapearlos en el Router, si se puede teniendo cuidado de no usar los puertos por defecto, por las razones que en este mismo hilo se explicaron en su momento.

Que tengas un PLC entre medias, desde el punto de vista del Router es totalmente indiferente, para este debería de ser totalmente invisible por así decirlo. Otra cosa totalmente diferente es la gran cantidad de problemas que puede darte un PLC, sobre todo mal configurado o con un soporte deficiente de funcionalidades que consideramos básicas, como IGMP Snooping entre otros. Todo ello es importante porque un PLC te puede dejar totalmente KO tu red en un abrir y cerrar de ojos. Realmente no un PLC específicamente, sino cualquier dispositivo de red intermedio (PLC/Repetidores/AP/Switchs...) que no esté bien configurado. Si asumiésemos que su configuración y funcionamiento es perfecto (un oxímoron en esencia cuando hablamos de PLC), este no tendría impacto alguno en el NAS ni en ningún otro dispositivo de red, con lo que la misma configuración se requiere para el NAS/Router estando conectado directamente al Router, a un Switch, a un PLC, a un AP....

Por último, el como configurar en cada caso el Router o el NAS, eso ya depende únicamente de las necesidades de cada usuario, del NAS que ha decidido comprar (su software, su hardware), del Router que tiene instalado en ese momento por el ISP, de la seguridad que quiera o no quiera aplicar a la hora de exponerlo a Internet, de los servicios que requiera del NAS para su acceso externo... etc etc etc etc. Un ETC bastante largo que excede con mucho un foro de soporte técnico de Movistar.

En los primeros post de este hilo, detallo más o menos los pasos necesarios para una configuración básica de cualquier NAS con cualquier Router. Ya de ahí, repito, necesidades de cada uno, dispositivo de cada uno...

Saludos.

Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"

Técnico-Movistar · ‎21-06-2025

Hola @enrollao

Bienvenid@ a la Comunidad Movistar.

Agradecemos a @Theliel por su aporte.

¿Nos puedes confirmar que la información facilitada te ha sido de ayuda? Si ha sido así, ¿Te podemos ayudar en algo mas?

Quedamos atentos a tu respuesta.

Un saludo.

Yaneth.

Si necesitas soporte técnico en averías, puedes acceder a nuestro apartado de Soporte Técnico . No te pierdas las últimas ofertas en miMovistar, Tarifas Móvil, Fibra, Móviles, Televisión, Alarmas y Ofertas Movistar.
.

Técnico-Movistar · ‎25-06-2025

Hola @enrollao

No recibimos más respuesta de tu parte, por lo que creemos que ya no necesitas nuestra ayuda. Por nuestra parte procedemos a cerrar el hilo, recuerda que si nos vuelves a necesitar, ya sabes donde encontrarnos.

Un saludo, Diego.

Si necesitas soporte técnico en averías, puedes acceder a nuestro apartado de Soporte Técnico . No te pierdas las últimas ofertas en miMovistar, Tarifas Móvil, Fibra, Móviles, Televisión, Alarmas y Ofertas Movistar.
.

Soporte Fibra y Hogar

configuración NAS Synology con router Mitrastar