Acceso externo a NAS Synology DS213j - Vodafone > Movistar

mjcarda
Mi vida cambió con el ADSL
Acceso externo a NAS Synology DS213j - Vodafone > Movistar

Antes de publicar, he leído todos los temas que he encontrado sobre acceso al Nas desde el exterior, pero no he conseguido ningún avance.

 

Tengo un NAS que funcionaba con el ruter de vodafone y ahora al pasar a Movistar, tengo acceso al mismo desde la propia red, pero no desde el exterior. He conectado el NAS via lan al nuevo ruter, He pasado el asistente EZ-Internet Wizard de Synology y me da error en la comprobación del servidor DNS. También el quickconnect me da error de red.

 

Por lo leído en otros hilos, me he atrevido a activar el UPnP en el ruter de Movistar, pero sigo sin poder conectar desde fuera.

 

Imagino que debe ser alguna tontería, pero no doy con ella. Mi nivel en estos temas no creo que llegue a medio. 

 

Gracias por la posible ayuda

Mensaje 1 de 17
9.398 Visitas
16 RESPUESTAS 16
Técnico.Global-Movistar
Moderador Global Técnico

Hola @mjcarda,

 

 

En relación al acceso al Nas Synology DS213j , te dejo este post en el que se da asesoramiento para resolverlo.

 

 

Cualquier cosa nos comentas.

 

Saludos, Isabel G.



Si necesitas soporte técnico en averías de Móvil, Fijo, Movistar+ o Internet Fijo (cobre o fibra), puedes acceder a nuestro apartado de Soporte Técnico o rellenar este formulario. También puedes contactar con nosotros llamando al 1002.

 Si necesitas contratar Fibra Ópticacomprobar tu cobertura Adsl y Fibrao ver información sobre la instalación de la fibra visita nuestra página ADSL y Fibra en movistar.es 

Solución aceptada.png
Mensaje 2 de 17
9.387 Visitas
Theliel
Yo probé el VDSL

Buenas @mjcarda

 

Configurar un NAS o cualquier otro dispositivo de red es simple, pero es verdad que requiere un mínimo de saber que se está haciendo, o ante cualquier cosilla estamos perdidos.

 

El problema que tienen los NAS es que están diseñados igualmente para que se acceda desde fuera. A día de hoy el 99% de usuarios tenemos Routers que son los que nos dan acceso a todos nuestros dispositivos, y eso aplica un "problema" añadido, y es que por defecto todo el tráfico desde el exterior el Router lo bloquea. De ahí a que sea necesario por regla general para estas cosas lo que llamamos comunmente "apertura de puertos" o "mapeo de puertos", que básicamente es crear algo así como "agujeros" en el Router para permitir que cierto tráfico pueda circular por él, tráfico que queremos que vaya a un dispositivo específico, en este caso el NAS.

 

Esto es muy simple en principio, y normalmente en 2 minutos está resuelto si se configura el  Router,  pero hay que hacerlo obligatoriamente. Algunos equipos soportan tecnologías como upnp, que lo que hacen es que automáticamente sin que tu tengas que hacer nada, el dispositivo abre los puertos en el Router que necesita.

 

1º.  Problema? Bien, por defecto, al margen de todo lo anterior, los equipos de Movistar suelen llevar upnp deshabilitado. Puedes habilitarlo sin problemas accediendo al Router. Con esto el problema podría resolverse automáticamente, aunque no es seguro por el motivo 2º.

 

2º. Los NAS a veces se emperran en usar puertos que el propio Router usa, con lo que es un mal negocio. Si el Router usa el puerto 80 para su gestión, no puedes abrir el puerto 80 para llegar al NAS. En ese caso lo mejor es decirle al NAS que use otro puerto. Y esto pasa con algunos otros servicios de estos. Casi todos los NAS (por no decir todos) deben de soportar también el cambio de puertos. Si después de habilitar upnp el NAS no es capaz de dar acceso, sería necesario ver que puertos requiere y si hay alguno "reservado" para el Router, cambiarlo.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 3 de 17
9.356 Visitas
mjcarda
Mi vida cambió con el ADSL

Muchas gracias @Theliel por tu respuesta. Me ha parecido muy didáctica y me ha ayudado a entender mucho mejor el funcionamiento del Nas y el Ruter. Gracias también a @Técnico.Global-Movistar (Isabel) por el enlace. 

 

En mi fase de conocimiento actual no me atrevo a tocar puertos. Tal vez lo mas sensato sea reiniciar el NAS, y una vez activado el upnp en el ruter, lanzar el wizard del Nas a ver si es capaz de aclararse con el ruter, de la misma forma que antes hiciera con el anterior de vodafone.

 

Voy a meterme con el manual del Nas 🙂

 

Mensaje 4 de 17
9.314 Visitas
mjcarda
Mi vida cambió con el ADSL

Nas reseteado...

Wizard iniciado...

Y aquí el triste resultado:

Captura de pantalla 2018-06-18 a las 21.13.11.png

Mensaje 5 de 17
9.304 Visitas
Theliel
Yo probé el VDSL

Buenas @mjcarda

 

Por desgracias las imágenes tardan aqui en poder verse, es mas rapido y mejor ponerlas siempre en u servicio externo y meter aquí el enlace.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 6 de 17
9.296 Visitas
mjcarda
Mi vida cambió con el ADSL

Pues es curioso, porque yo si veo la imagen...

En todo caso, pongo aquí un enlace

Mensaje 7 de 17
9.266 Visitas
Theliel
Yo probé el VDSL

Buenas @mjcarda

 

Quien las sube sí, el resto no. Ahora si puedo ver también las anteriores, como te decía pasa un tiempo 🙂

 

Te dice que tiene un error de DNS, lo cual es falso, porque si lo tuvieses no podrías navegar con ningún equipo de tu red,las DNS es una configuración que entrega el Router a cada dispositivo. También he visto ese problema en muchas ocasiones con Synology.

 

Haz una cosa a ver que pasa. Hablo de memoria porque no tengo un Synology (prefiero QNAP) y puede que la ubicación del ajuste esté en otro lado, pero si no recuerdo mal estaba en Panel de Control, Redes, General

 

Allí, configura las DNS manualmente, no de forma automática, y configuralas por ejemplo a las de google:

Servidor primario: 8.8.8.8
Secundario: 8.8.4.4

 

Y prueba de nuevo para ver que pasa.

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 8 de 17
9.253 Visitas
mjcarda
Mi vida cambió con el ADSL

Pues creo que lo hemos conseguido 🙂

 

Gracias @Theliel

 

El wizard se ha ejecutado sin dar error, aunque después ha fallado la compatibilidad con el ruter...  (en los enlaces tienes pantallazos)

 

De todas formas, ya no da error de red y puedo conectarme perfectamente desde el exterior con el quick connect de Synology.

 

Aprovecho la amabilidad para dos preguntas de ignorante:

1.- Al entrar en el Synology desde dentro de la red, para ir a cambiar los DNS, me he encontrado con que se habían actualizado algunos paquetes. Esto significa que el NAS podía en realidad conectarse con el exterior para descargar las actualizaciones... Me parece extraño que de error de red pero que si que pueda conectarse para descargarse actualizaciones.

2.- El ruter tiene el la dirección IP inicio rango en 192.168.1.33. ¿Puedo poner al NAS, conectado por LAN una IP inferior, como 192.168.1.28 por ejemplo?

 

De nuevo gracias por todo 🙂

 

 

 

Mensaje 9 de 17
9.235 Visitas
Theliel
Yo probé el VDSL

Buenas @mjcarda

 

Me alegro que eso haya funcionado.

 

Sobre lo primero,  (como te digo es solo teoría porque para saberlo de forma feaciente tendría que tener uno a mano y mirar "por dentro"), muy posiblemente al NAS no le gusta que le entregen por DHCP (configuración automática) como servidor DNS el propio Router. Esto es una práctica muy habitual. Los servidores DNS traducen los dominios en IPs, los ISP tienen generalmente sus propios servidores DNS que pueden configurarse por regla general de dos modos:

 

A) La primera, es pasando dichos servidores DNS directamente a los clientes que se conectan por medio de DHCP, así pues si los servidores DNS de Movistar son 80.58.61.250 y 80.58.61.254, pasar ambos directamente a los clientes

 

B) La segunda, en vez de pasar por DHCP dichos clientes, lo que se les pasa a los clientes es la propia IP del Router como servidor DNS, actuando el Router como un proxy y caché DNS. Por supuesto el Router a su vez está configurado con las DNS del ISP, pero estas no son usadas por los clientes, sólo las usa el Router, los clientes usaan en este esquema al propio Router, y es este quien manda las peticiones hacia los servidores DNS del ISP de ser necesario.

 

Bien, pues posiblemente el NAS detecte las DNS del tipo B como incorrectas. Que las interprete como incorrectas, no quiere decir que no sean buenas, el tipo "B" es el más usado por lo general en los Routers porque es más eficiente, porque si el Router tiene ya cacheada la petición DNS, si otro equipo en la red necesita la misma IP que otro, la resolución es inmediata.

 

Dicho de otro modo, un fallo del software de Synology, una pifiada 🙂

 

 

Sobre lo segundo, sí, por supuesto que puedes. Es más, en lo personal te recomendará siempre que uses dispositivos de red que sean digamos "fijos", fuera del Pool de los servidores DHCP. El Pool de Movistar es de 33 a... 100? Al que sea, lo ideal es colocarlos fuera de ahí, más facil de recordar, de tenerlos "controlados".



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 10 de 17
9.222 Visitas
Robertop
Yo probé el VDSL

Disculpad que me incorpore a un hilo aparentemente solucionado, pero hay detalles que aún se me escapan.  Mi caso es idéntico al que se plantea en la pregunta inicial salvo que mi modelo de Synology es el DS216j.

 

En efecto, la asistencia técnica de Synology, confirma que prefieren la configuración manual del DNS en lugar de la automática (DHCP) entregada por el router.  Es más, recomiendan directamente el 8.8.8.8.  y deshabilitar IPv6.  He tenido que abandonar mi querido DNS de Cloudflare (1.1.1.1) con el que estaba muy contento y sin problema alguno hasta ahora.  De esta forma se solventaron los problemas de DNS, probablemente originados en la "pifiada" de Synology que comenta Theliel, pero no el acceso externo vía https (y de paso, vía http, ya que prefiero tenerlo redirigido todo al protocolo seguro).

 

Para explicarme esto, creo haber interpretado tras buscar y buscar que el router Mitrastar HGU GPT-2541GNAC reserva el puerto 443 para acceder a la gestión del mismo desde fuera de la LAN.  Ya les vale, con la cantidad de servicios que usan este puerto, podían haber elegido otro, la verdad.  Además, algunos navegadores (Chrome, Edge, al menos) bloquean este acceso por problemas con el reconocimiento del certificado de Movistar.  Al intentar abrir el puerto 443 en el router, en efecto, recibo un mensaje de que está en uso.  Así que, la cuestión es ¿cómo puede liberarse este puerto? Yo no quiero que sea accesible la gestión de mi router desde fuera de mi LAN, excepto para el servicio técnico de Movistar.  ¿No es esto posible? ¿No voy a poder usar nunca el 443 para acceder a mi web con este modem?  No he encontrado la manera, así que he supuesto que la causa es que el router está convenientemente configurado de fábrica para impedir este cambio. Ojalá me equivoque.

 

Bien, sigamos: el router no está aceptado como compatible por Synology así que no hay posible configuración automática alternativa vía uPnP (comentario: no entiendo cómo esta gama de routers, que debe ser la más usada en el mercado doméstico español no ha despertado el interés de una empresa como Synology.).  Así que toca abrir puertos manualmente, pero no el 443, bloqueado.  Me planteo redireccionar en el router via NAT usando el puerto sugerido por Synology (62968).  Fiasco. Tampoco funciona.  Ni deshabilitando el firewall del router.  Y ahora ya se me han acabado las ideas.

 

Finalmente, he conseguido acceder desde fuera gracias a una DMZ sobre la ip interna del NAS.  No me gusta tener expuesto así el NAS.  Me llegan intentos de acceso vía SSH continuamente, por ejemplo, pero no he encontrado otra solución. ¿Alguna idea nueva?  Estaría muy agradecido.

 

R.

Mensaje 11 de 17
9.101 Visitas
Theliel
Yo probé el VDSL

Buenas @Robertop

 

Son diferentes temas.

 

sobre el que las DNS 1.1.1.1 no funcionen correctamente, posiblemente sea otra causa. Los HGU usan de forma interna la IP 1.1.1.1 para comunicarse con el chip quantenna (la interfa WIFI de 5GHz). Es un error enorme, pero Quantenna usa por defecto este esquema, repito, un error enorme. Por defecto el sistema usa las IP (1.1.1.0/1.1.1.1) para hablar el Router con el chip, el problema es que dichas IPs son IPs válidas enrutables, quantenna/broadcom jamás debieron de usar dichas IPs para uso interno. Movistar en los HGU bloquea completamente el uso de dichas IPs, por así decirlo, con lo que hasta que no actualicen el firmware y usen para la comunicación otras IPs (que para eso tenemos los rangos privados), no hay nada que haer.

 

Sobre synelogy, hacen varias cosas mal. Por un lado la pifiada de DHCP, por otro lado lo de upnp. Es completamente absurdo ver si un dispositivo es compatible por UPNP por una lista de dispositivos, cuando upnp aunque implementado de muchos modos, no deja de ser un estándar habitual.

 

Sobre el puerto 443 no debería de ser problema, los HGU permiten que el puerto se redirija por otro en caso de que este sea necesario usarse. Eso sí, este mapeo automático interno no se realiza siempre, depende de que el ajuste se haga por la interfaz Web avanzada o por la sencilla. Al menos es así con el puerto 80, que pasa a ser el 8080 creo recordar, pero con el 443 también.

 

Sobre el certificado es normal, no puedes instalar un certificado válido para todos los usuarios en el Router, la IP es dinámica y los equipos no tienen un dominio válido, con lo que el certificado usado por la interfaz web del Router tiene que estar autofirmado, no lo va a emitir ningún CA. Otra cosa es que tu cargues tu propio certificado (yo lo hago).

 

Sobre el poder usar el 443, en e caso que no fuese posible nada de lo anterior, tampoco es problema, remapea el puerto y listo, usa el externo que quieras, por ejemplo el 4444 y lo mandas a la IP del NAS (fija) al 443. O cambia el puerto HTTPS del NAS a otro que no sea el 443. Pero como te digo, en cualquier caso, creo recordar que se podía cambiar automáticamente, al menos con otros puertos, imagino que con el 443 pasará lo mismo.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 12 de 17
9.087 Visitas
Robertop
Yo probé el VDSL

Muchas gracias Theliel. ¡Vamos aprendiendo mucho con tus respuestas!  Los usuarios domésticos no seríamos nadie sin vosotros Guiño

 

La buena noticia es que, entonces, la dirección alternativa DNS de Cloudflare (1.0.0.1) debería funcionar sin problemas.  Ahora que he vuelto a Google (8.8.8.8) me da pereza, pero bueno es saberlo.

 

Respecto a la lista de compatibilidad UPnP de Synology, es relativamente corta en el apartado routers pero, como dices, se trata de un estándar, así que en la práctica la comunicación funciona bastante bien aunque los equipos no estén en la lista.  He abierto y cerrado puertos desde el NAS en un par de routers de ONO-Vodafone anteriormente y no aparecían como compatibles en los listados de Synology, pero aceptaban sin problemas el diálogo.  De hecho, parece que el Mitrastar sólo pone problemas cuando se le pide algo sobre el puerto 443.  Por lo demás, el DSM 6.2 (sistema "operativo" de Synology) no tiene mayor problema en comunicarse con él vía UPnP.

 

Respecto al mapeo.  Automáticamente a mí no me funciona.  Manualmente, con la interfaz sencilla aparentemente acepta un puerto externo cualquiera y el 443 interno a la dirección del NAS.  Al salvar, sin embargo, aparece en la lista mientras no se haga logout en el interface del router, pero no funciona.  Al hacer logout y login de nuevo, ya no aparece.  Con la interfaz avanzada, directamente no acepta usar el 443 y da el mensaje de error del pantallazo de la imagen:

 

Pantallazo 2.jpg

 

Da igual que sea un servicio predeterminado como en la imagen que un "custom service" con un puerto exterior diferente.  Siempre el mismo error: puerto 443 usado por Https.  No puedo probar el 4444 ahora (estoy fuera y tengo la DMZ activada), pero lo probé ayer con el 1443 y el 8443, y nada.

 

Supongo que debe ser alguna tontería, pero no la localizo. Si fuera un bloqueo del firewall, debería funcionar si lo desactivo, pero no es así.  Sigue dando error.  El resto de la configuración es la original (salvo nuevo nombre y contraseña en wi-fi, claro).

 

Lo cierto es que preferiría no tener que cambiar el puerto seguro en el NAS, pues afecta a muchas aplicaciones. ¿Alguna sugerencia? ¿Dónde puede estar el problema? Supongo que no hay relación alguna, pero por si acaso, la portabilidad del teléfono está pendiente hasta mañana a las 8:00 (acabo de recibir el SMS).

 

Muchas gracias de nuevo por vuestra ayuda.

 

Mensaje 13 de 17
9.069 Visitas
Theliel
Yo probé el VDSL

Buenas @Robertop

 

Como te digo en otros puertos, o la interfaz avanzada o la simple permitían cambiar automáticamente algunos puertos si se intentaban mapear, prueba una u otra. Tampoco te puedo asegurar que se pueda, sé que en alguno de los HGU y en algunos puertos se puede, no te puedo asegurar otra cosa.

 

Respecto a usar un externo cualsea a un interno 443 no tendría que dar mayores problemas de nada, eso sí, como es natural, la conexión externa se tendría que hacer por loquesea.com:4443 (por ejemplo). Tengo un NAS Qnap y de echo no uso el 443 pero no porque no pueda, sino por cuestiones de seguridad, y jamás he tenido ningún problema, ni en ASKEY ni anteriormente en Mitrastar, anuque de eso hace ya más tiempo.

 

Lo de habilitar/deshabilitar el FW es un error común en entender que es y como funciona el FW de un Router. Dado que son dispositivos NAT a día de hoy, el FW se resume sencillamente por lo general a filtrar todo el tráfico entrante HACIA EL ROUTER, es decir todo el tráfico que no se solicita anteriormente desde LAN o que no haya sido redirigido por alguna regla específica. Con lo que "habilitarlo" o "deshabilitarlo" es un peligro para tu red y para el Router, no filtra ni restringe el tipo de tráfico que te interesa a ti, que es totalmente diferente.

 

 



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 14 de 17
9.046 Visitas
Robertop
Yo probé el VDSL

Gracias de nuevo.

 

Bien, me queda la solución de configurar mis servicios web del NAS con otros puertos.  Si no hay otra, ya me pondré. 

 

Pero mientras no lo haga así, cualquier acceso a mi dirección pública segura (puerto 443) vía ip o con un nombre proporcionado por ddns se redirige a la página de acceso de la configuración de mi router.  Sólo si declaro la ip de mis servicios como DMZ se alcanzan estos sin problema.

 

¿De ninguna manera se puede liberar o bloquear ese puerto?  Hasta ahora siempre había podido inhabilitar la gestión de mis routers vía web.  Por muy buena contraseña que utilice, es una tentación tenerlo ahí, tan a mano.

 

R

Mensaje 15 de 17
9.028 Visitas
Theliel
Yo probé el VDSL

Buenas @Robertop

 

Por defecto el Router posee reglas que impiden el acceso a los puertos internos del router, las reglas están o estaban creadas por defecto en el firewall del Router, dando acceso sólo a Movistar. Si has eliminado dichas reglas o deshabilitado el "firewall", dichas reglas de filtrado no se aplicarán y por tanto la interfaz Web del Router así como otros puertos internos están expuestos al exterior para todos.

 

cuando un Router permite deshabilitar la gestión remota, por así decirlo, lo que hace es crear filtros entrantes para dichos servicios, que es por defecto lo que el Router tiene, y puedes crear en cualquier momento. Deshabilitar totalmente estos servicios no suelen permitirlo los equipos residenciales (entregados por los ISP, que implicaría realmente la deshabilitación de ciertos servicios. Pero si se hiciese eso el acceso por LAN igualmente quedaría deshabilitado.

 

Lo único que es diferente es que algunos Routers, normalmente no los que entrega un ISP, permiten cambiar el puerto de gestión propia, ya sea el 80 o el 443 para HTTP/s, o incluso los puertos internos para telnet, ftp, ssh... precisamente pensando en poder usar estos para otro uso dentro de la LAN. Los equipos residenciales no suelen permitir estos cambios de puertos por lo general, que repito para nada entraña problemas de seguridad si los filtros de entrada están correctamente colocados, y por defecto lo están en este caso.



Por privado solo asuntos privados, para lo demás la comunidad."El conocimiento nace del desacuerdo"
Mensaje 16 de 17
9.014 Visitas
Robertop
Yo probé el VDSL

Entendido.  Gracias por la explicación.  Ya veo que me tocará buscar alternativas a la reserva del 443. 

 

Saludos.

 

R.

Mensaje 17 de 17
9.003 Visitas