BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate

VPN de NAS Synology funciona y otras veces da error

1
jjbarrio

Tengo configurado en mi NAS Synology el servidor VPN en modo L2TP/IPsec y después de estar hablando con el servicio técnico, hemos conseguido que funcione la conexión desde algunos dispositivos de Android o Windows 10 u 11.

El problema es que hoy funciona y mañana te vas a conectar y vuelve a dar error sin haber hecho ninguna modificación de ningún tipo. Vuelvo a crear usuarios nuevos para ver si de esta manera funciona, pero tampoco. Siempre me da algún tipo de error.

Múltiples errores, por ejemplo me da error en el intento de conexión L2TP porque el nivel de seguridad encontró un error de proceso durante la negociaciones iniciales con el equipo remoto o también que se produjo un error en los túneles VPN probados y que el error que dice que puede ser debido a que uno de los dispositivos de red no está configurado para permitir conexiones VPN etcétera.

He desactivado firewalls y nada.

No entiendo como es tan inestable. Se que en Android a partir del 12 no funciona porque no te da la opción, pero en Windows 10 me da problemas y en Windows 11 también en Macintosh lo he probado y también funcionó pero de golpe y porrazo ya no funciona.

¿Me podéis ayudar? Ya no sé qué hacer.

heffeque

A mí me funciona perfectamente desde hace tiempo con Android y Windows.

Cero problemas.

Eso sí, no tengo ningún Android 12+ (tengo 10 y 11), pero nunca había oído de que OpenVPN no funcionara con 12+.

🗨️ 2
Bramante

pero nunca había oído de que OpenVPN no funcionara con 12+

No, el @op parece que funciona con L2TP cifrando con IPsec.

OpenVPN, efectivamente, funciona con cualquier versión de Android, pero no trae dicho protocolo intregrado, siempre depende de una aplicación.

🗨️ 1
heffeque

Supongo que la solución es utilizar un buen cifrado que además tenga soporte para OpenVPN.

Bramante

Si tienes oportunidad de usar protocolos menos "problemáticos" que L2TP + IPsec, mejor. WireGuard es sencillo y funcional, otra alternativa es OpenVPN.

Y si en lugar de usar la propia aplicación de Synology, pudieras usar otra máquina de tu red para levantar el servidor VPN (o incluso virtualizar algo en el NAS), mejor aún. Esto es manía mía, porque me han dado mucha brega las aplicaciones propias de QNAP/Synology y al final, con una Raspberry o similar, me ha sido mucho más cómodo.

De cualquier modo y con lo que tienes ahora, ¿puedes acceder a los logs de las máquinas, tanto servidor como cliente?

🗨️ 2
jjbarrio

Muchas gracias por tu consejos, pero la cuestión es que mi conocimiento es bastante nulo en este entorno de ahí que use la facilidad para mí del servidor VPN de Synolpgy, use este protocolo porque el de OpenVPN que también puedo usarlo hay que instalar aplicaciones de terceros y tampoco me funcionaba correctamente, tendría que mirar algún tipo de tutorial o algo para hacerlo funcionar en Windows, pero siempre haciendo uso de Synolpgy, porque ya te comento que mi conocimiento es nulo.

Gracias

🗨️ 1
Bramante

Te entiendo.

El problema de la aplicación de Synology (o de QNAP, que son las que he probado y son tal para cual) es que en caso de problemas, puede no ser fácil diagnosticar el fallo.

pjpmosteiro
1

La casa recomienda OpenVPN o WireGuard en su defecto (hay implementaciones sencillas como Tailscale) para evitar estas cosas. L2TP+IPSec está pensado, digamos, para entornos mas corporativos.

Aunque puedo entender que la VPN del Synology da mucho, pero que muuuuuuucho por saco.

Personalmente yo al principio usaba OpenVPN, pasé a WireGuard por simplicidad, luego ZeroTier y al tiempo pasé a Tailscale, con eso tengo conectada mi red local con mi red en la nube, y sin problemas.

mepidolabaja

Desde hace ya algunos años uso simultaneamente y sin problemas cuatro tipos de redes VPN: OpenVPN, WireGuard, TailScale y ZeroTier, la primera de ellas está soportada en un viejo router Asus y es muy fácil de configurar, las otras tres están soportadas como servicios Docker en un servidor doméstico x86_64. Nunca he usado L2TP/IPsec ni servidores Synology, pero estoy seguro que tu servidor soportará Docker, por lo tanto te recomiendo que uses Docker para instalar las VPN que quieras, todas tienen su complejidad y necesitarás estudiartelas, toda la información que necesitas está en hub.docker.com, github.com y linuxservers.io, y unos mínimos conocimientos muy básicos sobre Linux.

filamento
1

Para que funcione el L2TP/IPSec tienes que abrir en tu router los puertos 4500 UDP y 500 UDP a la IP privada de tu synology.

Y para poder conectar desde fuera con un ordenador con Windows, tienes que aplicar estos valores en el registro de windows (y reiniciar después)

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]
"AssumeUDPEncapsulationContextOnSendRule"=dword:00000002

Guarda ese texto en el bloc de notas y lo guardas con nombre "hola.reg", y luego haces doble clic en el fichero "hola.reg"

La explicación oficial de por qué Microsoft te obliga a toquetear el registro la tienes aquí:

learn.microsoft.com/en-us/troubleshoot/w…nat-t-device

🗨️ 3
jjbarrio

Mil gracias lo probaré, lo de los puertos ya lo tenía realizado puesto que ha estado funcionando.

jjbarrio

Creo que eso ya lo hice una vez que estás dentro de policyAgent creas un nuevo valor de Word de 32 bits y ahí le pones el nombre que indicas y como Información del valor "2" con base hexadecimal, ¿es así?

Pues si es esto tampoco funciona😒

🗨️ 1
filamento

Pues entonces las únicas opciones que te quedan es ir jugando con el tipo de autenticación (PAP o MSCHAPv2), forzar unas DNS manualmente, activar/desactivar el modo SHA2 compatible, etc.

Lo tienes aquí explicado:

kb.synology.com/en-global/DSM/help/VPNCe…rsion=7#b_33

Es posible que otro problema adicional que tengas es que esté el protoclo UPnP activado en el router y te esté robando los puertos 500 y 4500. Para poder descartar esa opción yo desactivaría temporalmente el UPnP en el router para evitar que te manipule la apertura de puertos a tus espaldas.