En esta ocasión vamos a ver cómo configurar nuestro NAS Synology con HTTPS y Let´s Encrypts. Un certificado digital y gratuito que podemos utilizar con nuestro servidor NAS.
Nos será muy útil para que las comunicaciones sean seguras y cifradas y nadie pueda interceptar la información.
También te puede interesar:
Encender el NAS Synology desde Internet con una Raspberry Pi
Cómo editar la configuración de phpMyAdmin en Synology
Cómo activar el acceso remoto por SSH en Synology
Cómo instalar un servidor web en un NAS Synology
Tabla de contenidos
Comprar un NAS Synology
Antes que nada, si todavía no tenéis un NAS y estáis pensando en adquirir uno, aquí os dejo un enlace de PC Componentes para poder comprar uno de gama baja con el que podéis empezar a hacer cosillas. También podéis leer los anteriores artículos que os recomiendo su lectura para que vayáis conociendo qué cosas se pueden hacer con NAS. Según vayáis avanzando en su aprendizaje seguramente iréis necesitando un NAS más potente. Pero para comenzar, este os será muy útil y podréis seguir todos mis tutoriales sin problema.
Si decidís hacer la compra, PC Componentes me gratificará con una pequeña comisión por haberles recomendado. Os lo tendré muy agradecido en tal caso ;).
Configurar Synology con HTTPS
Primero vamos a configurar nuestro NAS Synology con HTTPS, para que cada vez que nos conectemos a él lo hagamos por un puerto seguro con SSL y toda la información que viaje entre nuestro PC y el NAS viaje cifrada.
Para ello nos vamos al Panel de Control > Acceso externo y en la pestaña Avanzado nos aseguramos de tener relleno el campo HTTPS con el puerto que hayamos decidido.
Después verificamos que en el menú Red y en la pestaña Configuración de DSM tengamos también puesto el puerto en HTTPS y seleccionada la opción Redirigir automáticamente las conexiones HTTP a HTTPS. Como podemos ver, aparece una nota avisándonos de que las aplicaciones nativas del NAS como puede ser Web Station o Photo Station, o también Download Station, no funcionarán por HTTPS, pero eso lo solucionaremos después.
Una aplicada la configuración, cuando accedamos a nuestro NAS podremos ver que ya lo hacemos a través de una url con HTTPS en su dirección. Si visualizamos la configuración digital que utiliza vemos que se está utilizando un certificado digital de Synology Inc.
Crear un certificado personalizado con Let´s Encrypt
Ahora vamos a instalar un certificado digital alternativo al que nos proporciona Synology. En este caso vamos a utilizar un certificado de Let´s Encrypt. Las ventajas estos certificados libres es que se renuevan solos de forma automática y no tienen coste anual como los que había hasta entonces. De esta manera estamos utilizando un certificado con las mismas prestaciones que un certificado de pago.
Para crear un certificado, nos vamos al menú Seguridad y en la pestaña Certificados pulsamos sobre el botón Agregar. Seleccionamos la primera opción y le damos a siguiente.
Ahora seleccionaremos la tercera opción: Obtener un certificado de Let´s Encrypt. Pulsamos siguiente.
Ahora meteremos nuestro dominio del servidor NAS. Yo metí el que me ofrecía Synology que termina en [tu-usuario].synology.me, y metí mi correo. Pulsamos sobre aplicar y se generará el certificado.
Volverá a la pantalla de certificados y veremos nuestro certificado Let´s Encrypt creado. Si nos fijamos, el certificado de Synology es el que ahora mismo es el predeterminado para las aplicaciones y uso general del NAS. En el siguiente paso veremos cómo cambiar eso.
Cambiar el certificado digital por defecto
Ahora vamos a cambiar la configuración de nuestro NAS Synology para que utilice el certificado digital de Let´s Encrypt por defecto. Para ello en la misma ventana de los certificados pulsamos sobre el botón configurar y en la ventana que nos sale seleccionamos el certificado que queremos usar para cada una de las aplicaciones que tengamos instaladas. Seleccionándolo en la opción Predeterminado nos valdrá para el uso general del Panel de Control del NAS y de las aplicaciones de Web Station.
Seleccionamos nuestro certificado Let´s Encrypt y pulsamos sobre OK para cambiar nuestro certificado por defecto.
Comprobación
Vamos a comprobar que los cambios que hemos hecho hasta ahora están funcionando.
Pinchando sobre el candado del navegador podemos ver que el panel de control de Diskstation de nuestro NAS Synology ya carga con nuestro certificado digital de Let´s Encrypt.
Gracias a @blogjavierrguez ya tengo mi #NAS #Synology con certificado @letsencrypt
Aquí vemos que las aplicaciones web de Web Station también utilizan nuestro certificado digital. En este caso estamos viendo como la aplicación Download Station o Emule ya accedemos a través del certificado digital que hemos instalado.
Aquí tenemos otro ejemplo de cómo las webs que tenemos publicadas en Web Station también funcionan con nuestro certificado digital de Let´s Encrypt. En este ejemplo estamos viendo un Dolibarr instalado en nuestro NAS Synology.
Si os fijáis en la imagen anterior, aparece el candado con una admiración amarilla. Eso indica que la conexión no es segura aunque se esté accediendo por HTTPS. Esto ocurre porque el certificado digital no está emitido para el dominio de nuestra red interna. Realmente diskstation no es un dominio, es solo el nombre que le dado a mi NAS en mi red local.
Para que nos aparezca el candado verde como el de la siguiente imagen, debemos acceder mediante el dominio para el que hemos emitido el certificado digital. Esto garantiza que la información que viaja entre nuestro navegador y el NAS Synology viaja segura y cifrada. Esto evita el robo de información y hace que nuestro Dolibarr esté más seguro ante atacantes.
Y eso es todo. Espero que os haya sido de utilidad y os animo a compartir mi artículos entre vuestras redes sociales. Saludos.
¡Hola! Soy Javier. Soy informático y me gusta documentar todo lo que aprendo. En mi blog te enseño todo lo que sé y cómo puedes aprender a crear tu propia web, mejorar el SEO y aplicar técnicas de Marketing Digital para conseguir mayor visibilidad. Suscríbete para no perderte ninguna de mis guías sobre WordPress, posicionamiento SEO o Marketing Digital.
Buenas, he instalado el certificado Lets Encrypt y todo perfecto. Pero me sale al lado del nombre del certificado una fecha (12-12-2017), significa que me caduca ese día y ya no lo podré utilizar, no ?
Lo tendría que volver a agregar un certificado nuevo ? Sabes algo al respecto...
Gracias, un saludo,
Hola Julio. Así es. Todos los certificados tienen una fecha de caducidad. En el caso de los certificados de Let´s Encrypt caducan cada tres meses. El Synology los renueva de forma automática y no tienes que hacer nada. Yo hasta ahora no he tenido problema alguno. Un saludo.
Hola Javier,
He seguido los puntos paso a paso y ahora no puede acceder a mi Nas Synology en red local ni me funciona Vpn server.
Sólo puedo acceder através de web.synology.me.
¿Hay algo que he hecho mal?
Muchas gracias
Hola Alfonso. Justamente me pasó lo mismo hace dos días. El problema es que me caducó el certificado de Let's Encrypt y no se renovó solo automáticamente. Esto es porque yo tenía cerrado el puerto 80 en mi router. Realmente lo tenía abierto a la RaspberryPi. Lo que hice fue abrirlo al NAS y ya pude sacarme otro certificado Let's Encrypt y volver a realizar la configuración. Mira a ver si te ocurre lo mismo y me cuentas. Con esto solucioné el problema. Saludos.
Hola Javier,
Muchas gracias por la información.. Ahora me funciona (casi) todo perfectamente
Hay una cuestión.. He configurado tanto el DSM como Photo station para que redirija las conexiones por HTTPS aunqu cuando conecte por HTTP.
En DSM no hay problema... pongo el dominio y el puerto HTTP, y el sistema automáticamente lo redirige a HTTPS
En Photo Station no funciona... si pongo directamente la ruta https en midominio.com:puerto HTTPS si funciona bien... pero si pongo la ruta HTTP no redirecciona a HTTPS...
Hay alguna forma de solucionarlo?
Muchas gracias!!
Saludos
Buenos días David. Pues no he usado Photo Station, pero sí he usado Download Station y no he tenido problemas. Cuando dices https en midominio.com:puerto, el puerto no hay que ponerlo. El por defecto es 443 y no hay que ponerlo en la url. ¿No estarás intentando acceder por https con otro puerto diferente?. Un saludo.
Buenas tardes Javier
El motivo de poner dominio.com:puerto es que los puertos 80 y 443 (http yhttps) no los tengo abiertos en el router para el synology, así que utilizo otros definidos por mi (8000 8001) y dentro de synology uso la función "proxy inverso" para que esos dos puertos abiertos en el router apunten al puerto 80 y 443 de synology (el puerto 80 lo abriré para renovar el certificado y después lo cerraré... no es un puerto que me guste tener abierto todo el tiempo)
Cuando entro en midominio.com:8001 con https funciona sin problemas. Si entro a midominio.com:8000 con http no es capaz de redireccionar a HTTPS
Edito: si abro directamente los puertos 80 y 443 a synology entonces si se redirecciona correctamente. Esto tiene su punto de lógica porque synology está escuchando en esos puertos independientemente de cualquier otro puerto que yo haya abierto y del proxy inverso
Pero esto no creo que sea una buena solución, porque cualquiera que escriba https en midominio.com en lugar de https en //midominio.com/photo (sin poner lo de /photo... algo que ocurrirá con bastante frecuencia) tendrá acceso a la página principal de acceso del synology (y tendrá el usuario y contraseña de photo station con el que podrán entrar "a las tripas" del synology)... Sin contar que esos puertos son los primeros que cualquier bot escanea para atacar
No se si te ocurre igual o es que se me escapa algo en la configuración del synology
Muchas gracias!!
Saludos
Hola David. Entiendo lo que me comentas. Yo no tengo esa problemática porque solo enciendo el NAS los ratos que lo uso, normalmente lo tengo apagado para no gastarle vida a los discos duros. Pero en tu caso, creo que si añades una redirección en el router o en el proxy inverso debería de hacerte la redirección. Esa redirección que tu tienes echa, la hago yo con una Rasberry Pi que siempre mantengo encendida y que utilizo para encender el NAS remotamente como explico aquí. Volviendo al tema, yo es que lo tengo abierto por el 443 y el 80 ahora que tuve el problema del certificado, pero como siempre lo tengo apagado no me preocupa. De todas maneras, echa un vistazo al Panel de Control y después en Seguridad. Yo tengo activada la protección DoS contra denegación de servicio, y en Cuenta el Bloqueo Automático tras X intentos de conexión. Mira también esta otra configuración, en Panel de Control > Acceso Externo > Configuración del enrutador. Yo tengo asignado el puerto 80 local al Photo Station y demás aplicaciones y otro puerto xxxx en el router para que haga la traducción. No te puedo confirmar si funciona porque no le estoy dando uso, pero a lo mejor es lo que tu necesitas para hacer la redirección que me comentabas. Échale un vistazo que seguro alguna de estas configuraciones te puede ayudar a proteger mejor tu NAS, y esto último a lo mejor te sirve para solventar el problema que me comentabas. Ya me contarás si lo consigues ;). Saludos.
Hola Javier
Lo primero de todo, pedirte disculpas por mi ausencia. Con las navidades hemos estado a otras cosas... De todas formas muchas gracias por tu tiempo y ayuda.
Me ha resultado curioso lo de la Pi.. mi idea es configurar WOL en el syno (aunque me está dando problemas y no debería, de ahí que por ahora esta casi siempre encendido); de manera que con el WOL en el Syno no debería ser necesario la Pi.
La configuración de seguridad también la tengo activada de manera similar a la tuya (bloqueo cuenta automático, seguridad DoS, etc...)
Respecto a mi problema inicial, desgraciadamente no consigo que funcione "como quiero" (si elimino la segunda parte de la ruta, sigue llevando a la pagina de login del syno, como te contaba en mis mensajes anteriores). Tendré que seguir probando
Si se te ocurre algo más te lo agradecere
Igualmente muchísimas gracias
Saludos
Buenos días David.
Lo de la Pi lo utilizo para poder encender el NAS cuando estoy fuera de casa. ¿Cómo lo haces tu? He probado aplicaciones android que envían peticiones WOL pero no he conseguido que me funcione ninguna. Por eso utilizo la Pi, porque está en la misma red que el NAS y es la que le envía la petición WOL al Synology para poder encenderlo. ¿Qué problema te da para configurarle el WOL?
En lo de eliminarle la segunda parte de la ruta me he perdido. Tu problema era en el photostation, que no te redirigía de HTTP a HTTPS, no?
Un saludo,
Javier.
Tengo una duda.... al solicitar un Let´s Encrypt me pide un nombre de dominio y tu dices que escribes nombredeusuario.synology.me
y ahí debo de estar haciendo algo mal.... ¿cual es ese nombre de usuario? con el que accedo desde
XXXXXX.quickconnect.to ...... >user/pass ---->te refieres a ese usuario?
Gracias 1000
Hola José. Esa url de synology.me es porque tienes que activar la DDNS, para que tengas un dominio asignado a tu NAS. Te lo ofrece Synology de manera gratuita. Un saludo.
Gracias Javier, pero disculpa, entonces en ese campo concreto ¿Qué escribo delante de synology.me?
Or que tu dices: [tu-usuario] pero a mi no me queda claro que usuario es...¿?¿
Hola.
Lo primero gracias por la información. Lo he configurado y parece funcionar correctamente, pero tengo una duda.
Evidentemente, el certificado sólo funciona cuando se accede a través del dominio en una red externa, mostrando que no es seguro cuando accedes desde tu propia red interna. ¿No hay mayor problema con esto no? Me refiero a que aparezca "no seguro" cuando estás conectado a través de tu router.
Buenas! Pues no te sé responder claramente porque no soy muy experto en esto de los certificados, pero te puedo decir lo siguiente. Desde fuera el acceso es seguro ya que el certificado que has emitido es para synology.me o el que hayas elegido. Pero desde dentro, el único problema que hay es que tu intentas acceder al NAS con un certificado que está emitido para un dominio por el que no estás entrando en tu red interna. Por eso te muestra el aviso de no seguro. Pero en realidad yo creo que la conexión sí es segura. Y eso solo es un aviso de que el dominio no corresponde a la url por la que estás accediendo. Para solventar eso, yo creo que una vez hice esta prueba. Si añades al fichero host la ip interna de tu nas y le pones el dominio externo, puede que desde la red interna ya no te muestre el aviso. Pero es lo que te comento, no recuerdo si llegué a hacer esa prueba. Un saludo.
Claro, yo entiendo que es segura porque es mi red interna, accediendo directamente por la IP asignada desde el router tipo 192.168.0.200
Buenas,
Sigo sin verle la ventaja al certificado de Let´s Encrypts. frente al que trae por defecto synology.com
De hecho le veo una desventaja grande, caduca mucho antes.
Al conectarme vía SSL en ambos casos me sale el mensaje de advertencia de que se trata de un certificado autofirmado.
¿Alguien que pueda arrojar luz sobre este hecho?
Gracias.
Buenos días días Ismael. No soy experto en certificados, pero viendo una de las capturas del artículo se ve que el certificado de synology.com también pone que es autofirmado. Yo la ventaja que veo de usar un certificado de Let´s Encrypt, ya lo he comentado alguna vez, es que el certificado es emitido para tudominio.com y el certificado de Synology está emitido para Synology.com, no para tu dominio. Por eso cuando entras en tu nas, con tu dominio, te sale alerta. En cambio si entras en tu nas con tu certificado de Let´s Encrypt emitido para ti, no te sale la alerta. Cuando hice el artículo, los navegadores pintaban el candado verde o gris, ahora lo pintan siempre verde y no se distingue. Un saludo, Javier.
Hola Javier,
He seguido tus pasos pero cuando me conecto con HTTPS me sale un error de certificado.
¿Sabes porqué es?
¿Tengo que abrir algún puerto?
Tengo el router SERCOMM Vodafone-H-500-s pero para hacer el enrutamiento no sale.
Gracias.
Hola Eduard. Intuyo que te refieres a lo que le respondo a Ismael el 13 de noviembre. Ahora que has instalado el certificado, para que no te de error tienes que entrar por el dominio y no por localhost, porque los certificados se emiten para los dominios. Un saludo.
Hola Javier, he seguido las instrucciones de tu blog pero no lo consigo. Cuando entro en remoto con https://.quickconnect.to me da error y los navegadores (Edge, Explorer, Firefox) no me dejan entrar.
Con todo lo que has explicado ¿debería de funcionar la conexión con quickconnect?.
Muchas gracias
Hola Carlos. ¿Tienes ya creada tu cuenta de quickconnect? En la url que me has puesto te sobra un punto detrás de las dos barras, y al final tienes que poner tu ID de quickconnect. Echa un vistazo a: https://www.synology.com/es-es/knowledgebase/DSM/tutorial/Network/How_to_make_Synology_NAS_accessible_over_the_Internet. Un saludo, Javier.
Hola Javier, tengo un problema al crear el certificado let's encrypt, cuando introduzco mi host junto con el mail me da el error: "Error en la operación: Vuelva a iniciar sesión en DSM e inténtelo de nuevo"
Sabes que puede esta sucediendo?
Muchas gracias por tu ayuda
Tanto para la creación como renovación del certificado necesitas tener el puerto 80 abierto hacia tu NAS. Revisa que lo tengas abierto en el router. Sin el puerto 80 no te permite hacer esas dos operaciones. Un saludo.
Buenos días Javier todo perfecto y funcionado, pero tengo instalado Moodle en Synology funcionado, pero me gustaría que Moodle pueda usar el certificado de Synology hay alguna manera.
Gracias.
Buenos días. Sí, desde el Panel de Control en Certificados puedes indicar qué certificado usar para aplicación. Un saludo.
Si de pronto a alguien le sirve solución: para que moodle obtenga el certificado Let´s Encrypt de synology en moodle, realice la siguiente configuración: Nos dirigimos a (File Station) - carpeta (web) - (moodle) - Buscamos el archivo (config.php) - lo descargamos y editamos agregando en la linea $CFG->wwwroot = 'http://xxxx.synology.me/moodle'; una "s" quedaría así $CFG->wwwroot = 'https://xxxx.synology.me/moodle'; - guardamos y sustituimos el archivo config.php.
Y con ello ya tendremos el certificado Let´s Encrypt de synology en moodle.
Hola Javier,
Me caduco el certificado de Let´s Encrypt de synology, pero no me deja renovarlo, no se porque, me podria indicar como lo hiciste tu, que lo comentas en anteriores comentarios.
Gracias y un saludo
Hola Carlos. Tienes que abrir el puerto 80 en el router hacia tu NAS. Sino no se renueva. Un saludo, Javier.
Hola buenas noches,
Serias tan amable de indicarme si existe la posibilidad de conectarse remotamente a una NAS solo teniendo su MAC?. En este momento se encuentra conectada fisicamente a una red, pero internamente tiene otra.
Gracias de antemano
Que yo sepa no puedes hacer nada solo con la MAC. Necesitas la ip pública para poder acceder y que el router haga la redirección interna para poder llegar a él. Un saludo.