#244 - Proxy Inverso, qué es y para que sirve.

Synology ene. 06, 2019

•  Excel “Import data from Picture”: Permite hacer una foto a un grid de datos y los importa a una hoja de Excel usando IA.

•  Activado para los usuarios que tengan una cuenta 365

•  BundleHunt


CGNAT

Dada a la limitación de direcciones IPv4 que existe, se inventó la CG-NAT que permite a un ISP (Proveedor de Servicios de Internet), asignar a varias conexiones domésticas una misma IP pública.

CG-NAT es la técnica mediante la cual, se crea su propio NAT, no en el Router que nosotros tenemos en casa como se haría normalmente, sino en los servidores del propio operador, para dar de esta manera, servicio a múltiples clientes a través de la misma dirección IP pública.

•  MasMóvil

•  Yoigo

•  Pepephone

•  Digi Mobile

•  Orange

•  Jazztel

*Orange y Jazztel usan la tecnología DS-Lite para asignar IPv6 a sus clientes, por lo tanto aunque utilizan CG-NAT en IPv4, permiten abrir puertos en sus router a través del protocolo PCP.

Que implica estar detrás de un CGNAT:

•  No puedes abrir puertos para el uso de ciertos servicios.

•  No puedes acceder de forma remota a tu servidor o NAS.

•  No puedes configurar un servicio DDNS en tu conexión.

Comprobar si estás o no con CGNAT:

•  Entrar en tu router, y comprobar la WAN IP, despue´s compararla con la de cualquier página que te de la IP que ve desde fuera, por ejemplo:

Open Port Check Tool - Test Port Forwarding on Your Router
The port forwarding tester is a utility used to identify your external IP address and detect open ports on your connection. This tool is useful for finding out if your port forwarding is setup correctly or if your server applications are being blocked by a firewall.

•  Si las WAN IP coinciden, NO estás bajo CGNAT.

•  Cómo desactivarlo: Llamando al operador, se supone que lo que hacen es darte una IPv4, que aunque escasean, todas estas compañías tienen reservadas


Servidor Proxy: Es un equipo que actúa como intermendiario entre los equipos qe una red local e internet. Generalmente se utilza para la web (proxy HTTP), pero los hay para FTP, etc…

Lo que hace básicamente es que actúa como representante de una app para salir a internet. La aplicación hace la petición al proxy, y este es quien realiza la solicitud, recibe la respuesta, y la retorna de nuevo al cliente.

Algunas características de un servidor proxy son:

•  Almacenamiento en caché: La mayoría de los proxy tienen la capacidad de guardar en memoria las páginas que los uruarios visitan de forma más habitual. De este modo, se pueden servir las páginas de una manera más rápida.

•  Filtrado: Al utilizar un servidor proxy las conexiones pueden reastrearse, de este modo se almacenan las diferentes peticiones que realizan los usuarios.

•  Los datos que el usuario envía a través de un  proxy, si son cifrados, NO pueden ser almacenados por el servidor, viendo este sólo la petición que se ha realizado. (Por ejemplo, sabría que has hecho una petición a Gmail, pero no podría leer tu usario/password)

•  Autenticación: Al ser el proxy una herramienta indispensable para acceder a recursos externos, a veces puede ser utilizado para autenticar usuarios.

•  BLoqueo de sites:  En una empresa por ejmplo, un proxy puede cerrar el acceso a peticiones a sites definidos, sean por ejemplo accesos a Youtube, páginas “X” , etc…

Reverse Proxy:  Un proxy inverso es un proxy pero al revés, es decir,  en lugar de permitir acceso a internet a los usuarios, lo que es permitir a usuarios de internet acceder indirectamente a servidores internos.

Características más relevantes :

•  El servidor está protegido de ataques externos ya que NO está expuesto directamente a internet. Es decir, en vez de abrir uno o más puertos de cada servicio, es el proxy inverso quien redirigirá las peticiones a un servidor u a otro. Imagina que tienes un Wordpress por un lado, Tautulli por otro. Si un cliente quiere acceder a la pagina de Wordpress, si realiza la petición vía Https el tráfico entrará por el puerto 443. Entonces el proxy sabrá, por el tiò de dominio que está accediendo el cliente, a que “servidor” debe enrutar esa petición para que sea servida.

•  Balanceo de cargas

•  Caching

•  etc…

Aplicado a nuestro NAS, se puede entender como :

1- Abrimos n puertos para n servicios (esto no tiene porqué implicar más inseguridad, es decir, que un ùerto esté abierto NO significa que sea una puerta abierta para entrar, detrás debe haber un serviico escuchando, y si tiene algún exploit entonces SI que podemos tener un problema)

2- Configuras un proxy inverso y según el dominio/subdominio de entrada rediriges el tráfico a un servicio u otro.

3 - VPN : Método más seguro,  pero más “engorroso”. Al tener un usuario/contraseña y certificado, lo complica bastante para un posible atacante.


Synology lleva integrado un servidor proxy  Nginx que te permitirá, teniendo una sola conexión a internet, exponer tantos servicios como quieras sin tener que abrir un sólo puerto. Esta “exposición” será a través del puerto 80 (conexiones NO cifradas), o el 443 (HTTPS), este último método implica un certificado SSL, que explicaré como instalar más adelante.

1.  Tener el DDNS activo en vuestro NAS, demanera que aunque cambie la IP de tú router, este DDNS seguirá apuntando a  tu router.

2.  Conseguir un dominio/subdominio (por ejemplo namecheap.com ) y crear un CNAME que apunte al DDNS.

1.  Ejemplo, si el subdomino era tautulli.midominio.com, este deberá redirigir mediante un CNAME a miNas.Synology.me

3.  Asegurar que el puerto 80/443 de tu router están redirigidos a la IpLocal de tu NAS.

4.  Asegurar mediante DNSChecker que efectivamente el subdominio apunta correctamente a tu IP. (los cambios en los DNS no son instantáneos, pueden tardar hasta 30 minutos hasta propagarse)

5.  Ahora toca CREAR un certificado SSL para este subdominio


NAS con certificado Let’s Encrypt.

1.  Panel de control >  Acceso Externo : Asegurar que el campo HTTPS está con un puerto (por defecto 5001). [ Se da por supuesto que este puerto está abierto y correctamente redirigido desde tu Router, entendiendo también que no estás bajo CGNAT].  Mediante un PORT FORWARDING deberías tener en tu router una redirección del puerto 5001 hacia la ip local del NAS.

2.  Verificar que en RED > Configuración de DSM está el check en “Redirigir Automáticamente HTTP a HTTPS”

Con esto ya deberías entrar mediante https ( https://IpLocalNAS:5001) ,  cuyo certificado es el de Synology Inc.

Para crear un certificado gratuito de LEtsEncrypt (que además se autorenueva):

•  Seguridad > Certificados > Agregar

•  Obtener un certificado de Let´s Encrypt

•  Ahora introducimos el domino/SubDominio que deseas securizar

•  Finalmente, una vez creado, debes pulsar el botón de “Configurar” para asociar el certificado al dominio/subdomino creado.

Configura tu NAS Synology con HTTPS y Let´s Encrypt - Blog de Javier Rguez
Vamos a ver cómo configurar nuestro NAS Synology con HTTPS y Let´s Encrypts. Un certificado digital y gratuito que podemos utilizar con nuestro servidor NAS
Cómo habilitar y configurar el HTTPS en un NAS Synology con Let’s Encrypt
Tras haber configurado nuestro NAS para poder acceder desde cualquier Red externa, ahora nos toca aumentar la seguridad de acceso, habilitando el protocolo cifrado HTTPS. Aunque existen muchas vari…

Proxy Inverso

1.  Panel de Control > Portal de Aplicaciones > PRoxy Inverso

2.  Crear nuevo Proxy Inverso

3.  Protocolo HTTPS

4.  Hostname: tautulli.midominio.com

5.  Activar HSTS y HTTP/2

6.  Destino> HTTP

7.  hostname: localhost (o la ip local donde esté el servicio a exponer)

8.  Puerto: el puerto interno en el que esté accesible el servicio.

Faltaría volver a Panel de control > Seguridad > Certificado y asegurar que está configurado de forma correcta y que el tatutulli.midominio.com está con el SSL creado para dicho subdominio.

Para probarlo, coge el móbil, ponlo en 4G y haz la prueba: https://tautulli.midomino.com, y deberías acceder al servicio que localmente corresponde a http://iplocal:puerto

Es decir, sin abrir ningún puerto adicional puedes acceder al servicio,

Synology Reverse Proxy Server Set-Up — GRHMLGGT
<p>Personal blog of a serial tinkerer and student.</p>

DOCKER - MARIADB

Enlace: URL

MariaDB es un sistema de gestión de bases de datos derivado de MySQL

Docker WordPRess

Setting up WordPress on Synology using Docker
OverviewThis is a guide for setting up Wordpress on a Synology Diskstation using a Docker image using the web based user interface. The DSM version this guide is based on is DSM 6.2.2-24922 Update …

Diferencias en tre Servidores Proxy y Proxy Inverso.

Servidor ‘proxy’ y servidor ‘proxy’ inverso
Un servidor proxy es en principio un equipo que actúa como intermediario entre los equipos de una red de área local (a veces mediante protocolos, con excepción del protocolo TCP/IP) e Internet. Generalmente el servidor proxy se utiliza para la...
Synology Reverse Proxy Server Set-Up — GRHMLGGT
<p>Personal blog of a serial tinkerer and student.</p>
Synology Reverse Proxy revisited (again..)
Work is taking too much time, so I haven’t updated the blog for a long time. Anyway a series of quick posts are on the publishing queue, and this is one of the first ones. In February, my sin…
Map Subdomains to Docker Containers with Synology
The other day I got fed up with having to insert diskstation.local:12345 to point towards an installed service on my NAS. I also thought…
WordPress – Changing the Site URL and Home Settings, InMotion Hosting Support Center
If you need to migrate your WordPress site or change the location of your WordPress installation it’s good to keep in mind how WordPress...

LetsEncrypt en tu Synology

Configura tu NAS Synology con HTTPS y Let´s Encrypt - Blog de Javier Rguez
Vamos a ver cómo configurar nuestro NAS Synology con HTTPS y Let´s Encrypts. Un certificado digital y gratuito que podemos utilizar con nuestro servidor NAS
Cómo habilitar y configurar el HTTPS en un NAS Synology con Let’s Encrypt
Tras haber configurado nuestro NAS para poder acceder desde cualquier Red externa, ahora nos toca aumentar la seguridad de acceso, habilitando el protocolo cifrado HTTPS. Aunque existen muchas vari…

Docker - Wordpress

Setting up WordPress on Synology using Docker
OverviewThis is a guide for setting up Wordpress on a Synology Diskstation using a Docker image using the web based user interface. The DSM version this guide is based on is DSM 6.2.2-24922 Update …
Setting up MariaDB on Synology using Docker
Overview This is a guide on setting up MariaDB on a Synology using a Docker image using the web based user interface. The DSM version this guide is based on is DSM 6.1.5-15254. Your mileage may var…

————————

DSM 6.1 Web Station Virtual Hosts y logs

Synology DSM 6.1 Web Station Virtual Hosts and Logs settings
Ever since DSM 6.0 we’ve seen that the web server has been isolated in the “Web Station” standalone package, changing the location of the corresponding files for handling Virtual …

¡Genial! Te has suscrito con éxito.
¡Genial! Ahora, completa el checkout para tener acceso completo.
¡Bienvenido de nuevo! Has iniciado sesión con éxito.
Éxito! Su cuenta está totalmente activada, ahora tienes acceso a todo el contenido.