Cómo configurar el acceso remoto a un NAS
El usuario que quiere hacer que su sistema de Network attached storage (NAS) esté disponible en Internet como homeserver o servidor doméstico, en redes basadas en iPv4 como la que supone este dispositivo, se encuentra ante un problema central. A diferencia del nuevo estándar IPv6, en su cuarta versión, el ampliamente extendido protocolo se caracteriza por una separación muy estricta entre el ámbito privado y el público, de forma que requiere un router como entidad mediadora entre ambos. Los terminales modernos ofrecen funciones que permiten compensar el hecho de no contar con una conexión punto a punto, aunque son necesarios varios ajustes. Otro obstáculo lo representa la desconexión forzada por el proveedor de Internet (Internet service provider o ISP), al estar las redes domésticas conectadas a Internet mediante direcciones IP aleatorias que cambian cada día. ¿Cómo sería posible acceder a una red cuya dirección cambia continuamente? Lee atentamente lo que sigue a continuación.
Direcciones IP públicas y privadas
La separación entre el espacio de dirección público y el privado es un mecanismo de protección de gran fiabilidad que salvaguarda los terminales locales de una red doméstica o laboral de accesos no deseados. Sin embargo, esto supone una gran desventaja en el caso de querer acceder desde el exterior, solo posible cuando el router ha sido correspondientemente configurado y ejerce de eslabón de unión entre ambos ámbitos.
- Direcciones IP públicas: cada router recibe de su proveedor de Internet (ISP) una dirección IP pública que permite su conexión a Internet y funciona como dirección remitente en las peticiones que realiza servidor. En el caso de usuarios privados y en el de la mayoría de actores comerciales en Internet, esta dirección pública suele ser dinámica. Esto significa que se genera de forma aleatoria y se asigna al router por un periodo determinado de tiempo (unas 24 horas). Como un acceso externo desde Internet requiere, sin embargo, una dirección estable, se puede recurrir a una tecnología como la que ofrece un DNS dinámico (DDNS), que permite acoplar direcciones IP dinámicas a dominios invariables. Para que un dispositivo en la LAN pueda interactuar con Internet, necesita un router. Este recibe las peticiones al servidor (por ejemplo, cuando se solicita una página) desde la red local y las envía
- Dirección IP privada (IP LAN): observando la configuración de una red de área local (Local Area Network o LAN) que interconecta diferentes dispositivos en una red doméstica o de oficina, también se encuentran direcciones IP. Estas, sin embargo, solo se usan para la comunicación interna en la red, suelen ser concedidas de forma automática por un servidor DHCP (Dynamic Host Configuration Protocol) y conectan entre sí todos los componentes de hardware de la red como PC, tablets, smartphones o homeserver (NAS), de ahí la denominación alternativa de IP LAN. Como las direcciones IP privadas no son enrutables (no son únicas), no permiten acceder directamente a la dirección IPv4 de tu sistema de almacenamiento NAS desde Internet. En su lugar, el router, la única entidad en una LAN que posee una dirección pública (y acceso a Internet), ha de estar configurado de tal forma que los accesos al sistema NAS se reenvíen directamente a su IP LAN privada. Lo mejor para ello es que se asigne a los dispositivos de red con funciones de servidor una dirección IP LAN estática.
Para que un dispositivo en la LAN pueda interactuar con Internet, necesita un router. Este recibe las peticiones al servidor (por ejemplo, cuando se solicita una página) desde la red local y las envía con la dirección IP pública propia al destino que corresponda en la World Wide Web. Si esta envía como respuesta un paquete de datos, el router se ocupa de que sea reenviado a la entidad que emitió la petición en la LAN. La distribución de paquetes IP en una red local con IPv4 tiene lugar por medio de un componente traductor del router llamado NAT (Network Address Translation).
Si, por el contrario, un router recibe paquetes de datos entrantes que no fueron solicitados de forma explícita por ningún dispositivo de la red local, los rechaza inmediatamente por motivos de seguridad. Esto también sucede en el caso de accesos deseados al NAS, siempre y cuando no se haya configurado ningún puerto para este tipo de accesos.
Conectar un NAS a Internet en 3 pasos
Para hacer que un dispositivo de almacenamiento NAS sea accesible desde Internet son necesarios esencialmente tres pasos, con los cuales se pueden superar los obstáculos anteriormente descritos:
- averiguar la dirección IP interna del sistema de almacenamiento,
- abrir los puertos correspondientes para el acceso desde Internet y
- utilizando un DDNS, garantizar que el router, a pesar de contar con una dirección IP pública variable, permanece accesible para peticiones desde Internet.
1. Determinar la dirección IP fija para el sistema NAS
Las direcciones IP internas de tu red son designadas por el servidor DHCP de tu router. Por regla general, cada dispositivo recibe la misma dirección IP. El router almacena entonces la dirección MAC del terminal (única en el mundo) junto a la dirección IP que le ha asignado el DHCP. La asignación dinámica de direcciones dentro de una red local solo se produce cuando esta red doméstica o de oficina abarca un número de dispositivos superior al de direcciones IP disponibles en el router.
Para determinar la dirección IP del sistema NAS, abre el panel de control del router y ve a la vista de todos los dispositivos de red conectados. En función del fabricante podrás encontrarte con un tipo u otro de menú (“red doméstica”), pero, en cualquier caso, es aquí donde figura la dirección interna del sistema, la cual deberás anotar para los pasos posteriores. Si el sistema está conectado en una red de ámbito laboral, cuyo número de dispositivos conectados supera el de direcciones internas disponibles en el router, es aconsejable impedir la designación de una nueva dirección IP para tu dispositivo de forma explícita. De nuevo, aquí dependerá del router el camino que debas seguir para ello.
2. Abrir los puertos para el acceso remoto
Un requisito fundamental para acceder de forma remota a tu NAS es configurar el cortafuegos de tal manera que autorice este tipo de peticiones desde Internet.
Con el objeto de salvaguardar la red doméstica de accesos indeseados, el router dispone de un filtro de paquetes que, de forma predeterminada, solamente deja pasar los paquetes de datos solicitados por terminales de tu red LAN. Cuando, en cambio, quieres acceder desde el exterior de tu red local a tu sistema NAS para descargar datos o para almacenarlos en él tienes que definir excepciones, porque este acceso, como los sospechosos, tampoco fue iniciado de forma interna y sería rechazado por el router por motivos de seguridad. Sin embargo, mediante una apertura de puertos el cortafuegos se abre para servicios específicos, tales como FTP (File Transfer Protocol) o SSH (Secure Shell). Para ello dirígete al panel de administración, abre el puerto correspondiente para el servicio que quieres activar (FTP, por ejemplo) y establece una redirección al sistema NAS.
Generalmente, los NAS modernos disponen de un servidor FTP integrado capaz de responder peticiones de programas cliente como Filezilla o WinSCP en cuanto existe una conexión a Internet, permitiendo, así, un intercambio de datos muy cómodo entre dispositivos diversos.
En teoría, la comunicación en red dispone de 65.536 puertos. Entre estos, los puertos del 0 al 1023 han sido reservados por la IANA (Internet Assigned Numbers Authority) como puertos estándar para determinados protocolos o aplicaciones. El servidor FTP del router, por ejemplo, suele recibir las peticiones desde Internet en el puerto 21. Para autorizarlo, has de abrir este puerto y configurar una redirección de paquetes de datos entrantes a la IP LAN fija de tu sistema NAS.
Para ello se requiere de forma estándar la introducción de cuatro datos esenciales en el menú “Abrir puertos” (que, en función del tipo de router, también podría llamarse “Redirección de puertos” o “Tunelado de puertos”) en el panel de administración de tu router:
- El puerto público que ha de abrirse en el router (según el aparato y fabricante también se llama “Public port”, “External port” o “Inbound service”)
- Dirección IP privada del dispositivo de red adonde se ha de reenviar el paquete de datos (también “Private IP” o “Internal IP”)
- El puerto privado en el cual el dispositivo ha de recibir el paquete de datos (“Private port” o “Internal port”)
- El tipo de protocolo que ha de ser utilizado en la transferencia de datos (“Type”)
Para autorizar la comunicación por Internet con el servidor FTP de tu sistema NAS introduce el número de puerto 21, tanto para el puerto público en el router como para el puerto privado en el sistema de almacenamiento. Como dirección IP privada puedes utilizar la IP LAN fija que has apuntado en el primer paso. De esta manera indicas al router que todas las peticiones y paquetes de datos que llegan al puerto 21 desde Internet pueden ser redirigidas automáticamente al puerto homónimo de tu NAS. Sin embargo, esta interacción solo puede producirse cuando los dispositivos cliente en Internet saben en qué dirección pueden encontrar al router. En el tercer y último paso se define una dirección de contacto estable.
3. Configurar un servicio DNS dinámico
Un método acreditado para que el router esté disponible de forma constante en Internet es el que ofrece un DNS dinámico, un servicio de mediación disponible en Internet, en parte también gratuitamente, de la mano de diversos proveedores. Para poder usar un DNS dinámico, regístrate en un proveedor de DDNS y crea una especie de “pseudodominio”, que será el que redirija todas las peticiones de forma automática a la dirección IP dinámica actual del router.
El principio de base es el siguiente: cada vez que el router recibe asignada una nueva dirección IP dinámica por parte del ISP, comunica el cambio de dirección al servicio DNS automáticamente. Aquí la dirección IP dinámica actual se vincula al pseudodominio estático. De esta manera, para acceder al NAS desde Internet solo has de conocer la dirección de Internet estática y no la IP que varía diariamente.