Uno de los puntos fuertes de todo sistema domótico que se precie es la posibilidad de ser controlado a distancia. Obviamente, esto incluye cualquier ordenador personal, tablet o smartphone. Por norma general, solemos hacer estas conexiones remotas a través de conexiones móviles 3G ó 4G, aunque no en pocas ocasiones, usamos una red WIFI de un amigo, familiar o incluso lo más atrevidos una red pública.
Quizás, muchos de vosotros no os hayáis llegado a plantear el problema de seguridad que estas conexiones generan. Sin embargo, conectar de una forma inadecuada puede equipararse a entregar las llaves de tu casa a un extraño. Precisamente por ello, la mayoría de los controladores domóticos habilitan su acceso remoto a través de plataformas seguras de los propios fabricantes. Esta práctica podría equipararse a confiarle las llaves de tu casa a un vecino. Por tanto, no deja de ser una práctica de riesgo.
Desde Domotica Doméstica hemos querido ir un paso más allá eliminando el último eslabón débil de la cadena: las plataformas de los fabricantes. Obviamente, la seguridad absoluta no existe, pero os enseñaremos a subir un peldaño más en la seguridad de vuestro sistema a través de una VPN.
¿Qué es una VPN?
Una definición muy acertada de VPN la encontramos en la wikipedia:
Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión segura de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada.
Una red privada virtual es una tecnología de red que permite una extensión segura de la red local (LAN)
En la práctica, esto quiere decir que nuestro tablet, smartphone u ordenador personal, esté donde esté, conectará de forma segura mediante una VPN con un servidor situado en nuestra casa. Para ello, se establece una conexión cifrada entre ambos puntos y el equipo remoto pasará a estar integrado en la red local de nuestra casa. Es decir, nuestras apps del smartphone o tablet no emplearán el acceso remoto sino que establecerán una conexión como si estuvieran en modo local, con la particularidad real de ser remota y cifrada.
Configura tu NAS para convertirlo en un servidor VPN
Una forma rápida y cómoda de habilitar una VPN es a través de un NAS. En este caso, os mostraremos como hacerlo en un NAS de la marca Synology. Lo primero que debemos hacer es instalar el paquete de software adecuado. Para ello, y desde la pantalla principal del DSM, clickamos en Centro de Paquetes ⇒ Utilidades ⇒ VPN Server.
Una vez instalado, cerramos el Centro de paquetes y vamos a configurar el servidor clickando en el Menú Principal ⇒ VPN Server. Al abrir la pantalla de configuración del servidor, obtenemos una primera pantalla donde podemos ver el estado actual del servidor. Cabe destacar que el NAS puede manejar tres protocolos diferentes. Sin entrar en detalles técnicos, os recomendamos que únicamente activéis el protocolo que más se ajuste a vuestras necesidades en función del sistema operativo desde el que tengáis pensado conectar. A pesar de que desde cualquier sistema puede conectarse con cualquier protocolo, algunos requieren de software adicional para manejar la conexión, de modo que nuestra recomendación es la siguiente:
- Cliente Windows: Protocolo PPTP
- Cliente Linux: Cualquiera de los tres protocolos
- Cliente Android: Protocolo L2TP/IPSEC ó PPTP.
- Cliente iOS: Protocolo L2TP/IPSEC ó PPTP
Una vez seleccionado el protocolo/s que más se ajusta a nuestra necesidades, pasaremos a dar permisos a los usuarios. Clickamos en Privilegios y accedemos a la pantalla de configuración. Será tan sencillo como habilitar los protocolos que admitimos para cada uno de los usuarios.
Por último, habilitamos los protocolos que hemos decidido. Una vez lo hagamos, el NAS nos recordará que debemos abrir una serie de puertos en nuestros router. Este paso es específico de cada de uno de vosotros, ya que cada router es un mundo. Si no sabéis como hacerlo, una búsqueda en google con vuestro modelo de router os sacará de dudas. Váis a encontrar miles de enlaces sobre el tema.
Una vez finalizada la configuración del NAS, veamos como configurar un cliente.
Configuración de un cliente
La configuración del cliente también depende del sistema operativo. Como lo más habitual es que queramos acceder de forma segura a nuestro sistema domótico desde un smartphone, vamos a configurar un smartphone Android.
La configuración es verdaderamente sencilla: Ajustes ⇒ Más Ajustes ⇒ VPN ⇒ Añadir red VPN. En el ejemplo configuraremos una VPN bajo PPTP, el protocolo más común y sencillo de configurar. Tan solo hay que rellenar tres campos:
- Nombre: El nombre que decidamos darle a la conexión, por ejemplo: Mi conexión
- Tipo: En este caso seleccionamos el protocolo PPTP
- Dirección del servidor: Se trata de la IP fija del servidor. Si utilizamos un servicio de DDNS o incluso el propio servicio de Synology pondremos nuestro servidor, por ejemplo: tuidentificador.synology.me
Ahora tan solo tendremos que darle a guardar. La configuración está terminada. Como consejo, os recomendamos que vuestra conexión desde un smartphone sea siempre bajo VPN. Podéis encaminar todo el tráfico a través de ella si la conexión es permanente. Únicamente indicaros que en ese caso el protocolo debe ser obligatoriamente L2TP. En caso contrario, deberéis activar la conexión VPN cada vez que os interese.
Cómo usar la conexión para acceder a mis equipos
Volvemos a prescindir de tecnicismos, y vamos al grano. Una vez que la conexión está establecida el resultado a efectos prácticos es que nuestro equipo forma parte de nuestra LAN doméstica. ¿Qué quiere decir esto? Básicamente que podremos acceder a todos los equipos que esten en nuestra LAN, como por ejemplo nuestro controlador domótico. Imaginemos por un momento que la IP de nuestro controlador sea 192.168.0.10. Si tecleamos esa direccion en el navegador del smartphone accederemos a nuestro controlador domótico. Por tanto, si tenéis activada la conexión VPN, cuando entréis a la aplicación de control de vuestro controlador domótico lo haréis como estando en casa, es decir, será una conexión punto a punto segura.
Os animamos a que lo probéis y comentéis qué tal os ha ido con el VPN.
Gran post Antonio. Extremadamente instructivo y utilísimo. Hay que concienciar a la gente sobre los peligros de las conexiones Wifi abiertas y públicas.
Qué buen post! Enhorabuena. Lo he replicado con un Iphone y funciona perfecto. Muy recomendable para un controlador manejado con Indigo.
Gracias por el post, muy interesante y practico..
Buenas tardes,
Gracias a vosotros por leernos. Me alegro de que sea de utilidad.
Buen post. Yo tengo una duda, y a ver si me la puedes responder. Entrando por VPN al Synology de mi oficina, da igual con el usuario con el que me logee en el VPN, siempre me da acceso a todas las carpetas. Los usuarios a los que le he habilitado el VPN, no tienen acceso a todas las carpetas, pero al entrar por VPN las ven y las pueden modificar todas… ¿esto te pasa a tí??
Una vez que accedes por VPN los permisos que se aplican a las carpetas son los mismos que si accedieras en modo local. Los permisos de VPN lo que hacen es permitir o denegar a un usuario logearse contra el servidor, pero una vez estás dentro… estás con todas las de la ley.
Saludos a todos. A lo mejor llego un poco tarde, pero leyendo el trabajo y como consecuencia de un fallo reciente de los servidores de eedomus, supongo, me he puesto a investigar y me he encontrado con esta alternativa, que si bien me parece muy interesante, no he apreciado en que momento “cortas” la dependencia y posible inseguridad con los servidores de eedomus, puesto que, en cualquier caso, seguirá conectada tu central eedomus a estos servidores de manera paralela. Gracias por el trabajo.
Cunado creas el cliente en el ordenador que pretende logearse contra el servidor la dirección fija del servidor es 192.168.1.57 (la de my synology nas) o 10.0.0.1 la que aparece en el VPN server del SYNOLOGY NAS