VPN más aptas para XigmaNAS
En XigmaNAS, al estar basado en FreeBSD y orientado a uso headless con gestión vía interfaz web, las VPN que mejor encajan son las que disponen de puerto oficial en el sistema de pkg (o en el conjunto de FreeBSD Ports) y que no requieran entornos de escritorio. El usuario típico es un administrador de red que accede por SSH o desde la consola web, sin entornos gráficos convencionales.
- WireGuard: módulo en kernel-space, alto rendimiento, configuración sencilla en Shell.
- OpenVPN: maduro, documentado para FreeBSD, admite múltiples modos de cifrado y paso por la GUI del cortafuegos (pf).
- SoftEther: compatible con varios protocolos (L2TP, SSTP, OpenVPN), aunque en user-space y con más dependencias.
Comparativa de VPN para XigmaNAS
| Servicio | Protocolo | Modo | Rendimiento | Ventajas |
|---|---|---|---|---|
| WireGuard | WG (custom) | Kernel-space | Muy alto | Ligero, sencillo, alta velocidad |
| OpenVPN | SSL/TLS | User-space | Alto | Muy portable, bien documentado en FreeBSD |
| SoftEther VPN | Multi (L2TP, SSTP, OpenVPN) | User-space | Medio | Gran flexibilidad de protocolos |
Instalación y configuración de WireGuard
1. Accede por SSH a tu XigmaNAS.
2. Instala el paquete oficial:
# pkg update # pkg install wireguard
3. Habilita el servicio en /etc/rc.conf:
wireguard_enable=YES
4. Crea el directorio de configuración y genera claves:
# mkdir -p /usr/local/etc/wireguard # wg genkey tee /usr/local/etc/wireguard/privatekey wg pubkey > /usr/local/etc/wireguard/publickey
5. Edita /usr/local/etc/wireguard/wg0.conf:
[Interface] Address = 10.0.0.1/24 ListenPort = 51820 PrivateKey = TU_CLAVE_PRIVADA [Peer] PublicKey = CLAVE_PUBLICA_REMOTA AllowedIPs = 10.0.0.2/32 Endpoint = cliente.dominio.com:51820
6. Ajusta pf (cortafuegos) desde la GUI de XigmaNAS o en /etc/pf.conf:
# permitir tráfico WireGuard pass in quick on wg0 proto udp from any to any port 51820
7. Arranca el servicio:
# service wireguard start # wg show
Instalación y configuración de OpenVPN
1. Instala el paquete:
# pkg update # pkg install openvpn
2. Habilita OpenVPN en /etc/rc.conf:
openvpn_enable=YES openvpn_if=tun0
3. Crea certificados y claves con Easy-RSA (ya incluido):
# cp -r /usr/local/share/examples/openvpn/easy-rsa /usr/local/etc/openvpn # cd /usr/local/etc/openvpn/easy-rsa # ./easyrsa init-pki # ./easyrsa build-ca nopass # ./easyrsa gen-req server nopass # ./easyrsa sign-req server server # ./easyrsa gen-dh
4. Genera también certificados para el cliente y copia todo a /usr/local/etc/openvpn/server.
5. Crea /usr/local/etc/openvpn/server.conf con esta plantilla:
port 1194 proto udp dev tun ca easy-rsa/pki/ca.crt cert easy-rsa/pki/issued/server.crt key easy-rsa/pki/private/server.key dh easy-rsa/pki/dh.pem server 10.8.0.0 255.255.255.0 push redirect-gateway def1 cipher AES-256-CBC keepalive 10 120 persist-key persist-tun status openvpn-status.log verb 3
6. Configura pf en XigmaNAS (o en /etc/pf.conf):
pass in on em0 proto udp from any to any port 1194 pass out on em0 proto udp from any to any port 1194
7. Arranca OpenVPN:
# service openvpn start # tail -f /var/log/openvpn.log
Con estas dos VPN tendrás tanto la simplicidad y rendimiento de WireGuard como la versatilidad y estabilidad de OpenVPN, perfectamente integradas en el entorno de XigmaNAS y gestionables desde consola o la propia GUI de cortafuegos.
Deja una respuesta