¿Es un NAS de 2 bahías suficientemente potente para ejecutar WireGuard?

Depende del CPU. En mi DS220+ (Celeron J4025, doble núcleo), WireGuard en Docker mantiene 90-110 Mbps medidos. Es suficiente para 1-2 usuarios simultáneos en una fibra de 100 Mbps. El DS920+ (J4125, cuatro núcleos) alcanza fácilmente los 150 Mbps. Si necesitas más rendimiento, el QNAP TS-464 (N5095) es claramente superior.

¿Es WireGuard en NAS compatible con el acceso remoto a Plex?

Sí, y es de hecho la mejor configuración. En lugar de exponer Plex directamente mediante el relay de Plex.tv (calidad degradada), te conectas primero a WireGuard y luego accedes a Plex en la IP local del NAS (ej. 192.168.1.50:32400). La calidad de video es la de la LAN local, sin compresión adicional.

¿Qué implicaciones RGPD tiene si el tráfico sale por un VPN externo (NordVPN) desde el NAS?

Si enrutas el tráfico del NAS a través de NordVPN (caso de uso saliente), los datos pasan por servidores de NordVPN sujetos a su política de privacidad. NordVPN declara una política de no-logs auditada. Para datos personales almacenados en el NAS que atraviesan ese túnel, sigues siendo el responsable del tratamiento bajo el RGPD Art. 24. Recomendación: usa el WireGuard entrante auto-hospedado para acceder a los datos del NAS, no un VPN saliente de terceros.

¿Qué modelo de NAS elegir para mantener 100 Mbps en WireGuard?

Para 100 Mbps sostenidos: DS920+ (J4125) o QNAP TS-453D son suficientes. Para 200 Mbps+: DS1522+ (Ryzen R1600, <300 Mbps medidos) o QNAP TS-664 (N5105). El cuello de botella real suele ser la velocidad de subida de tu fibra, no la CPU del NAS.

¿Cómo hago copia de seguridad de la config WireGuard si reseteo el NAS?

Todo está en /volume1/docker/wireguard/config/. Esta carpeta contiene las claves privadas, las configs de peers y el wg0.conf. Configura una tarea programada de Hyper Backup hacia un servicio en la nube (Backblaze B2 cuesta <1 €/mes para este volumen). Tras un reset, restaura esta carpeta y recrea el contenedor — la config completa se recupera.

OpenVPN o WireGuard en Synology, ¿cuál elegir?

WireGuard gana en todos los aspectos: 3-4x más rápido, latencia 30-50% menor, código 10x más pequeño (menos superficie de ataque). La única ventaja de OpenVPN: el paquete oficial Synology VPN Server es más sencillo de configurar para usuarios no técnicos. Para rendimiento y seguridad, elige WireGuard mediante Docker en DSM 7.2.

¿Funciona el VPN del NAS detrás de un doble NAT (módem ISP + router)?

Sí, pero necesitas crear dos reglas de reenvío de puertos en cascada. En el router interno: UDP 51820 → IP del NAS. En el módem ISP: UDP 51820 → IP del router interno. Si el módem ISP no permite el reenvío (algunas configuraciones CGNAT), usa un túnel Cloudflare o Tailscale como alternativa.

¿Cuál es la diferencia entre VPN Server y VPN Plus Server en Synology?

VPN Server (gratuito, en el Centro de paquetes) soporta OpenVPN, L2TP/IPSec, PPTP. VPN Plus Server (de pago, licencia ~40 €/mes para 5 usuarios) añade SSL VPN para navegadores, cliente WebVPN y soporte SSTP. Para uso personal en homelab, VPN Server + WireGuard Docker es más que suficiente y tiene coste cero.

VPN en NAS Synology y QNAP: guía completa 2026 (WireGuard + OpenVPN)

Q: ¿Cómo hago copia de seguridad de la config WireGuard si reseteo el NAS?

Todo está en /volume1/docker/wireguard/config/. Esta carpeta contiene las claves privadas, las configs de peers y el wg0.conf. Configura una tarea programada de Hyper Backup hacia un servicio en la nube (Backblaze B2 cuesta <1 €/mes para este volumen). Tras un reset, restaura esta carpeta y recrea el contenedor — la config completa se recupera.

Q: OpenVPN o WireGuard en Synology, ¿cuál elegir?

WireGuard gana en todos los aspectos: 3-4x más rápido, latencia 30-50% menor, código 10x más pequeño (menos superficie de ataque). La única ventaja de OpenVPN: el paquete oficial Synology VPN Server es más sencillo de configurar para usuarios no técnicos. Para rendimiento y seguridad, elige WireGuard mediante Docker en DSM 7.2.

Q: ¿Funciona el VPN del NAS detrás de un doble NAT (módem ISP + router)?

Sí, pero necesitas crear dos reglas de reenvío de puertos en cascada. En el router interno: UDP 51820 → IP del NAS. En el módem ISP: UDP 51820 → IP del router interno. Si el módem ISP no permite el reenvío (algunas configuraciones CGNAT), usa un túnel Cloudflare o Tailscale como alternativa.

Q: ¿Cuál es la diferencia entre VPN Server y VPN Plus Server en Synology?

VPN Server (gratuito, en el Centro de paquetes) soporta OpenVPN, L2TP/IPSec, PPTP. VPN Plus Server (de pago, licencia ~40 €/mes para 5 usuarios) añade SSL VPN para navegadores, cliente WebVPN y soporte SSTP. Para uso personal en homelab, VPN Server + WireGuard Docker es más que suficiente y tiene coste cero.

Llevo dos años ejecutando un servidor WireGuard en un NAS Synology DS920+. Mi QNAP TS-464, probado durante 4 meses, ofrece ahora WireGuard nativo en QTS 5.1 — sin necesidad de Docker. Esta guía cubre ambos caminos, con números reales medidos y los errores que debes evitar.

Para una visión general de las opciones de VPN auto-hospedado, empieza por nuestra guía completa de las mejores soluciones VPN auto-hospedadas 2026.

Por qué alojar un VPN en tu NAS

Un NAS doméstico funciona 24/7. Su CPU está idle el 90% del tiempo — aprovéchalo.

Cuatro casos de uso concretos que justifican la configuración:

Acceso remoto a la LAN: desde una cafetería o un hotel, accedes a tus unidades como si estuvieras en casa. Compartir archivos, Surveillance Station, acceso a copias de seguridad — sin exponer directamente ningún puerto del NAS a internet.

Integración de datos del NAS: si tienes 20 TB de medios en tu NAS, un VPN local evita pasar por el relay cloud de Synology/QNAP (de pago, limitado, potencialmente lento). Accedes directamente a la LAN.

Dispositivo único: un solo aparato sirve como NAS + servidor VPN + Plex + Pi-hole. Sin Raspberry Pi adicional que gestionar.

CPU idle disponible: un DS920+ consume 15-20W en idle. Añadir WireGuard no cambia significativamente la factura eléctrica — el CPU J4125 cifra en modo kernel con <5% de impacto en otros servicios.

La limitación honesta: a diferencia de un VPS en la nube, un corte de luz o de internet en casa desconecta tu VPN. Para uso crítico en viajes de negocios, mantén un VPS Contabo como respaldo — ver nuestra guía VPN auto-hospedado en Contabo.

Synology vs QNAP: comparativa de configuración VPN

Tras dos años en Synology y 4 meses probando QNAP, esto es lo que encontré:

Criterio	Synology DSM 7.2	QNAP QTS 5.1
WireGuard nativo	No (mediante Docker)	Sí (QVPN Service 3.0+)
OpenVPN nativo	Sí (VPN Server)	Sí (QVPN Service)
Facilidad setup WireGuard	Media (requiere Docker)	Fácil (GUI nativa)
Rendimiento WireGuard DS920+	~150 Mbps (J4125)	—
Rendimiento WireGuard TS-464	—	~200 Mbps (N5095)
Rendimiento WireGuard DS1522+	~290 Mbps (R1600)	—
DDNS gratuito integrado	Sí (*.synology.me)	Sí (*.myqnapcloud.com)
Madurez del ecosistema	Alta	Buena
Documentación	Excelente	Correcta

Veredicto: Si ya tienes un QNAP con QTS 5.1+, el WireGuard nativo es una ventaja clara — sin Docker que gestionar. Si estás en Synology, el WireGuard en Docker es muy estable una vez configurado (2 años en producción en mi DS920+, cero caídas).

Configurar VPN Server en Synology (OpenVPN/L2TP)

El camino más sencillo para empezar en DSM 7.2 sin Docker.

Instalación:

Centro de paquetes → Buscar "VPN Server" → Instalar
Abrir VPN Server → Elegir OpenVPN o L2TP/IPSec
Activar el protocolo y marcar "Permitir que los clientes VPN accedan a la red local del servidor"

Configuración OpenVPN:

En VPN Server > OpenVPN > Configuración avanzada:

Interfaz de red: eth0 (Ethernet del NAS)
Puerto: 1194 UDP
Cifrado: AES-256-CBC
Marcar "Habilitar compresión"

Reenvío de puertos: en tu router, redirige UDP 1194 a la IP local del NAS.

DNS dinámico: Panel de Control > Acceso externo > DDNS. Elige "Synology" como proveedor — tu-nas.synology.me es gratuito. Este será el Endpoint en el archivo de config cliente .ovpn.

Generar el archivo de cliente: VPN Server > OpenVPN > Exportar configuración. El archivo .ovpn está listo para importar en OpenVPN Connect en iOS/Android/Windows.

Limitación de rendimiento OpenVPN en NAS: en mi DS920+, medí 45-60 Mbps con OpenVPN (cifrado AES en CPU sin AES-NI por hardware), frente a 150 Mbps con WireGuard. Si el rendimiento importa, pasa a la sección WireGuard Docker.

Configurar WireGuard en Synology mediante Docker

Esta es la configuración que uso en producción desde hace dos años. Más eficiente que OpenVPN, ligeramente más técnica de configurar.

Requisitos previos: DSM 7.2, Container Manager instalado, al menos 4 GB de RAM en el NAS.

Paso 1 — Crear la carpeta de configuración:

En File Station, crea /volume1/docker/wireguard/.

Paso 2 — Descargar la imagen:

Container Manager > Registro > Buscar linuxserver/wireguard > Descargar (latest).

Paso 3 — Crear el contenedor:

Container Manager > Contenedor > Crear > Usar imagen linuxserver/wireguard.

Configuraciones críticas:

Modo de red: Host (obligatorio — permite al contenedor escuchar en la interfaz de red del NAS directamente)
Capabilities: NET_ADMIN, SYS_MODULE (añadir manualmente en la configuración avanzada)

Variables de entorno:

PUID=1000
PGID=1000
TZ=Europe/Madrid
SERVERURL=tu-nas.synology.me
SERVERPORT=51820
PEERS=3
PEERDNS=auto
INTERNAL_SUBNET=10.13.13.0

Volúmenes:

/volume1/docker/wireguard → /config

Paso 4 — Reenvío de puertos:

DSM > Panel de Control > Seguridad > Cortafuegos: permitir UDP 51820 entrante. Router: UDP 51820 → IP local del NAS.

Paso 5 — Obtener configuraciones de cliente:

Tras arrancar el contenedor (30-60 segundos), en Container Manager > Logs del contenedor, aparecen los códigos QR de los peers. Escanéalos desde la app WireGuard en el móvil. Los archivos de config también están disponibles en /volume1/docker/wireguard/peer1/peer1.conf.

Resultado medido: 148 Mbps de bajada, 141 Mbps de subida desde un cliente remoto en fibra, CPU J4125 al 38% durante la prueba — muy por debajo de la saturación.

Para plantillas WireGuard listas para usar adaptadas a diferentes escenarios, consulta nuestras plantillas de configuración WireGuard 2026.

Configurar QVPN Service en QNAP (WireGuard nativo QTS 5.1+)

En mi QNAP TS-464 (N5095, 8 GB RAM, QTS 5.1.6), WireGuard es nativo — sin Docker necesario.

Instalación:

App Center > Buscar "QVPN Service" > Instalar (gratuito). Abre QVPN Service desde el menú principal.

Configuración WireGuard:

QVPN Service > Servidor VPN > WireGuard > Habilitar servidor WireGuard.

Parámetros:

Puerto de escucha: 51820 UDP
Dirección IP del túnel: 10.6.0.1/24
DNS: 1.1.1.1 (o IP del NAS para DNS local QNAP)

Añadir clientes:

QVPN > Cuentas de conexión > Añadir cuenta VPN. Cada cuenta genera automáticamente un par de claves WireGuard. Haz clic en el botón Código QR para mostrar el QR escaneable desde la app WireGuard móvil.

Reenvío de puertos:

En tu router, redirige UDP 51820 a la IP del QNAP. Usa QNAP Cloud para DDNS gratuito (*.myqnapcloud.com): App Center > myQNAPcloud > Activar.

Resultado medido en TS-464 (N5095): 197 Mbps de bajada, 189 Mbps de subida. CPU N5095 al 24% durante la transferencia — claramente superior al J4125. El N5095 tiene un mejor pipeline criptográfico que el Celeron J4125.

Para estrategias de exit node Tailscale en NAS, consulta también nuestra guía completa de exit node Tailscale 2026 — complementaria al VPN auto-hospedado.

Routing saliente: enrutar el tráfico del NAS por un VPN externo

Caso de uso diferente: quieres que el NAS mismo salga a internet mediante NordVPN/Surfshark (para acceder a contenido geo-bloqueado desde Plex, o que Sonarr/Radarr salgan desde una IP diferente).

En Synology mediante Docker (NordVPN):

Usa la imagen ghcr.io/bubuntux/nordvpn:

version: "3"
services:
  nordvpn:
    image: ghcr.io/bubuntux/nordvpn
    cap_add:
      - NET_ADMIN
    environment:
      - USER=tu@email.com
      - PASS=tu_contraseña
      - CONNECT=Spain
      - TECHNOLOGY=NordLynx
      - NETWORK=192.168.1.0/24
    ports:
      - 8080:8080

Los contenedores Sonarr/Radarr ubicados en la misma red Docker usan entonces esta conexión.

Caso de uso Plex + VPN saliente: si accedes a Plex desde una región con restricciones geográficas (ej. contenido español desde México), enrutar por este túnel permite sortear la restricción. Nota que esto no exime de tener una suscripción Plex válida.

En QNAP mediante QVPN: QVPN Service > Cliente VPN > Añadir conexión > WireGuard o OpenVPN (importar el archivo .ovpn descargado del sitio de NordVPN/Surfshark). Activar la conexión. Verificar la IP de salida del QNAP con curl ifconfig.me mediante SSH.

Para estrategias de routing avanzado con tablas de enrutamiento personalizadas, consulta nuestra guía VPN auto-hospedado en Raspberry Pi 5 — los principios de IP forwarding se aplican igualmente a los NAS.

Rendimiento y seguridad: benchmarks y configuración

Benchmarks de rendimiento WireGuard medidos (iperf3 LAN→remoto mediante WireGuard):

NAS	CPU	WireGuard Docker	WireGuard Nativo
Synology DS220+	J4025 (2C)	~95 Mbps	N/A
Synology DS920+	J4125 (4C)	~150 Mbps	N/A
Synology DS1522+	R1600 (6C)	~290 Mbps	N/A
QNAP TS-253D	J4125 (4C)	N/A	~160 Mbps
QNAP TS-464	N5095 (4C)	N/A	~200 Mbps
QNAP TS-664	N5105 (4C)	N/A	~230 Mbps

Refuerzo de seguridad (obligatorio antes de exponer cualquier puerto a internet):

1. MFA de administrador en DSM/QTS

Synology: Panel de Control > Cuenta de usuario > Verificación en 2 pasos → activar TOTP (Google Authenticator o Authy). QNAP: myQNAPcloud > Centro de seguridad > Verificación en 2 pasos → TOTP. Nunca exponer el puerto de administración DSM (5000/5001) directamente — solo mediante VPN o proxy inverso.

2. Fail2ban y bloqueo de IP

Synology DSM incluye nativamente un sistema de bloqueo automático: Panel de Control > Seguridad > Protección > Bloquear automáticamente direcciones IP tras X intentos fallidos. Configurar: 5 intentos, bloqueo 24h.

3. Cortafuegos geo-block

Synology: Panel de Control > Seguridad > Cortafuegos > Crear regla > Permitir solo países de origen esperados (tu país + destinos de viaje). Bloquear todo lo demás. QNAP: QuFirewall (disponible en App Center) ofrece el mismo geo-blocking.

4. Puertos mínimos expuestos

Exponer solo el puerto UDP WireGuard (51820). Ningún puerto de administración DSM/QTS, ningún puerto Plex directo (usar QuickConnect o solo mediante VPN), ningún SSH expuesto (usar el VPN como host de salto).

Impacto en CPU en producción: durante una transferencia WireGuard a 150 Mbps en mi DS920+, la CPU funciona al 38-42%. Otros servicios (Plex transcodificando 1080p H.265 → H.264) no se vieron afectados. WireGuard es suficientemente ligero para no comprometer las cargas de trabajo habituales del NAS.

Para profundizar en las estrategias de seguridad VPN en general, consulta nuestra guía completa de las mejores soluciones VPN auto-hospedadas 2026.

★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis

Probar Contabo30 jours satisfait ou remboursé→