J'utilise un NAS Synology DS920+ comme serveur WireGuard depuis deux ans. Mon QNAP TS-464, testé pendant 4 mois, propose désormais WireGuard natif dans QTS 5.1 — sans Docker. Ce guide couvre les deux chemins, avec des chiffres mesurés et les erreurs à éviter.
Pour une vue d'ensemble des solutions d'auto-hébergement VPN, commence par notre comparatif complet des meilleures solutions VPN auto-hébergées 2026.
Pourquoi héberger un VPN sur son NAS
Un NAS domestique tourne 24h/24, 7j/7. Son CPU est idle à 90 % du temps — autant le mettre à profit.
Les quatre cas d'usage concrets qui justifient la démarche :
Accès LAN distant : depuis un café ou un hôtel, tu accèdes à tes disques comme si tu étais à la maison. Partage de fichiers, Surveillance Station, accès aux sauvegardes — sans exposer un seul port NAS directement.
Intégration données NAS : si tu as 20 To de médias sur ton NAS, un VPN local évite de passer par le relay cloud Synology/QNAP (payant, limité, potentiellement lent). Tu accèdes directement au LAN.
Device unique : un seul appareil fait office de NAS + serveur VPN + Plex + Pi-hole. Pas de Raspberry Pi supplémentaire à gérer.
CPU idle disponible : un DS920+ consomme 15-20W en idle. Ajouter WireGuard ne change pas significativement la facture électrique — le CPU J4125 chiffre en kernel avec <5 % d'impact sur les autres services.
La limite à connaître honnêtement : contrairement à un VPS cloud, une panne de courant ou d'internet à domicile coupe ton VPN. Pour un usage critique en déplacement professionnel, garde un VPS Contabo en backup — voir notre guide VPN auto-hébergé sur Contabo.
Synology vs QNAP : comparatif setup VPN
Après deux ans sur Synology et 4 mois de tests QNAP, voici ce que j'ai constaté :
| Critère | Synology DSM 7.2 | QNAP QTS 5.1 |
|---|---|---|
| WireGuard natif | Non (via Docker) | Oui (QVPN Service 3.0+) |
| OpenVPN natif | Oui (VPN Server) | Oui (QVPN Service) |
| Facilité setup WG | Moyenne (Docker requis) | Facile (GUI native) |
| Débit WireGuard DS920+ | ~150 Mbps (J4125) | — |
| Débit WireGuard TS-464 | — | ~200 Mbps (N5095) |
| Débit WireGuard DS1522+ | ~290 Mbps (R1600) | — |
| DDNS gratuit intégré | Oui (*.synology.me) | Oui (*.myqnapcloud.com) |
| Maturité ecosystem | Élevée | Bonne |
| Documentation | Excellente | Correcte |
Verdict : Si tu possèdes déjà un QNAP QTS 5.1+, WireGuard natif est un avantage clair — pas de Docker à gérer. Si tu es sur Synology, le Docker WireGuard reste très stable une fois configuré (2 ans de production sur mon DS920+, zéro crash).
Setup VPN Server Synology (OpenVPN/L2TP)
Le chemin le plus simple pour débuter sur DSM 7.2 sans Docker.
Installation :
- Package Center → Rechercher "VPN Server" → Installer
- Ouvrir VPN Server → Choisir OpenVPN ou L2TP/IPSec
- Activer le protocole et cocher "Autoriser les clients VPN à accéder au réseau local du serveur"
Configuration OpenVPN :
Dans VPN Server > OpenVPN > Paramètres avancés :
- Interface réseau : eth0 (Ethernet NAS)
- Port : 1194 UDP
- Chiffrement : AES-256-CBC
- Cocher "Activer la compression"
Port forwarding : sur ta box internet, rediriger UDP 1194 vers l'IP locale du NAS.
DNS dynamique : Panneau de Configuration > Connectivité externe > DDNS. Choisir "Synology" comme fournisseur — le nom ton-nas.synology.me est gratuit. Ce sera l'Endpoint du fichier config client .ovpn.
Génération du fichier client : VPN Server > OpenVPN > Exporter la configuration. Le fichier .ovpn est prêt à importer dans OpenVPN Connect sur iOS/Android/Windows.
Limite OpenVPN sur NAS : sur le DS920+, j'ai mesuré 45-60 Mbps en OpenVPN (chiffrement AES sur CPU sans AES-NI), contre 150 Mbps en WireGuard. Si le débit compte, passe à la section WireGuard Docker.
Setup WireGuard sur Synology via Docker
C'est la configuration que j'utilise depuis deux ans en production. Plus performante qu'OpenVPN, légèrement plus technique à mettre en place.
Prérequis : DSM 7.2, Container Manager installé, au moins 4 Go de RAM sur le NAS.
Étape 1 — Créer le dossier de config :
Dans File Station, créer /volume1/docker/wireguard/.
Étape 2 — Télécharger l'image :
Container Manager > Registry > Rechercher linuxserver/wireguard > Télécharger (latest).
Étape 3 — Créer le conteneur :
Container Manager > Conteneur > Créer > Utiliser l'image linuxserver/wireguard.
Paramètres critiques :
- Mode réseau : Host (obligatoire — permet au conteneur d'écouter sur l'interface réseau du NAS directement)
- Capabilities : NET_ADMIN, SYS_MODULE (ajouter manuellement dans les paramètres avancés)
Variables d'environnement :
PUID=1000
PGID=1000
TZ=Europe/Paris
SERVERURL=ton-nas.synology.me
SERVERPORT=51820
PEERS=3
PEERDNS=auto
INTERNAL_SUBNET=10.13.13.0
Volumes :
/volume1/docker/wireguard → /config
Étape 4 — Port forwarding :
DSM > Panneau de Configuration > Sécurité > Firewall : autoriser UDP 51820 entrant. Box internet : UDP 51820 → IP locale NAS.
Étape 5 — Récupérer les configs clients :
Après démarrage du conteneur (30-60 secondes), dans Container Manager > Logs du conteneur, les QR codes des peers apparaissent. Scanner depuis l'app WireGuard mobile. Les fichiers /volume1/docker/wireguard/peer1/peer1.conf contiennent également les configs texte.
Résultat mesuré : 148 Mbps download, 141 Mbps upload depuis un client distant sur fibre, CPU J4125 à 38 % pendant le test — bien en dessous de la saturation.
Pour des templates WireGuard prêts à l'emploi adaptés à différents scénarios, consulte nos modèles de configuration WireGuard 2026.
Setup QVPN Service QNAP (WireGuard natif QTS 5.1+)
Sur QNAP TS-464 (N5095, 8 Go RAM, QTS 5.1.6), WireGuard est natif — aucun Docker nécessaire.
Installation :
App Center > Rechercher "QVPN Service" > Installer (gratuit). Ouvre QVPN Service depuis le menu principal.
Configuration WireGuard :
QVPN Service > Serveur VPN WireGuard > Activer le serveur WireGuard.
Paramètres :
- Port d'écoute : 51820 UDP
- Adresse IP tunnel : 10.6.0.1/24
- DNS : 1.1.1.1 (ou IP NAS pour QNAP DNS local)
Ajouter des clients :
QVPN > Comptes de connexion > Ajouter un compte VPN. Chaque compte génère automatiquement une clé WireGuard. Clique sur le bouton QR Code pour afficher le QR scannable depuis l'app WireGuard mobile.
Port forwarding :
Sur ta box internet, rediriger UDP 51820 vers l'IP du QNAP. Utilise QNAP Cloud pour le DDNS gratuit (*.myqnapcloud.com) : App Center > myQNAPcloud > Activer.
Résultat mesuré sur TS-464 (N5095) : 197 Mbps download, 189 Mbps upload. CPU N5095 à 24 % pendant le transfert — performance nettement supérieure au J4125. Le N5095 a un meilleur pipeline cryptographique que le Celeron J4125.
Pour les stratégies de sortie via exit node Tailscale sur NAS, voir aussi notre guide exit node Tailscale 2026 — complémentaire au VPN self-hosted.
Routing sortant : faire passer le trafic NAS via VPN externe
Cas d'usage différent : tu veux que le NAS lui-même sorte sur internet via NordVPN/Surfshark (pour accéder à du contenu géo-bloqué depuis Plex, ou que Sonarr/Radarr sortent via une IP différente).
Sur Synology via Docker (NordVPN) :
Utilise l'image ghcr.io/bubuntux/nordvpn :
version: "3"
services:
nordvpn:
image: ghcr.io/bubuntux/nordvpn
cap_add:
- NET_ADMIN
environment:
- USER=ton@email.com
- PASS=ton_mot_de_passe
- CONNECT=France
- TECHNOLOGY=NordLynx
- NETWORK=192.168.1.0/24
ports:
- 8080:8080
Les conteneurs Sonarr/Radarr placés dans le même réseau Docker utilisent alors cette connexion.
Cas d'usage Plex + VPN sortant : si tu accèdes à Plex depuis une région géo-restreinte (ex. contenu FR depuis Canada), le relay Plex via ce tunnel permet de contourner la restriction. Note que cela ne dispense pas d'un abonnement Plex valide.
Sur QNAP via QVPN : QVPN Service > Client VPN > Ajouter connexion > WireGuard ou OpenVPN (importer le fichier .ovpn NordVPN/Surfshark téléchargé depuis leur site). Activer la connexion. Vérifier l'IP sortante du QNAP avec curl ifconfig.me depuis SSH QNAP.
Pour les scénarios de routing avancé avec tables de routage personnalisées, voir notre guide self-host VPN Raspberry Pi 5 — les principes IP forwarding s'appliquent aussi aux NAS.
Performance et sécurité : benchmarks et durcissement
Benchmarks débit WireGuard mesurés (iperf3 LAN→distant via WireGuard) :
| NAS | CPU | WireGuard Docker | WireGuard Natif |
|---|---|---|---|
| Synology DS220+ | J4025 (2C) | ~95 Mbps | N/A |
| Synology DS920+ | J4125 (4C) | ~150 Mbps | N/A |
| Synology DS1522+ | R1600 (6C) | ~290 Mbps | N/A |
| QNAP TS-253D | J4125 (4C) | N/A | ~160 Mbps |
| QNAP TS-464 | N5095 (4C) | N/A | ~200 Mbps |
| QNAP TS-664 | N5105 (4C) | N/A | ~230 Mbps |
Durcissement sécurité (obligatoire avant d'ouvrir un port sur internet) :
1. MFA admin DSM/QTS
Synology : Panneau de Configuration > Compte > Vérification en 2 étapes → activer TOTP (Google Authenticator ou Authy). QNAP : myQNAPcloud > Security Center > Vérification en 2 étapes → TOTP. Ne jamais exposer le port admin DSM (5000/5001) directement — uniquement via VPN ou reverse proxy.
2. Fail2ban et blocage IP
Synology DSM intègre nativement un système de blocage automatique : Panneau de Configuration > Sécurité > Protection > Bloquer automatiquement les IP après X tentatives d'échec. Configurer : 5 tentatives, blocage 24h.
3. Firewall géo-block
Synology : Panneau de Configuration > Sécurité > Firewall > Créer règle > Autoriser uniquement les pays sources attendus (France + pays de déplacement). Bloquer tout le reste. QNAP : QuFirewall (disponible dans App Center) offre le même geo-blocking.
4. Port minimal exposé
N'exposer que le port UDP WireGuard (51820). Aucun port admin DSM/QTS, aucun port Plex direct (utiliser QuickConnect ou via VPN uniquement), aucun SSH exposé (utiliser le VPN comme jump host).
CPU impact en production : pendant un transfert WireGuard à 150 Mbps sur mon DS920+, la CPU tient à 38-42 %. Les autres services (Plex en transcoding 1080p H.265 → H.264) n'ont pas été dégradés. WireGuard est suffisamment léger pour ne pas compromettre les workloads NAS habituels.
Pour approfondir les stratégies de sécurité VPN en général, consulte notre guide complet des meilleures solutions VPN auto-hébergées 2026.
★ Datacenter Nuremberg GDPR · ✓ IPv4 dédiée incluse · 200+ Mbps garantis
Voir l'offre Contabo30 jours satisfait ou remboursé→
