Un NAS a 2 bay è abbastanza potente per eseguire WireGuard?

Dipende dalla CPU. Un'unità di classe DS220+ (Celeron J4025, dual-core) che esegue WireGuard in Docker può tipicamente saturare una connessione in fibra a 100 Mbps — sufficiente per 1-2 utenti simultanei. Un quad-core J4125 (classe DS920+) ha più margine. Se hai bisogno di un throughput più elevato, un QNAP TS-464 (N5095) ha una CPU più capace.

WireGuard su NAS è compatibile con l'accesso remoto a Plex?

Sì, ed è in realtà la configurazione migliore. Invece di esporre Plex tramite il relay Plex.tv (qualità degradata), ti connetti prima a WireGuard, quindi accedi a Plex sull'IP locale del NAS (ad es. 192.168.1.50:32400). La qualità video è quella della LAN locale, senza compressione aggiuntiva.

Quali sono le implicazioni GDPR se il traffico esce tramite una VPN di terze parti (NordVPN) dal NAS?

Se instradi il traffico del NAS tramite NordVPN (caso d'uso in uscita), i dati passano attraverso i server NordVPN soggetti alla loro politica sulla privacy. NordVPN dichiara una politica di non registrazione verificata. Per i dati personali memorizzati sul NAS che attraversano questo tunnel, rimani il responsabile del trattamento dei dati ai sensi dell'Art. 24 GDPR. Raccomandazione: usa WireGuard self-hosted in entrata per accedere ai dati del NAS, non una VPN di terze parti in uscita.

Quale modello di NAS dovrei scegliere per sostenere 100 Mbps WireGuard?

Per 100 Mbps sostenuti, un'unità di classe J4125 (DS920+) o QNAP TS-453D è generalmente sufficiente. Per 200 Mbps+, guarda una CPU più potente come il Ryzen R1600 (DS1522+) o QNAP TS-664 (N5105). Il vero collo di bottiglia sarà spesso la tua velocità di upload in fibra, non la CPU del NAS.

Come faccio a eseguire il backup della configurazione WireGuard in caso di reset del NAS?

Tutto si trova in /volume1/docker/wireguard/config/. Questa cartella contiene chiavi private, configurazioni dei peer e wg0.conf. Imposta un'attività di backup programmata Hyper Backup su un servizio cloud (Backblaze B2 costa meno di €1/mese per questo volume). Dopo un reset, ripristina questa cartella e ricrea il container — l'intera configurazione è recuperata.

OpenVPN o WireGuard su Synology — quale dovrei scegliere?

WireGuard vince su tutti i fronti: 3-4 volte più veloce, 30-50% di latenza inferiore, codice 10 volte più piccolo (meno superficie di attacco). L'unico vantaggio di OpenVPN: il pacchetto ufficiale Synology VPN Server è più semplice da configurare per utenti non tecnici. Per prestazioni e sicurezza, scegli WireGuard tramite Docker su DSM 7.2.

La VPN del NAS funziona dietro doppio NAT (modem ISP + router)?

Sì, ma devi creare due regole di inoltro porte a cascata. Sul router interno: UDP 51820 → IP del NAS. Sul modem ISP: UDP 51820 → IP del router interno. Se il modem ISP non consente l'inoltro (alcune configurazioni CGNAT), usa un tunnel Cloudflare o Tailscale come soluzione alternativa.

Qual è la differenza tra VPN Server e VPN Plus Server su Synology?

VPN Server (gratuito, nel Centro pacchetti) supporta OpenVPN, L2TP/IPSec, PPTP. VPN Plus Server (a pagamento, licenza ~€40/mese per 5 utenti) aggiunge SSL VPN per browser, client WebVPN e supporto SSTP. Per uso personale homelab, VPN Server + WireGuard Docker è più che sufficiente e non costa nulla.

VPN su Synology e QNAP NAS: guida completa 2026 (WireGuard + OpenVPN)

Un NAS Synology può eseguire un server WireGuard (tramite Docker), e le unità QNAP moderne offrono WireGuard nativo in QTS 5.1 — senza bisogno di Docker. Questa guida copre entrambi i percorsi, con aspettative realistiche di throughput e gli errori da evitare.

Per una panoramica più ampia delle opzioni VPN self-hosted, inizia con la nostra guida completa alle migliori soluzioni VPN self-hosted 2026.

Perché eseguire una VPN sul tuo NAS

Un NAS domestico funziona 24/7. La sua CPU è inattiva il 90% del tempo — tanto vale metterla al lavoro.

Quattro casi d'uso concreti che giustificano l'installazione:

Accesso LAN remoto: da un caffè o un hotel, accedi ai tuoi drive come se fossi a casa. Condivisione file, Surveillance Station, accesso ai backup — senza esporre direttamente un singolo porta del NAS a internet.

Integrazione dati NAS: se hai 20 TB di media sul tuo NAS, una VPN locale evita di passare attraverso il relay cloud Synology/QNAP (a pagamento, limitato, potenzialmente lento). Accedi direttamente alla LAN.

Dispositivo unico: un dispositivo serve come NAS + server VPN + Plex + Pi-hole. Nessun Raspberry Pi aggiuntivo da gestire.

CPU inattiva disponibile: un DS920+ consuma 15-20W a riposo. Aggiungere WireGuard non cambia significativamente la bolletta elettrica — la CPU J4125 cripta in modalità kernel con un impatto inferiore al 5% sugli altri servizi.

La limitazione onesta: a differenza di un VPS cloud, un'interruzione di corrente o internet a casa interrompe la tua VPN. Per un uso critico durante viaggi di lavoro, mantieni un VPS Contabo come backup — vedi la nostra guida VPN self-hosted su Contabo.

Synology vs QNAP: confronto configurazione VPN

Ecco come si confrontano le due piattaforme per la configurazione VPN:

Criterio	Synology DSM 7.2	QNAP QTS 5.1
WireGuard nativo	No (tramite Docker)	Sì (QVPN Service 3.0+)
OpenVPN nativo	Sì (VPN Server)	Sì (QVPN Service)
Facilità di configurazione WireGuard	Media (richiede Docker)	Facile (GUI nativa)
Scalabilità del throughput	Legata alla CPU (J4125 di fascia media)	Legata alla CPU (N5095 più potente)
DDNS integrato gratuito	Sì (*.synology.me)	Sì (*.myqnapcloud.com)
Maturità dell'ecosistema	Alta	Buona
Documentazione	Eccellente	Decente

Verdetto: Se possiedi già un QNAP su QTS 5.1+, WireGuard nativo è un chiaro vantaggio — nessun Docker da gestire. Se sei su Synology, WireGuard tramite Docker è una configurazione ben consolidata e stabile una volta configurata.

Configurazione del server VPN su Synology (OpenVPN/L2TP)

Il percorso più semplice per iniziare su DSM 7.2 senza Docker.

Installazione:

Centro pacchetti → Cerca "VPN Server" → Installa
Apri VPN Server → Scegli OpenVPN o L2TP/IPSec
Abilita il protocollo e seleziona "Consenti ai client VPN di accedere alla rete locale del server"

Configurazione OpenVPN:

In VPN Server > OpenVPN > Impostazioni avanzate:

Interfaccia di rete: eth0 (Ethernet del NAS)
Porta: 1194 UDP
Crittografia: AES-256-CBC
Seleziona "Abilita compressione"

Inoltro delle porte: sul tuo router, inoltra UDP 1194 all'IP locale del NAS.

DNS dinamico: Pannello di controllo > Accesso esterno > DDNS. Scegli "Synology" come provider — your-nas.synology.me è gratuito. Questo sarà l'Endpoint nel file di configurazione del client .ovpn.

Generazione del file client: VPN Server > OpenVPN > Esporta configurazione. Il file .ovpn è pronto per essere importato in OpenVPN Connect su iOS/Android/Windows.

Limitazione del throughput OpenVPN su NAS: OpenVPN è notevolmente più lento di WireGuard su queste CPU, poiché la crittografia AES viene eseguita su una CPU senza AES-NI hardware. Aspettati che OpenVPN fornisca una frazione del throughput di WireGuard sullo stesso NAS. Se il throughput è importante, passa alla sezione WireGuard Docker.

Configurazione di WireGuard su Synology tramite Docker

Questa è una configurazione di produzione ben collaudata. Più performante di OpenVPN, leggermente più tecnica da configurare.

Prerequisiti: DSM 7.2, Container Manager installato, almeno 4 GB di RAM sul NAS.

Passo 1 — Crea la cartella di configurazione:

In File Station, crea /volume1/docker/wireguard/.

Passo 2 — Scarica l'immagine:

Container Manager > Registro > Cerca linuxserver/wireguard > Scarica (ultima versione).

Passo 3 — Crea il container:

Container Manager > Container > Crea > Usa immagine linuxserver/wireguard.

Impostazioni critiche:

Modalità di rete: Host (richiesto — consente al container di ascoltare direttamente sull'interfaccia di rete del NAS)
Capacità: NET_ADMIN, SYS_MODULE (aggiungi manualmente nelle impostazioni avanzate)

Variabili d'ambiente:

PUID=1000
PGID=1000
TZ=Europe/London
SERVERURL=your-nas.synology.me
SERVERPORT=51820
PEERS=3
PEERDNS=auto
INTERNAL_SUBNET=10.13.13.0

Volumi:

/volume1/docker/wireguard → /config

Passo 4 — Inoltro delle porte:

DSM > Pannello di controllo > Sicurezza > Firewall: consenti UDP 51820 in entrata. Router: UDP 51820 → IP locale del NAS.

Passo 5 — Recupera le configurazioni client:

Dopo l'avvio del container (30-60 secondi), in Container Manager > Registri del container, appaiono i codici QR dei peer. Scansiona dall'app mobile WireGuard. I file di configurazione client sono disponibili anche in /volume1/docker/wireguard/peer1/peer1.conf.

Cosa aspettarsi: su una CPU di classe J4125, WireGuard in Docker satura comodamente un tipico upload in fibra domestica lasciando la CPU ben al di sotto della saturazione, quindi altri servizi NAS continuano a funzionare senza problemi.

Per modelli di configurazione WireGuard pronti all'uso adattati a diversi scenari, consulta i nostri modelli di configurazione WireGuard 2026.

Configurazione del QVPN Service su QNAP (WireGuard nativo QTS 5.1+)

Su un QNAP TS-464 (N5095, QTS 5.1.6), WireGuard è nativo — non serve Docker.

Installazione:

Centro App > Cerca "QVPN Service" > Installa (gratuito). Apri QVPN Service dal menu principale.

Configurazione WireGuard:

QVPN Service > VPN Server > WireGuard > Abilita WireGuard Server.

Impostazioni:

Porta di ascolto: 51820 UDP
Indirizzo IP del tunnel: 10.6.0.1/24
DNS: 1.1.1.1 (o IP del NAS per DNS locale QNAP)

Aggiunta di client:

QVPN > Account di connessione > Aggiungi account VPN. Ogni account genera automaticamente una coppia di chiavi WireGuard. Clicca sul pulsante QR Code per visualizzare il QR scansionabile dall'app mobile WireGuard.

Inoltro delle porte:

Sul tuo router, inoltra UDP 51820 all'IP del QNAP. Usa QNAP Cloud per DDNS gratuito (*.myqnapcloud.com): Centro App > myQNAPcloud > Abilita.

Nota sul throughput: l'N5095 è una CPU più capace del Celeron J4125 e gestisce la crittografia WireGuard con più margine, quindi un TS-464 generalmente sosterrà un throughput più elevato con un uso della CPU inferiore rispetto a un'unità Synology di classe J4125.

Per strategie di nodo di uscita Tailscale su NAS, vedi anche la nostra guida completa al nodo di uscita Tailscale 2026 — complementare alla VPN self-hosted.

Routing in uscita: inviare il traffico del NAS tramite una VPN esterna

Caso d'uso diverso: vuoi che il NAS stesso instradi il traffico internet tramite NordVPN/Surfshark (per accedere a contenuti geo-bloccati da Plex, o far uscire Sonarr/Radarr da un IP diverso).

Su Synology tramite Docker (NordVPN):

Usa l'immagine ghcr.io/bubuntux/nordvpn:

version: "3"
services:
  nordvpn:
    image: ghcr.io/bubuntux/nordvpn
    cap_add:
      - NET_ADMIN
    environment:
      - USER=your@email.com
      - PASS=your_password
      - CONNECT=France
      - TECHNOLOGY=NordLynx
      - NETWORK=192.168.1.0/24
    ports:
      - 8080:8080

I container Sonarr/Radarr posizionati nella stessa rete Docker utilizzano quindi questa connessione.

Caso d'uso Plex + VPN in uscita: se accedi a Plex da una regione con restrizioni geografiche (ad es. contenuti francesi dal Canada), instradare attraverso questo tunnel bypassa la restrizione. Nota che ciò non ti esonera da un abbonamento Plex valido.

Su QNAP tramite QVPN: QVPN Service > VPN Client > Aggiungi connessione > WireGuard o OpenVPN (importa il file .ovpn scaricato dal sito di NordVPN/Surfshark). Abilita la connessione. Verifica l'IP in uscita del QNAP con curl ifconfig.me via SSH.

Per strategie di routing avanzate con tabelle di routing personalizzate, vedi la nostra guida VPN self-hosted su Raspberry Pi 5 — i principi di inoltro IP si applicano anche ai NAS.

Prestazioni e sicurezza: benchmark e rafforzamento

Il throughput di WireGuard dipende principalmente dalla CPU del NAS. I Celeron dual-core di fascia bassa (J4025) sono i più lenti; le unità quad-core J4125 si trovano nel mezzo; i chip Jasper Lake più recenti (N5095/N5105) e Ryzen (R1600) sono i più veloci. Di seguito una guida relativa approssimativa — i tuoi numeri effettivi dipendono dalla tua CPU, dalla velocità di upload in fibra e dal carico NAS concorrente, quindi testa la tua configurazione con iperf3:

NAS	CPU	Capacità relativa WireGuard
Synology DS220+	J4025 (2C)	Ingresso — adatto per fibra a 100 Mbps
Synology DS920+	J4125 (4C)	Fascia media
Synology DS1522+	R1600 (6C)	Alta
QNAP TS-253D	J4125 (4C)	Fascia media (nativo)
QNAP TS-464	N5095 (4C)	Alta (nativo)
QNAP TS-664	N5105 (4C)	Alta (nativo)

Rafforzamento della sicurezza (obbligatorio prima di esporre qualsiasi porta a internet):

1. MFA amministratore su DSM/QTS

Synology: Pannello di controllo > Account utente > Verifica in due passaggi → abilita TOTP (Google Authenticator o Authy). QNAP: myQNAPcloud > Centro sicurezza > Verifica in due passaggi → TOTP. Non esporre mai direttamente la porta amministrativa DSM (5000/5001) — solo tramite VPN o proxy inverso.

2. Fail2ban e blocco IP

Synology DSM include nativamente un sistema di blocco automatico: Pannello di controllo > Sicurezza > Protezione > Blocca automaticamente gli indirizzi IP dopo X tentativi di accesso falliti. Configura: 5 tentativi, blocco di 24 ore.

3. Blocco geografico del firewall

Synology: Pannello di controllo > Sicurezza > Firewall > Crea regola > Consenti solo i paesi di origine previsti (il tuo paese di origine + destinazioni di viaggio). Blocca tutto il resto. QNAP: QuFirewall (disponibile nel Centro App) offre lo stesso blocco geografico.

4. Porte esposte minime

Esporre solo la porta UDP di WireGuard (51820). Nessuna porta amministrativa DSM/QTS, nessuna porta Plex diretta (usa QuickConnect o solo tramite VPN), nessun SSH esposto (usa la VPN come host di salto).

Impatto CPU in produzione: La crittografia WireGuard è leggera. Su un NAS quad-core di classe J4125, un trasferimento WireGuard sostenuto lascia ampio margine di CPU per altri servizi (come la transcodifica Plex 1080p H.265 → H.264). WireGuard è abbastanza leggero da non compromettere i carichi di lavoro tipici del NAS.

Per una copertura più approfondita delle strategie di sicurezza VPN, vedi la nostra guida completa alle migliori soluzioni VPN self-hosted 2026.

★ Datacenter GDPR di Norimberga · ✓ IPv4 dedicato incluso · 200+ Mbps garantiti

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→