Um NAS de 2 baías é suficientemente potente para executar WireGuard?

Depende do CPU. Uma unidade classe DS220+ (Celeron J4025, dual-core) a executar WireGuard em Docker pode tipicamente saturar uma conexão de fibra de 100 Mbps — suficiente para 1-2 utilizadores simultâneos. Um quad-core J4125 (classe DS920+) tem mais margem. Se precisar de maior desempenho, um QNAP TS-464 (N5095) tem um CPU mais capaz.

O WireGuard no NAS é compatível com acesso remoto ao Plex?

Sim, e é na verdade a melhor configuração. Em vez de expor o Plex via o relé Plex.tv (qualidade degradada), conecta-se primeiro ao WireGuard, depois acede ao Plex no IP local do NAS (por exemplo, 192.168.1.50:32400). A qualidade de vídeo é a qualidade da LAN local, sem compressão adicional.

Quais são as implicações do GDPR se o tráfego sair via uma VPN de terceiros (NordVPN) a partir do NAS?

Se encaminhar o tráfego do NAS através da NordVPN (caso de uso de saída), os dados passam pelos servidores da NordVPN sujeitos à sua política de privacidade. A NordVPN afirma ter uma política de não registo auditada. Para dados pessoais armazenados no NAS que atravessam este túnel, continua a ser o controlador de dados ao abrigo do Art. 24 do GDPR. Recomendação: use WireGuard auto-hospedado para aceder aos dados do NAS, não uma VPN de saída de terceiros.

Qual modelo de NAS devo escolher para sustentar 100 Mbps WireGuard?

Para 100 Mbps sustentados, uma unidade classe J4125 (DS920+) ou QNAP TS-453D é geralmente suficiente. Para 200 Mbps+, procure um CPU mais potente como o Ryzen R1600 (DS1522+) ou QNAP TS-664 (N5105). O verdadeiro gargalo será muitas vezes a sua velocidade de upload de fibra, não o CPU do NAS.

Como faço backup da configuração do WireGuard em caso de reset do NAS?

Tudo está em /volume1/docker/wireguard/config/. Esta pasta contém chaves privadas, configurações de peers e wg0.conf. Configure uma tarefa agendada do Hyper Backup para um serviço na nuvem (Backblaze B2 custa <€1/mês para este volume). Após um reset, restaure esta pasta e recrie o container — toda a configuração é recuperada.

OpenVPN ou WireGuard na Synology — qual devo escolher?

WireGuard vence em todos os aspetos: 3-4x mais rápido, 30-50% menor latência, base de código 10x menor (menor superfície de ataque). A única vantagem do OpenVPN: o pacote oficial do Servidor VPN da Synology é mais simples de configurar para utilizadores não técnicos. Para desempenho e segurança, escolha WireGuard via Docker no DSM 7.2.

A VPN do NAS funciona atrás de NAT duplo (modem ISP + router)?

Sim, mas precisa de criar duas regras de encaminhamento de porta em cascata. No router interno: UDP 51820 → IP do NAS. No modem ISP: UDP 51820 → IP do router interno. Se o modem ISP não permitir encaminhamento (algumas configurações CGNAT), use um túnel Cloudflare ou Tailscale como solução alternativa.

Qual a diferença entre o Servidor VPN e o Servidor VPN Plus na Synology?

O Servidor VPN (gratuito, no Centro de Pacotes) suporta OpenVPN, L2TP/IPSec, PPTP. O Servidor VPN Plus (pago, licença ~€40/mês para 5 utilizadores) adiciona VPN SSL para navegadores, cliente WebVPN e suporte SSTP. Para uso pessoal em homelab, o Servidor VPN + WireGuard Docker é mais do que suficiente e não custa nada.

VPN em NAS Synology e QNAP: guia completo 2026 (WireGuard + OpenVPN)

Q: OpenVPN ou WireGuard na Synology — qual devo escolher?

WireGuard vence em todos os aspetos: 3-4x mais rápido, 30-50% menor latência, base de código 10x menor (menor superfície de ataque). A única vantagem do OpenVPN: o pacote oficial do Servidor VPN da Synology é mais simples de configurar para utilizadores não técnicos. Para desempenho e segurança, escolha WireGuard via Docker no DSM 7.2.

Q: A VPN do NAS funciona atrás de NAT duplo (modem ISP + router)?

Sim, mas precisa de criar duas regras de encaminhamento de porta em cascata. No router interno: UDP 51820 → IP do NAS. No modem ISP: UDP 51820 → IP do router interno. Se o modem ISP não permitir encaminhamento (algumas configurações CGNAT), use um túnel Cloudflare ou Tailscale como solução alternativa.

Q: Qual a diferença entre o Servidor VPN e o Servidor VPN Plus na Synology?

O Servidor VPN (gratuito, no Centro de Pacotes) suporta OpenVPN, L2TP/IPSec, PPTP. O Servidor VPN Plus (pago, licença ~€40/mês para 5 utilizadores) adiciona VPN SSL para navegadores, cliente WebVPN e suporte SSTP. Para uso pessoal em homelab, o Servidor VPN + WireGuard Docker é mais do que suficiente e não custa nada.

Um NAS Synology pode executar um servidor WireGuard (via Docker), e as unidades modernas da QNAP oferecem WireGuard nativo no QTS 5.1 — sem necessidade de Docker. Este guia abrange ambos os caminhos, com expectativas realistas de desempenho e os erros a evitar.

Para uma visão mais ampla das opções de VPN auto-hospedadas, comece com o nosso guia completo das melhores soluções de VPN auto-hospedadas 2026.

Por que executar uma VPN no seu NAS

Um NAS doméstico funciona 24/7. O seu CPU está inativo 90% do tempo — pode muito bem colocá-lo a trabalhar.

Quatro casos de uso concretos que justificam a configuração:

Acesso remoto à LAN: a partir de um café ou hotel, acede aos seus discos como se estivesse em casa. Partilha de ficheiros, Surveillance Station, acesso a backups — sem expor uma única porta do NAS diretamente à internet.

Integração de dados do NAS: se tiver 20 TB de media no seu NAS, uma VPN local evita passar pelo relé na nuvem da Synology/QNAP (pago, limitado, potencialmente lento). Acede diretamente à LAN.

Dispositivo único: um dispositivo serve como NAS + servidor VPN + Plex + Pi-hole. Sem necessidade de gerir um Raspberry Pi adicional.

CPU ociosa disponível: um DS920+ consome 15-20W em repouso. Adicionar WireGuard não altera significativamente a conta de eletricidade — o CPU J4125 encripta em modo kernel com <5% de impacto noutros serviços.

A limitação honesta: ao contrário de um VPS na nuvem, uma falha de energia ou internet em casa corta a sua VPN. Para uso crítico em viagens de negócios, mantenha um VPS Contabo como backup — veja o nosso guia de VPN auto-hospedada no Contabo.

Synology vs QNAP: comparação de configuração de VPN

Aqui está como as duas plataformas se comparam para configuração de VPN:

Critério	Synology DSM 7.2	QNAP QTS 5.1
WireGuard nativo	Não (via Docker)	Sim (QVPN Service 3.0+)
OpenVPN nativo	Sim (Servidor VPN)	Sim (QVPN Service)
Facilidade de configuração do WireGuard	Média (requer Docker)	Fácil (GUI nativa)
Escalonamento de desempenho	Ligado ao CPU (J4125 médio)	Ligado ao CPU (N5095 mais forte)
DDNS integrado gratuito	Sim (*.synology.me)	Sim (*.myqnapcloud.com)
Maturidade do ecossistema	Alta	Boa
Documentação	Excelente	Razoável

Veredito: Se já possui um QNAP com QTS 5.1+, o WireGuard nativo é uma vantagem clara — sem Docker para gerir. Se está na Synology, o Docker WireGuard é uma configuração bem estabelecida e estável uma vez configurada.

Configuração do Servidor VPN na Synology (OpenVPN/L2TP)

O caminho mais simples para começar no DSM 7.2 sem Docker.

Instalação:

Centro de Pacotes → Pesquisar "Servidor VPN" → Instalar
Abrir Servidor VPN → Escolher OpenVPN ou L2TP/IPSec
Ativar o protocolo e marcar "Permitir que clientes VPN acedam à rede local do servidor"

Configuração do OpenVPN:

Em Servidor VPN > OpenVPN > Configurações Avançadas:

Interface de rede: eth0 (Ethernet do NAS)
Porta: 1194 UDP
Encriptação: AES-256-CBC
Marcar "Ativar compressão"

Encaminhamento de porta: no seu router, encaminhe UDP 1194 para o IP local do NAS.

DNS Dinâmico: Painel de Controlo > Acesso Externo > DDNS. Escolha "Synology" como fornecedor — your-nas.synology.me é gratuito. Este será o Endpoint no ficheiro de configuração do cliente .ovpn.

Gerar o ficheiro do cliente: Servidor VPN > OpenVPN > Exportar Configuração. O ficheiro .ovpn está pronto para ser importado no OpenVPN Connect em iOS/Android/Windows.

Limitação de desempenho do OpenVPN no NAS: O OpenVPN é notavelmente mais lento que o WireGuard nestes CPUs, uma vez que a encriptação AES é executada num CPU sem AES-NI de hardware. Espere que o OpenVPN entregue uma fração do desempenho do WireGuard no mesmo NAS. Se o desempenho for importante, passe para a seção do WireGuard Docker.

Configuração do WireGuard na Synology via Docker

Esta é uma configuração de produção bem comprovada. Mais performante que o OpenVPN, ligeiramente mais técnica de configurar.

Pré-requisitos: DSM 7.2, Container Manager instalado, pelo menos 4 GB de RAM no NAS.

Passo 1 — Criar a pasta de configuração:

No File Station, crie /volume1/docker/wireguard/.

Passo 2 — Obter a imagem:

Container Manager > Registry > Pesquisar linuxserver/wireguard > Download (última versão).

Passo 3 — Criar o container:

Container Manager > Container > Criar > Usar imagem linuxserver/wireguard.

Configurações críticas:

Modo de rede: Host (necessário — permite que o container escute diretamente na interface de rede do NAS)
Capacidades: NET_ADMIN, SYS_MODULE (adicionar manualmente nas configurações avançadas)

Variáveis de ambiente:

PUID=1000
PGID=1000
TZ=Europe/Lisbon
SERVERURL=your-nas.synology.me
SERVERPORT=51820
PEERS=3
PEERDNS=auto
INTERNAL_SUBNET=10.13.13.0

Volumes:

/volume1/docker/wireguard → /config

Passo 4 — Encaminhamento de porta:

DSM > Painel de Controlo > Segurança > Firewall: permitir UDP 51820 de entrada. Router: UDP 51820 → IP local do NAS.

Passo 5 — Recuperar configurações do cliente:

Após o container iniciar (30-60 segundos), em Container Manager > Logs do Container, aparecem códigos QR dos peers. Escaneie a partir da aplicação móvel WireGuard. Os ficheiros de configuração do cliente também estão disponíveis em /volume1/docker/wireguard/peer1/peer1.conf.

O que esperar: num CPU classe J4125, o WireGuard em Docker satura confortavelmente um upload típico de fibra doméstica enquanto mantém o CPU bem abaixo da saturação, permitindo que outros serviços do NAS continuem a funcionar sem problemas.

Para modelos de configuração WireGuard prontos para uso adaptados a diferentes cenários, consulte os nossos modelos de configuração WireGuard 2026.

Configuração do QVPN Service na QNAP (WireGuard nativo QTS 5.1+)

Num QNAP TS-464 (N5095, QTS 5.1.6), o WireGuard é nativo — sem necessidade de Docker.

Instalação:

App Center > Pesquisar "QVPN Service" > Instalar (gratuito). Abra o QVPN Service a partir do menu principal.

Configuração do WireGuard:

QVPN Service > Servidor VPN > WireGuard > Ativar Servidor WireGuard.

Configurações:

Porta de escuta: 51820 UDP
Endereço IP do túnel: 10.6.0.1/24
DNS: 1.1.1.1 (ou IP do NAS para DNS local QNAP)

Adicionar clientes:

QVPN > Contas de Conexão > Adicionar Conta VPN. Cada conta gera automaticamente um par de chaves WireGuard. Clique no botão de Código QR para exibir o QR escaneável a partir da aplicação móvel WireGuard.

Encaminhamento de porta:

No seu router, encaminhe UDP 51820 para o IP do QNAP. Use o QNAP Cloud para DDNS gratuito (*.myqnapcloud.com): App Center > myQNAPcloud > Ativar.

Nota de desempenho: o N5095 é um CPU mais capaz que o Celeron J4125 e lida com a encriptação WireGuard com mais folga, por isso um TS-464 geralmente sustentará maior desempenho com menor uso de CPU do que uma unidade Synology classe J4125.

Para estratégias de nó de saída Tailscale em NAS, veja também o nosso guia completo de nó de saída Tailscale 2026 — complementar à VPN auto-hospedada.

Encaminhamento de saída: enviar tráfego do NAS através de uma VPN externa

Diferente caso de uso: deseja que o próprio NAS encaminhe o tráfego da internet via NordVPN/Surfshark (para aceder a conteúdo bloqueado geograficamente a partir do Plex, ou ter Sonarr/Radarr a sair de um IP diferente).

Na Synology via Docker (NordVPN):

Use a imagem ghcr.io/bubuntux/nordvpn:

version: "3"
services:
  nordvpn:
    image: ghcr.io/bubuntux/nordvpn
    cap_add:
      - NET_ADMIN
    environment:
      - USER=your@email.com
      - PASS=your_password
      - CONNECT=France
      - TECHNOLOGY=NordLynx
      - NETWORK=192.168.1.0/24
    ports:
      - 8080:8080

Os containers Sonarr/Radarr colocados na mesma rede Docker usam então esta conexão.

Caso de uso Plex + VPN de saída: se aceder ao Plex a partir de uma região com restrição geográfica (por exemplo, conteúdo francês a partir do Canadá), o encaminhamento através deste túnel contorna a restrição. Note que isto não o isenta de uma subscrição válida do Plex.

Na QNAP via QVPN: QVPN Service > Cliente VPN > Adicionar Conexão > WireGuard ou OpenVPN (importar o ficheiro .ovpn descarregado do site da NordVPN/Surfshark). Ativar a conexão. Verifique o IP de saída do QNAP com curl ifconfig.me via SSH.

Para estratégias avançadas de encaminhamento com tabelas de encaminhamento personalizadas, veja o nosso guia de VPN auto-hospedada no Raspberry Pi 5 — os princípios de encaminhamento de IP aplicam-se também ao NAS.

Desempenho e segurança: benchmarks e reforço

O desempenho do WireGuard depende principalmente do CPU do NAS. Celerons dual-core de gama baixa (J4025) são os mais lentos; unidades quad-core J4125 estão no meio; os novos chips Jasper Lake (N5095/N5105) e Ryzen (R1600) são os mais rápidos. Abaixo está um guia relativo aproximado — os seus números reais dependem do seu CPU, velocidade de upload de fibra e carga concorrente do NAS, por isso faça benchmark da sua própria configuração com iperf3:

NAS	CPU	Capacidade relativa do WireGuard
Synology DS220+	J4025 (2C)	Entrada — adequado para fibra de 100 Mbps
Synology DS920+	J4125 (4C)	Médio
Synology DS1522+	R1600 (6C)	Alto
QNAP TS-253D	J4125 (4C)	Médio (nativo)
QNAP TS-464	N5095 (4C)	Alto (nativo)
QNAP TS-664	N5105 (4C)	Alto (nativo)

Reforço de segurança (obrigatório antes de expor qualquer porta à internet):

1. MFA de administrador no DSM/QTS

Synology: Painel de Controlo > Conta de Utilizador > Verificação em 2 Passos → ativar TOTP (Google Authenticator ou Authy). QNAP: myQNAPcloud > Centro de Segurança > Verificação em 2 Passos → TOTP. Nunca exponha a porta de administrador do DSM (5000/5001) diretamente — apenas via VPN ou proxy reverso.

2. Fail2ban e bloqueio de IP

O DSM da Synology inclui nativamente um sistema de bloqueio automático: Painel de Controlo > Segurança > Proteção > Bloquear automaticamente endereços IP após X tentativas de login falhadas. Configurar: 5 tentativas, bloqueio de 24h.

3. Bloqueio geográfico de firewall

Synology: Painel de Controlo > Segurança > Firewall > Criar regra > Permitir apenas países de origem esperados (o seu país de origem + destinos de viagem). Bloquear tudo o resto. QNAP: QuFirewall (disponível no App Center) oferece o mesmo bloqueio geográfico.

4. Portas expostas mínimas

Exponha apenas a porta UDP do WireGuard (51820). Sem portas de administrador DSM/QTS, sem porta Plex direta (use QuickConnect ou apenas via VPN), sem SSH exposto (use a VPN como host de salto).

Impacto no CPU de produção: A encriptação WireGuard é leve. Num NAS classe J4125 quad-core, uma transferência WireGuard sustentada deixa bastante margem de CPU para outros serviços (como transcodificação Plex 1080p H.265 → H.264). O WireGuard é leve o suficiente para não comprometer as cargas de trabalho típicas do NAS.

Para uma cobertura mais aprofundada das estratégias de segurança de VPN, veja o nosso guia completo das melhores soluções de VPN auto-hospedadas 2026.

★ Datacenter GDPR em Nuremberg · ✓ IPv4 dedicado incluído · 200+ Mbps garantidos

Self-host your VPN on your own VPS → ContaboFull root access · public IPv4 · pick your region→