Cómo acceder a tu NAS de forma segura desde fuera de casa
Si tienes NAS en casa, esto te suena
Tienes el NAS montado, los discos en RAID, Plex corriendo, tus copias de seguridad ahí dentro. Y entonces llegas al aeropuerto, abres el portátil y te das cuenta de que necesitas un archivo que está en casa. O quieres echar un ojo a las cámaras. O simplemente comprobar que todo sigue vivo.
Lo primero que se te ocurre es abrir un puerto en el router. Quizás ya lo hiciste una vez y te quedaste con esa sensación rara de haber dejado una ventana entreabierta. O buscaste alternativas cloud y no te convenció meter tus datos en el servicio de otro. Hay una tercera opción que no suele aparecer en los tutoriales de NAS: montar tu propia VPN con WireGuard y acceder como si estuvieras en tu red de casa, sin exponer ningún servicio directamente a internet.
En este post te cuento cómo lo tengo montado yo: WireGuard corriendo en un servidor Linux (vale igual para Proxmox, Synology o QNAP), con split tunneling para no machacar el ancho de banda, y DDNS para que la IP dinámica no sea un problema. Sin magia, sin servicios de terceros, con los comandos reales.
Por qué importa
Kernel nativo
WireGuard está integrado en Linux desde el kernel 5.6. Sin módulos externos, sin capas adicionales.
Código auditable
Apenas 4.000 líneas de código frente a las 600.000 de OpenVPN. Menos superficie, más fácil de auditar.
Un puerto, controlado
Solo abres el UDP 51820 en el router. El NAS no queda expuesto directamente a internet.
Split tunneling útil
Enruta solo el tráfico local por el túnel. El resto va directo, sin penalizar la velocidad general.
Preguntas frecuentes
Q: ¿Vale WireGuard si mi router no tiene IP fija?
A: Funciona perfectamente, pero necesitas un cliente DDNS (Duck DNS, Cloudflare...) que actualice el nombre de dominio cada vez que cambie tu IP pública. Ten en cuenta que hay un periodo de propagación y el cliente tarda unos minutos en detectar el cambio, así que puede haber cortes breves.
Q: ¿Qué puertos tengo que abrir en el router?
A: Solo uno: el UDP 51820 (el por defecto de WireGuard, aunque puedes cambiarlo). Eso sí, es una exposición real y controlada, no 'cero puertos abiertos'. La diferencia es que no expone ningún servicio del NAS directamente, sino el daemon WireGuard, que tiene una superficie de ataque muy pequeña.
Q: ¿Qué pasa si configuro mal el firewall del NAS?
A: Si el firewall del NAS queda mal configurado, los servicios internos (Plex, File Station, etc.) pueden quedar accesibles para cualquiera que entre por el túnel sin autenticación adicional. Nunca desactives el firewall del NAS como paso de troubleshooting sin entender antes qué estás dejando expuesto.
Q: ¿Cómo sé si mi NAS soporta WireGuard?
A: La mayoría de QNAP y Synology modernos lo incluyen en sus paquetes oficiales o de comunidad. Para Synology comprueba el paquete VPN Server en DSM; para QNAP, el de QVPN Service. Si tienes un servidor Linux bare-metal, WireGuard lleva integrado en el kernel desde la versión 5.6 (marzo 2020), así que con kernel actual ya lo tienes disponible.
Q: ¿Por qué WireGuard y no abrir el NAS directamente?
A: Abrir el NAS directamente expone sus servicios web a cualquier escáner de internet; con WireGuard, el NAS no tiene ningún puerto visible desde fuera. Además, WireGuard tiene unas 4.000 líneas de código auditable frente a las ~600.000 de OpenVPN, lo que reduce la superficie de posibles vulnerabilidades.
Deja una respuesta