Acceder a tu NAS desde fuera de casa con Tailscale: sin abrir puertos
Abrir puertos en el router es la forma más común de acceder al NAS desde fuera. También es la más arriesgada. Tailscale lo resuelve de forma más segura, más simple y completamente gratis.
Imagina que estás de viaje y necesitas un documento que está en tu NAS. O que quieres ver una serie que tienes guardada desde el móvil. O simplemente comprobar que todo sigue funcionando desde fuera de casa.
El problema es que tu NAS vive dentro de tu red local. Desde fuera, no existe — no tiene dirección IP pública propia, y tu router actúa de muro entre internet y todo lo que hay dentro de tu casa.
La solución clásica es abrir puertos en el router: configuras que el tráfico que llega al puerto 5001 de tu IP pública se reenvíe al NAS. Funciona. Pero expones un servicio directamente a internet, y eso atrae bots, intentos de fuerza bruta y, si hay alguna vulnerabilidad en el software del NAS, un vector de ataque real.
Tailscale hace lo mismo sin ninguno de esos riesgos.
Tailscale crea una red privada virtual entre tus dispositivos que funciona como si todos estuvieran en la misma red local, sin importar dónde estén físicamente. Sin puertos abiertos, sin IP pública expuesta, sin configuración de router.
Cómo funciona Tailscale por dentro
Tailscale usa WireGuard como protocolo de cifrado — el mismo que usan muchas VPNs comerciales — pero en lugar de enrutar todo el tráfico a través de un servidor central, crea conexiones directas entre tus dispositivos siempre que es posible.
Cuando instalas Tailscale en el NAS y en tu móvil, ambos se registran en la red de Tailscale con tu cuenta. A partir de ahí, el móvil puede acceder al NAS directamente por su dirección IP de Tailscale (algo como 100.x.x.x) desde cualquier lugar del mundo, como si los dos estuvieran en la misma red de casa.
El plan gratuito de Tailscale permite hasta 3 usuarios y 100 dispositivos. Para uso personal con el NAS, el móvil, el portátil y algún dispositivo más, es más que suficiente y no tiene límite de tiempo. El plan de pago añade más usuarios y funciones para equipos, pero para uso doméstico no hace falta.
Abrir puertos vs Tailscale: la comparativa honesta
- Funciona con cualquier dispositivo sin instalar nada
- Acceso directo sin intermediarios
- Expone el NAS directamente a internet
- Requiere IP pública fija o DDNS
- Configuración del router a veces complicada
- Bots escanean puertos abiertos continuamente
- Ningún puerto abierto en el router
- Funciona aunque no tengas IP pública fija
- Cifrado extremo a extremo con WireGuard
- Configuración en 10 minutos
- Requiere instalar la app en cada dispositivo
- Depende del servicio de coordinación de Tailscale
La única desventaja real de Tailscale es que alguien que quiera acceder a tus archivos necesita tener la app instalada y estar en tu red. Para uso personal es una ventaja — nadie más puede entrar aunque quisiera.
Instalar Tailscale en tu NAS y en tus dispositivos
En Synology: Abre el Centro de paquetes, busca "Tailscale" — aparece en el catálogo oficial de Synology desde DSM 7.0. Instala, ábrelo y haz clic en "Iniciar sesión". Te pedirá autenticarte con tu cuenta de Tailscale en el navegador.
En QNAP: Disponible en el App Center oficial. El proceso es idéntico.
En Linux (TrueNAS, Debian, Ubuntu):
curl -fsSL https://tailscale.com/install.sh | sh
sudo tailscale up
tailscale up te da un enlace para autenticarte desde el navegador.
100.x.x.x. Desde cualquier dispositivo con Tailscale activo, puedes acceder al NAS por esa IP exactamente igual que si estuvieras en casa — DSM, Immich, Nextcloud, todo.
100.64.0.3, activa MagicDNS en la configuración de tu red de Tailscale. Con esto, puedes acceder al NAS por su nombre — http://synology-nas o como lo hayas llamado al registrarlo. Mucho más cómodo para el uso diario.
Casos de uso que cambian el día a día
Una vez que tienes Tailscale configurado, algunas cosas que antes requerían estar en casa dejan de serlo:
- Immich desde el móvil en cualquier lugar. La app de Immich apunta a la IP de Tailscale del NAS. Desde el trabajo, desde el aeropuerto, desde cualquier red wifi, ves tus fotos exactamente igual que en casa.
- Nextcloud sin QuickConnect. Synology tiene QuickConnect para acceso remoto, pero pasa el tráfico por sus servidores. Con Tailscale, la conexión es directa entre tu dispositivo y el NAS.
- SSH al NAS para mantenimiento. Si necesitas conectarte por SSH para actualizar contenedores o revisar logs, lo haces por la IP de Tailscale sin exponer el puerto 22 a internet.
- Jellyfin o Plex desde fuera. Si tienes un servidor de media, Tailscale permite el streaming desde fuera sin configurar nada más en el router.
Subnet router: acceder a toda tu red desde fuera
Hay una función avanzada de Tailscale que vale la pena conocer aunque no la uses de inmediato: el subnet router.
En lugar de instalar Tailscale en cada dispositivo de tu red, configuras el NAS como subnet router — un punto de entrada que da acceso a toda tu red local. Así puedes acceder a la impresora, a la cámara IP, al router o a cualquier otro dispositivo desde fuera, sin instalar Tailscale en cada uno.
Para activarlo en Linux:
# Sustituye 192.168.1.0/24 por el rango de tu red local
sudo tailscale up --advertise-routes=192.168.1.0/24
Después hay que aprobar la ruta en el panel de administración de Tailscale. A partir de ahí, cualquier dispositivo en tu red de Tailscale puede acceder a toda tu red local como si estuviera en casa.
Lo esencial para empezar
- Crea cuenta en tailscale.com — gratis, sin tarjeta de crédito.
- En Synology, instala desde el Centro de paquetes oficial. En Linux, un solo comando.
- Instala la app en el móvil y el portátil con la misma cuenta — listo.
- Activa MagicDNS para acceder por nombre en lugar de por IP.
- No cierres los puertos que ya tenías abiertos hasta verificar que Tailscale funciona bien para todo lo que necesitas.
- Si luego quieres acceder a toda tu red (impresora, cámara, router), configura el NAS como subnet router.