- Tailscale crea una red VPN privada y cifrada ideal para acceder al NAS sin abrir puertos.
- Cada amigo debe tener su usuario en Tailscale y en el NAS, con carpetas y permisos aislados.
- Los routers de subred y exit nodes permiten llegar a toda la LAN y navegar usando la conexión de casa.
- Configurar bien rutas, ACL y firewall evita caídas de red y mejora la seguridad y el rendimiento.

¿Cómo compartir una NAS con amigos mediante Tailscale? Si tienes un NAS en casa y te estás planteando compartirlo con amigos o familiares a través de Tailscale, estás en un escenario ideal para exprimir todo lo que ofrece esta VPN moderna basada en WireGuard. Lo bueno es que no necesitas grandes conocimientos de redes: con un poco de orden en tu tailnet, unas cuantas buenas prácticas de seguridad y una mínima planificación de usuarios y permisos, puedes montar algo muy potente y seguro sin complicarte la vida.
En las próximas líneas vas a ver cómo dar acceso al NAS para copias de seguridad, carpetas personales cifradas y servicios web (como File Browser, Nextcloud, Immich, etc.), cómo compartir contenido también con gente que no usa Tailscale, por ejemplo con servicios para compartir archivos como compartir con usuarios sin cliente, y qué errores de red conviene evitar para que no se te caiga toda la casa cuando apagas el servidor. Además, repasaremos a fondo qué es Tailscale, cómo funciona, qué planes tiene y cómo se integra con NAS (Synology, TrueNAS, UGREEN, etc.).
Qué es Tailscale y por qué es tan buena idea para tu NAS

Tailscale es una VPN mallada basada en WireGuard que conecta tus dispositivos entre sí como si estuvieran en la misma red local, sin abrir puertos en el router ni pelearte con el NAT del operador. Da igual si tienes CG-NAT, si te conectas por Wi‑Fi, datos móviles o desde la otra punta del mundo: mientras cada dispositivo tenga el cliente de Tailscale encendido, se verá con los demás mediante direcciones IP privadas y fijas dentro de la tailnet.
La gran ventaja para un NAS es que puedes acceder a tus carpetas, servicios web, cámaras IP o cualquier equipo de casa como si estuvieras físicamente en tu red doméstica. Y todo ello con conexiones cifradas punto a punto, baja latencia y un rendimiento muy digno gracias al uso interno de WireGuard. No necesitas montar tú un servidor VPN clásico ni saber configurar OpenVPN; simplemente instalas un pequeño cliente, inicias sesión con Google, Microsoft u otro proveedor compatible y listo.
Otro punto fuerte de Tailscale es que gestiona la red como un servicio en la nube, pero el tráfico real suele ir directo entre los equipos, no a través de sus servidores. Sus nodos solo se usan para coordinar las conexiones o hacer de relé cuando no es posible el enlace directo. Eso te da más velocidad, menor latencia y, además, una capa muy sólida de seguridad: claves que se rotan automáticamente, autenticación fuerte, posibilidad de MFA y listas de control de acceso muy detalladas.
No menos importante: Tailscale funciona en casi todo. Puedes instalarlo en Windows, macOS, Linux, Android, iOS, Raspberry Pi, servidores en la nube (AWS, Azure, Google Cloud, Hetzner, Oracle…) e incluso en NAS de marcas populares. Para entornos domésticos o semi‑profesionales es una solución casi redonda, porque combina sencillez en el día a día con opciones avanzadas cuando necesitas hilar fino.
Planes, límites y modelo de uso: qué te interesa para compartir tu NAS
A nivel de precios, Tailscale funciona con un modelo freemium: tienes un plan personal gratuito muy generoso y, si se te queda corto, puedes ir escalando a planes de pago enfocados a equipos y empresas. Entender bien qué ofrece cada uno es útil si quieres compartir un NAS con varios amigos o montar algo más «serio».
El plan Personal (gratis) permite hasta 100 dispositivos en la misma cuenta, con seguridad punto a punto, soporte de DNS, Magic DNS, compartir acceso con amigos y familia y soporte comunitario. El límite realmente relevante es que solo admite tres usuarios en el tailnet; todo lo que pase de ahí implica cambiar de plan o jugar a compartir credenciales de una misma cuenta (con las implicaciones de seguridad que eso tiene).
Por encima está Personal Plus, que amplía el máximo a seis usuarios manteniendo el resto de características. Luego vienen Starter y Premium, ya pensados para empresas: facturación por usuario y por mes, más dispositivos incluidos por usuario, ACL avanzadas basadas en identidad y roles, rotación de claves configurable, integración con Okta, más administradores, soporte por email, auditoría centralizada, etc. Finalmente, el plan Enterprise es totalmente a medida, con SAML SSO, integración de IoT, monitorización profunda de terminales y soporte dedicado.
Para un usuario doméstico que quiere compartir una NAS con 3‑5 amigos, lo habitual es quedarse en el plan gratuito o dar el salto a Personal Plus si cada uno va a tener su propia identidad. El número de dispositivos (hasta 100) suele ser más que suficiente: NAS, PC, portátil, móviles, tablets, quizá algún servidor en la nube o una Raspberry Pi… tienes margen de sobra.
Cómo integrar tu NAS en Tailscale (Synology, TrueNAS, UGREEN, etc.)

La integración del NAS con Tailscale dependerá de la plataforma, pero el patrón es siempre el mismo: instalar el cliente, autenticarlo en tu tailnet y verificar que el NAS aparece en la consola de administración. A partir de ahí, podrás acceder a sus servicios usando la IP de Tailscale o el nombre Magic DNS.
En el caso de Synology, puedes hacerlo desde el Centro de Paquetes buscando Tailscale o instalando el paquete DSM desde el repositorio oficial de la herramienta. Una vez instalado, se inicia sesión con tu proveedor de identidad y el NAS se da de alta automáticamente en la red. Desde allí podrás acceder al panel DSM, a tus carpetas compartidas y a aplicaciones como Active Backup for Business usando la IP de Tailscale desde tu PC, portátil o móvil.
Con DSM 7 hay un detalle importante: Tailscale corre con más restricciones y no tiene permiso directo para crear un dispositivo TUN, lo que limita las conexiones salientes hacia otros nodos de la tailnet desde servicios que corran dentro del NAS. Para habilitar el TUN y permitir tráfico saliente, se suele crear una tarea programada que se ejecuta al arranque como root, lanza un script de configuración del host y reinicia el servicio de Tailscale. Una vez hecho esto, las conexiones entrantes y salientes de la VPN pasan por el firewall integrado de Synology.
En TrueNAS (CORE o SCALE) y otros NAS basados en Linux o BSD, la instalación se hace generalmente vía paquete del sistema o con el binario oficial. Al final el objetivo es tener el demonio tailscaled en marcha y el dispositivo registrado en la tailnet. En plataformas como Proxmox + TrueNAS en VM, lo habitual es instalar Tailscale dentro de la máquina virtual de TrueNAS si quieres que sea ese NAS concreto el que actúe como router de subred o como servidor de ficheros accesible vía VPN.
Para NAS UGREEN con base Debian, como el DXP4800+, el proceso es muy parecido al de cualquier Debian 12: instalas el paquete de Tailscale, lo habilitas como servicio, haces el login en tu tailnet y chequeas en la consola web que aparece como máquina nueva. Desde ese momento, cualquier servicio que exponga tu NAS en el puerto interno que sea (Samba, NFS, HTTP, SFTP, etc.) estará disponible a través de la IP privada de Tailscale.
Subnet routers, exit nodes y acceso a toda tu red local
Si solo instalas Tailscale en el NAS, únicamente podrás acceder al propio NAS. Pero Tailscale permite algo muy interesante: usar un dispositivo como «subnet router» o router de subred. Esto hace de puente entre tu tailnet y una red física (por ejemplo, tu LAN doméstica 192.168.0.0/24), de forma que desde fuera puedas llegar a cualquier equipo de la casa que esté en esa subred, incluso si ellos no tienen el cliente instalado.
La mecánica es simple: en el equipo que actuará como router de subred (puede ser un NAS, un servidor Linux o incluso un PC) habilitas IP forwarding y le pides a Tailscale que anuncie una ruta, por ejemplo 192.168.0.0/24. Luego, en el panel web de Tailscale, apruebas esa ruta en la sección de Machines, indicando qué dispositivo la anuncia. A partir de ahí, cualquier otro nodo de la tailnet puede enviar tráfico hacia esa subred, y el router de subred se encarga de reenviarlo hacia los equipos internos.
En Windows, el flujo típico es activar el reenvío IP mediante PowerShell, localizar la interfaz adecuada y ejecutar el comando que habilita Forwarding; después se lanza tailscale set –advertise-routes=192.168.1.0/24 (por ejemplo). En Linux se añadiría la línea de ip_forward en sysctl.conf y se emplearía un comando similar con sudo. También es posible realizar configuraciones equivalentes en macOS, Android o tvOS, siempre siguiendo las instrucciones oficiales.
Además de las rutas de subred, Tailscale permite configurar un «exit node», un nodo de salida a través del cual enrutar todo el tráfico de Internet de un cliente. Es útil para navegar desde el extranjero como si estuvieras en tu casa (manteniendo la IP española, por ejemplo) o para protegerte cuando te conectas a Wi‑Fi públicas. En ese caso, se habilita la opción de exit node en uno de tus equipos (a menudo un servidor en casa) y en el resto de clientes seleccionas usarlo como salida en el menú de Tailscale.
Todo esto se controla siempre con las Access Controls (ACL) en formato JSON, donde puedes definir quién puede hablar con qué, a qué puertos, desde qué usuarios o grupos, etc. Esa capa de control es clave cuando empiezas a compartir NAS y servicios con amigos: te permite dar acceso solo a lo necesario y limitar cualquier riesgo.
Cómo compartir una NAS con amigos mediante Tailscale de forma segura
Si tu objetivo es permitir que varios amigos usen tu NAS para copias de seguridad, carpetas personales cifradas o servicios web, hay varias maneras de hacerlo y no todas son igual de cómodas o seguras. Lo más ordenado, si te encaja con el plan que uses, es que cada amigo tenga su propia identidad en tu tailnet.
La opción más limpia consiste en que cada uno se cree su propia cuenta de Tailscale (con su correo o proveedor de identidad) y tú los invites a tu red. De esta forma, cada dispositivo de tus amigos se registra con su usuario y aparece claramente en la consola de administración. Podrás darles acceso solo al NAS y a ciertos servicios, sin que puedan ver el resto de tus equipos.
En paralelo, en tu NAS deberías crear una cuenta de usuario por amigo, con su propia contraseña y permisos, y asignarle una carpeta compartida exclusiva (idealmente cifrada, si el sistema lo permite). Eso significa que Juan solo verá su carpeta, María la suya, y nadie tendrá acceso a las carpetas del resto ni a otras comparticiones sensibles como tu propia copia de seguridad o datos empresariales.
Es importante combinar ambos niveles: control de red en Tailscale y control de permisos en el NAS. En Tailscale, a través de las ACL, defines que los dispositivos de cada amigo solo puedan llegar a la IP de tu NAS por los puertos necesarios (por ejemplo, 445 para SMB, 5001 para DSM, 443 para un panel web concreto, etc.). En el NAS, listas de control de acceso, grupos y cifrado se encargan de que, aunque alguien consiga llegar a otro servicio, no tenga permisos de lectura o escritura.
En cuanto a si tus amigos deberían tener Tailscale siempre encendido o solo cuando lo necesiten, no hay una regla absoluta. Desde el punto de vista de seguridad y privacidad, Tailscale es bastante robusto: el tráfico va cifrado, autenticado, y el modelo de red no expone nada públicamente. Muchos usuarios lo llevan siempre activo sin mayores problemas. Sin embargo, si un amigo apenas va a usar el NAS y prefiere conectarse solo de forma puntual, puede simplemente abrir el cliente de Tailscale, conectarse, hacer lo que tenga que hacer y desconectarse. Tú como administrador sí deberías vigilar el listado de máquinas y revocar accesos o eliminar dispositivos antiguos que ya no se usen.
Compartir archivos grandes y servicios web: Tailscale Funnel, File Browser, Immich y alternativas
Cuando hablamos de compartir archivos enormes (20‑40 GB) con amigos, especialmente vídeos de acción tipo GoPro, la experiencia puede variar mucho según la herramienta. Hay usuarios que han comprobado que programas como Resilio Sync funcionan prácticamente a toda velocidad sobre Tailscale, mientras que subir esos mismos archivos a través de un servicio web expuesto con Tailscale Funnel (como File Browser o Next File Browser) resulta mucho más lento.
Tailscale Funnel está pensado para exponer temporalmente un servicio HTTP/HTTPS al exterior sin abrir puertos en el router, aprovechando la infraestructura de Tailscale. Es muy práctico para compartir una interfaz web con personas que no están en tu tailnet, como una galería de fotos o un explorador de archivos puntual. Sin embargo, la velocidad puede verse limitada por varios factores: el propio embudo, el tipo de conexión, los cuellos de botella del servidor HTTP o incluso la implementación de subida de archivos en la aplicación.
Si quieres máxima velocidad para transferir archivos pesados y ambas partes pueden usar Tailscale, lo ideal es que tus amigos instalen también el cliente de Tailscale y se conecten directamente a tu NAS o a una carpeta compartida a través de SMB, NFS o SFTP, o usen herramientas de sincronización tipo Resilio Sync o similares sobre la VPN. En estos escenarios, la conexión suele ser punto a punto y aprovecha mejor el ancho de banda de ambas conexiones domésticas; también existen alternativas como SpiderOak enfocadas en privacidad y compartición segura.
Para casos en los que tu amigo no quiere instalar nada, Funnel sigue siendo válido, pero debes asumir que no va a ir tan rápido como un acceso directo con cliente de Tailscale. Ajustar la configuración del servidor web, optimizar el NAS (CPU, discos, cachés) y evitar cuellos de botella en el propio sistema de archivos puede ayudar, pero hay un límite inherente al diseño del embudo.
En el terreno de las fotos, proyectos como Immich demuestran que se puede compartir contenido de forma bastante cómoda a través de enlaces, incluso con personas que no pertenecen a tu tailnet, siempre que la aplicación esté adecuadamente expuesta. Immich integra mecanismos de compartición propios, por lo que a veces es más práctico dejar que se encargue él de la parte de compartir álbumes y usar Tailscale solo para la parte de acceso privado desde tus dispositivos.
Cómo compartir tu NAS UGREEN (Debian 12) con personas externas
En un NAS UGREEN DXP4800+ con Debian 12 y Tailscale instalado, la pregunta clave es: ¿cómo comparto carpetas o archivos con gente que no está en mi tailnet? Tienes dos enfoques según el grado de confianza y la comodidad que busques.
El primer enfoque, más seguro y eficiente, es tratar a tus amigos como parte de tu red privada: los invitas a tu tailnet, instalan el cliente de Tailscale y acceden a los recursos del NAS como si estuvieran en tu LAN. Aquí lo fundamental es definir bien las ACL, crear usuarios en el NAS con cuotas, cifrado por carpeta donde sea posible y contraseñas fuertes, y limitar el acceso de su identidad en Tailscale únicamente a la IP del NAS y a los servicios estrictamente necesarios, o usar soluciones de compartición cloud como OneDrive para casos puntuales.
El segundo enfoque, pensado para usuarios externos puntuales que no quieras meter en tu tailnet, pasa por exponer servicios concretos vía Tailscale Funnel (por ejemplo, un File Browser corriendo en el NAS que solo abras unos días). En este caso, conviene habilitar autenticación fuerte en el propio servicio web, activar HTTPS, usar contraseñas robustas y apagar el funnel en cuanto dejes de necesitarlo. No tendrás el mismo rendimiento que con el acceso directo por Tailscale, pero es muy cómodo.
También puedes combinar estrategias: usar Immich para fotos y vídeos con enlaces de compartición mientras reservas el acceso vía Tailscale para carpetas más delicadas, copias de seguridad o contenido que quieres que solo vean unas pocas personas con identidad verificada.
En todos los casos, un punto a no olvidar es revisar la configuración del firewall del NAS o del sistema operativo: si tienes cortafuegos activo, deberás permitir el rango 100.64.0.0/10 (la subred que utiliza Tailscale) para que los clientes puedan llegar sin problemas a los servicios internos que quieres exponer.
Buenas prácticas de red: evitar que tu NAS «tire» la red al apagarse
Un error relativamente común al jugar con routers de subred en Tailscale es anunciar toda tu red doméstica desde un único servidor (por ejemplo, un TrueNAS corriendo en una VM sobre Proxmox) y que luego, al apagar ese servidor, tu red parezca volverse inestable o inaccesible desde algunos dispositivos.
En un caso típico, un usuario tenía el router en 192.168.0.1, Proxmox en 192.168.0.2 y TrueNAS en 192.168.0.3, con Tailscale anunciando la ruta 192.168.0.0/24 como router de subred. Mientras el servidor estaba encendido, todo funcionaba bien: podía acceder a Nextcloud desde fuera a través de Tailscale y llegar a los servicios internos sin problemas. El lío empezó cuando apagaba TrueNAS: de repente, dejaba de poder acceder incluso al propio router.
La raíz del problema no es tanto Tailscale, sino cómo se configuran las rutas y máscaras de subred. Si el servidor al que has encargado hacer de puerta de enlace para toda la 192.168.0.0/24 se cae, cualquier equipo que dependa de esa ruta para llegar a otros dispositivos quedará «colgado». Si además intentas cambiar arbitrariamente la máscara de subred del router (por ejemplo, de 255.255.255.0 a 255.255.0.0) sin actualizar coherentemente la de todos los equipos (NAS, Proxmox, PCs…), generas un caos de routing difícil de depurar.
Para evitar estos sustos, conviene seguir varias pautas: no uses como router de subred un equipo que apagues a menudo (mejor un dispositivo que esté siempre encendido, como una pequeña máquina Linux de bajo consumo o un router avanzado); mantén las máscaras de subred coherentes en todo el segmento (si tu LAN es /24, que todos estén en /24); y no anuncies más rutas de las necesarias: si solo necesitas acceder al NAS y a un par de servicios concretos, plantéate usar Tailscale directamente en esos equipos o limitar el rango anunciado.
Si quieres separar aún más las cosas, puedes dividir la red doméstica en varias subredes, pero esto ya exige cambiar la máscara de red, ajustar la configuración DHCP, reconfigurar cada servidor y asegurarte de que el router sabe encaminar entre todas ellas. Es una solución potente, pero no es algo que deba hacerse a la ligera si no tienes claro el impacto en cada dispositivo.
Seguridad, ACL, logging y rendimiento de Tailscale
En el apartado de seguridad, Tailscale se apoya en WireGuard para cifrado, autenticación e integridad de los datos. Eso implica que las conexiones entre tus dispositivos se establecen mediante claves modernas, muy eficientes y robustas, con un rendimiento muy superior a muchas VPN tradicionales. Además, Tailscale realiza rotación automática de claves en intervalos regulares (horas, días) para reducir al mínimo la ventana de exposición ante un robo de credenciales.
La plataforma también ofrece listas de control de acceso basadas en roles e identidades, de manera que puedes restringir qué usuarios o grupos pueden contactar con qué equipos y en qué puertos. Esto resulta especialmente útil cuando tu tailnet crece y empiezas a mezclar dispositivos personales, familiares, amigos o incluso empleados. Todo el tráfico queda registrado de forma centralizada desde ambos extremos, facilitando la auditoría y el análisis de conexiones sospechosas.
En cuanto al rendimiento puro, Tailscale está muy centrado en la facilidad de uso, pero no sacrifica velocidad. La arquitectura es descentralizada, con conexiones directas siempre que se puede, comprimidas con distintas técnicas para mejorar la latencia y el throughput. El protocolo interno que utilizan para gestionar el túnel sobre UDP aprovecha muy bien las características de redes modernas, siempre que tu operadora no bloquee este tipo de tráfico.
Es cierto que, al tratarse de una VPN de tipo «uno a uno», si quieres altísimo rendimiento deberás cuidar algunos detalles: asegurarte de que ambas conexiones tienen ancho de banda suficiente, evitar Wi‑Fi saturadas, usar cable siempre que sea posible en el NAS o servidor, y revisar que no haya CPU o disco saturados en el equipo que actúa como extremo de la VPN. Aun así, las mediciones reales suelen ser muy buenas: hay escenarios de prueba donde se alcanzan decenas de Mbps sostenidos entre dos PCs conectados por FTTH, con latencias razonables pese al cifrado.
Por último, Tailscale soporta DNS personalizado y Magic DNS, lo que significa que puedes resolver los nombres de tus dispositivos de forma amigable (por ejemplo, nas-casa.tailnet-name.ts.net) sin memorizar IPs. También es compatible con servicios de bloqueo de publicidad y filtrado como AdGuard, y con autenticación reforzada mediante MFA e integraciones SSO en entornos de pago.
Con todo lo que ofrece Tailscale, un NAS moderno y algo de planificación, se puede montar una red privada muy capaz donde tus amigos tengan sus propias cuentas, carpetas cifradas y acceso remoto rápido sin exponer nada directamente a Internet, con control fino sobre qué ve cada uno, con opciones para compartir temporalmente servicios vía Funnel y sin riesgos de tirar tu red al apagar el servidor si configuras bien las rutas; es una forma bastante elegante de disfrutar de copias de seguridad remotas, compartir vídeos enormes o mantener una nube personal compartida, manteniendo siempre el control sobre tus datos.
Apasionado de la tecnología desde pequeñito. Me encanta estar a la última en el sector y sobre todo, comunicarlo. Por eso me dedico a la comunicación en webs de tecnología y videojuegos desde hace ya muchos años. Podrás encontrarme escribiendo sobre Android, Windows, MacOS, iOS, Nintendo o cualquier otro tema relacionado que se te pase por la cabeza.