¿Dónde alojas tu servidor Wireguard para acceder a servicios internos?

Como muchos de vosotros, tengo una variedad de servicios que están alojados en mi casa y son completamente internos. También tengo una plétora de servidores VPS. He estado investigando Tailscale/Headscale, pero probablemente no necesite usar esa opción solo para acceder a mi NAS desde fuera de mi casa.

Estoy extremadamente consciente de la seguridad y la privacidad, así que en este momento no accedo a nada dentro de mi casa externamente, y no tengo VPN configuradas. Si quisiera ejecutar un servicio al que necesitara acceder desde el exterior, siempre lo haría en un VPS.

Estoy usando un stack completo de equipo Ubiquiti, (UDMP, etc). En el último año, Unifi ha añadido la capacidad de crear un servidor Wireguard en el propio UDM Pro. Creo que esta podría ser la forma más segura de acceder a mi Synology desde fuera si estoy viajando. También podría alojarlo en algunos Pi que tengo por ahí, pero creo que eso solo añade una complejidad innecesaria en cuanto a seguridad. Ejecutar el servidor WG directamente en el firewall me da un control más granular mediante el firewall, etc.

También he pensado en la posibilidad de correr un servidor WG en un VPS y usarlo como un “servidor salto”, pero no estoy seguro de cuáles serían las ventajas o desventajas en comparación con simplemente correr el servidor WG en mi UDMP.

¿Alguno tiene alguna opinión? Especialmente aquellos que también usan un stack de Ubiquiti.

Saludos.

Directamente en mi firewall/routeador OPNsense.