Ich hänge hier hinter einer Routerkaskade, seit uns unser lokaler Kalebnetzbetreiber UPC eingehandelt hat (die "Alternative" Swisscom ist keine infolge völlig unzureichender verfügbarer Bandbreiten und auch unterm Kostenaspekt).
Folglich sieht es bei uns so aus:
Internet<--->UPC Connectbox<--->AVM Fritzbox 7580<--->Switch<--->LAN
Die Connectbox läuft zwangsläufig als Router mit IPv6 im DS-Lite-Modus, also mit CGN-IPv4, mit der man "von aussen" nichts anfangen kann. Trotz anderslautender Empfehlungen in Consumerforen habe ich die Firewall darin mit allen Schikanen aktiv belassen, denn man muss nur wissen, wie man es richtig macht, damit auch ein zweiter Router dahinter korrekt läuft. In der Firewall habe ich genau EIN "Loch" gebohrt - ich lasse meinen OpenVPN-Port auf IPv6 zur Fritzbox durch. IPv4 ist infolge des CGN eh komplett "dicht". Allerdings ist WLAN hier deaktiviert, denn dafür ist u.a. die Fritzbox da.
Selbstverständlich ist die Firewall in der Fritzbox aber ebenfalls weiterhin aktiv, weil ich das Ding nicht zum reinen IP-Client kastrieren kann und will (sowohl WLAN als auch DECT werden darüber abgewickelt). Und selbstverständlich ist auch hier die Portfreigabe für IPv6 fürs OpenVPN hier drin und lässt entsprechende Pakete an die DS916+ durch.
Die 7580 erhält von der Connectbox neben ihrer eigenen IPv6 per PrefixDelegation (DHCPv6 ist als stateless konfiguriert) ein eigenes Subnetz und ist ihrerseits als primärer DHCPv6-Server eingerichtet, um alle Geräte im LAN mit einer IPv6 auszustatten. Deshalb kann ich auch auf der DS916+ dank FIP-Portmapper trotz der DS-Lite-Krücke den OpenVPN-Server betreiben.
De fakto habe ich hier also durch die Routerkaskade eine echte DMZ etabliert, in der ich (bislang) allerdings keine Serverdienste betreibe, die ich "von aussen" zugreifbar machen möchte/müsste. Was wir an Serverdiensten benötigen (z.B. eigener DNS/Pi-Hole über einen Raspi3 "hinten" im LAN, oder eben alles, was die DS ausser dem VPN noch so bietet), kann alles abgesichert im LAN "stehen".
TROTZDEM ist auf allen Rechnern die OS-eigene Firewall aktiv, auf den (gerooteten) Smartphones laufen AFWall+, Adaway und natürlich OpenVPN, um dank Tasker-Profil vollautomatisch auf den VPN-Tunnel umzuschalten, sobald man das heimische Netz verlässt, und somit ist selbstverständlich auch die Firewall auf der DS (bzw. seit zwei Wochen: auf beiden DS) aktiv, und nur für die explizit zugelassenen Dienste sind Ports geöffnet, und ansonsten gilt die Regel "deny all".
Ist das Paranoia? Nein. Es ist Risikobewusstsein und Erfahrung. Die heutige IT und insbesondere die Software ist so komplex geworden, dass niemand mit Gewissheit behaupten kann, alle eigenen Geräte wären "sicher". Spätestens wenn wir Gäste da haben, die auch einen WLAN-Zugriff bekommen sollen (egal ob enge Familie im Heimnetz oder sonstige Gäste im Gast-WLAN) befinden sich Geräte im Dunstkreis UNSERER Infrastruktur, die sich meiner Kontrolle entziehen. Ich kann de fakto nie wissen, ob z.B. die Freunde unserer Kinder nicht mal eine Virenschleuder anschleppen, und dann habe ich hier keinen Angriff "von aussen", sondern der Feind ist längst hinter den eigenen Linien.
Und genau deshalb ist es IMMER gerechtfertigt, auf JEDEM dazu fähigen Gerät eine Firewall zu betreiben, die so wenig wie irgend möglich zulässt.
Zu Quickconnect/MyFritz und co noch etwas: diese Holepuncherei funktioniert im Prinzip genau deshalb, weil der jeweilige Tunnel zum Relayserver outbound aufgebaut wird, also AUS dem LAN RAUS ins Internet. Rein um aufs Admininterface zugreifen zu können, ist das ggf. auch ganz nett, wenn man grad kein Device zur Hand hat, mit dem man den VPN-Tunnel nach Hause aufbauen kann. Allerdings kann wohl jeder an einer Hand abzählen, wie oft man an einem fremden Rechner sitzt und unbedingt grad ans DSM ran muss.
Zuletzt noch ein Merksatz: auch paranoide Menschen werden gelegentlich wirklich verfolgt.