Moinsen,
Nur verstehe ich jetzt nicht ganz, wie das von extern funzt, auch wenn mit VPN drin bin.
Was genau verstehst du denn nicht?
Also: du kannst deinen Server (hier NAS) per http oder https erreichen. WENN per https, dann ist die Datenübertragung a) verschlüsselt und b) belegt der Server (NAS) beim Aufruf mit einem ssl Zertifikat, dass es auch derjenige ist, den du erreichen wolltest. Dies ist sowohl innerhalb deines Netzwerks möglich als auch außerhalb. Problem: dafür wird ein ssl Zertifikat benötigt. Dieses kannst du a) kaufen oder b) kostenlos erhalten (etwa LetsEncrypt) oder c) selber ausstellen.
Wenn du dein NAS von extern "nur" mit https erreichen willst, dann benötigst du dafür eben: ein LetsEncrypt Zertifikat für dein NAS, eine DynDNS für deinen zB Router oder NAS und die berühmt/berüchtigte Portweiterleitung auf dein NAS im Router. Das hierfür benötigte ssl-Zertifikat (für https) muss als Namen des Servers dann genau (!) übereinstimmen mit der Syntax deiner Adresszeile (also: ist im ssl Zertifikat dein NAS mit "nasraidler.privat.lan" hinterlegt, dann musst du das auch so im Browser angeben, sonst deine Fehlermeldung...etwa wenn du dein NAS per IP aufrufst). Anaolog eben mit dem LE Zertifikat. Für den https Aufruf von extern werden keine selbstsignierten Zertifikate akzeptiert, da ist dann eben LE mittel der Wahl.
Wenn du dagegen via VPN auf dein NAS willst, dann erfolgt der Zugriff nicht zwangsgebunden via https. Du greifst dann auf einen anderen Port zu (zB bei openVPN UDP1194 statt https 443/5001). Die Verbindung wird dann durch den VPN Tunnel verschlüsselt. Ob du dann innerhalb dieses Tunnels zusätzlich mit https oder aber "nur" mit http arbeitest, ist dann eine freie Entscheidung. Hier kannst du allerdings mit einem selbstgemachten Zertifikat arbeiten. Diese selbstgemachten akzeptieren als Name des NAS dann allerdings neben einem FQDN (fullyqualified domain name) auch eine private IP. Das ist dann vorteilhaft, wenn du im internen Gebrauch auch mit IPs arbeitest.
Ich selber mache es so. Zuerst für alle Server im LAN eigene Zertifikate (mit eigener Zertifikatsauthorität) angelegt. Hier als Common Name dann den FQDN (zB NAS1.theother.lan) eingetragen, als alternative Namen noch NAS1 und die IP. Folge: ich rufe via https mein NAS entweder mit NAS1.theother.lan oder NAS1 oder IP auf, da alle Angaben auch im zugehörenden Zertifikat enthalten sind habe ich kein Gemecker. Für den internen Gebrauch also alles roger.
Für den externen zugriff auf mein NAS (im Browser
https://NAMEdesSERVERSalsFQDN) geht das aber nicht, da ich ein selbstsigniertes Zertifikat habe. Also: VPN Tunnel nutzen! Dazu lege ich einen VPN Server an, richte den Zugang ein, wähle mich per VPN ins eigene LAN ein und da es dann quasi so ist, als wäre mein Handy im Heimnetzwerk (auch wenn ich in Pusemuckelhausen weile) reicht wieder das selbstsignierte Zertifikat für https aus. VPN nutze ich dann eben für den Kalenderzugriff, den Adressbuchzugriff, den Zugriff auf die Passwortmanagerdatenbank, den Filemanager usw von extern. Alles sicher, alles mit denselben Angaben wie aus dem eigenen Netz heraus. Bin ich zu Hause, dann eben mit den normalen Angaben (zB NAS1.theother.lan oder NAS1 oder IP).
Lets Encrypt und co benötigen immer eine zugelassene Domain. Du kannst dir eine einrichten, das Zertifikat dann dafür ausstellen lassen, dann geht das eben auch. Dann muss der Zugriff via Browser aber immer genau so lauten, wie der Name in diesem Zertifikat. Willst du also zu Hause sitzend mit deiner IP auf dein NAS zugreifen, hast im Zertifikat aber nur den FQDN eingetragen, dann wird eben gemeckert, weil diese abweichen voneinander.
Am Ende kommt es darauf an, was du willst. Wenn nur ich und maximal noch ein zwei drei Familienangehörige aufs NAS wollen (von extern), dann würde ich immer zu VPN raten. Spart als weiterer Vorteil eben "offizielle" Domain, LetsEncrypt und co. Ist sicher, ist verschlüsselt. Saubere Lösung.
Willst du aber zB dein NAS als Webserver mehreren Menschen verfügbar machen, dann soll das Teil wie gewohnt über
https://usw... erreichbar sein. Dann eben mit eigener offizieller Domain, einem FQDN, einem LE Zertifikat und Portweiterleitung (oder Proxy...).
So. Sehr oberflächlich erklärt, aber vielleicht klärt das ja etwas auf für dich...
