Hallo und guten Morgen,

Aber da hat dann auch jemand Fremdes die IP, der weiß, was er damit anfangen kann (z. B. den Nutzernamen schon kennt).

Mit einem SSH-Server, der nur Key-Anmeldung zulässt wäre das: nicht viel.

Für andere Anwendungsfälle sieht die Sache schon wieder anders aus.

Es geht auch um den Schutz der Fritz-Box. In der Praxis sieht es doch meistens so aus, dass man, wenn man hinter der Fritz-Box ein Gerät zugänglich macht, die Fritzbox auch fernadministrierbar macht, um dann ggf. aus der Ferne den Zugang ins LAN abschalten oder ändern zu können. Da finde ich es dann immer ganz hilfreich, wenn sowohl Benutzername (für die Administration), als auch Passwort geheim bleiben. Die Fritzbox stellt zwar ein self-signed Cert zur Verfügung, aber der Moment der Übergabe des Keys bleibt eben kritisch. Ich habe allerdings noch nicht ausprobiert, wie das mit fremdzertifizierten Public Keys ist. Die kann man ja unter Fritz!Box-Dienste in die Box hochladen.

Die VPN-Einrichtung mit der Box finde ich allerdings ganz prima. Da kann ich dann auch aus der Ferne über die Fritz-Fon-App telefonieren mit Routing über meinen "Festnetzanschluss".

Insofern würde ich Karl Heinz doch eher zum VPN-Tunnel bis zur Box, also bis zum LAN, raten. Das würde aber bedeuten, dass er innerhalb seines LANs den Leuten vertraut, wenn da die Daten vom NAS bis zur VPN-Schnittstelle dann unverschlüsselt durchs Netz flitzen.

Grüße
TS