Das find ich jetzt interesant. Wenn meine folgende These blödsinn ist klärt mich bitte auf!
Für OVPN muß genau 1 Port aufgemacht werden und das bereits am Router. Folgedessen ist doch der Router das Einfallstor und nicht die DS. Die Datenpakete werden ja schon am Router per NAT von der externen Adresse auf die Interne übersetzt und an den VPN Server auf der DS übergeben.
Wovor schütz jetzt die Firewall auf der DS wenn diese übersetzte weitergeleitet Datenpakte empfängt die nur an einen Port gehen?
Externer Zugriff = Firewall aktiv !
Worauf begründet sich das? Wo geht die Gefahr aus wenn jetzt nur 1 offener Port der durch NAT vom Router direkt an die DS weitergeleitet wird. Das Würde ja bedeuten das man der dahinter liegenden OPVN Server Software nicht vertrauen darf aber da ist es ja dann e schon zu spät weil der Angreifer schon in Netzwerk ist.
Demzufolge müßte man auch immer die Firewall aktivieren auch wenn keine OVPN genutzt wird da sämtliche moderne Geräte die so im Netzwerk hängen (Handy mit Apps, Alexa, Siri,..., FireTV, Fernseher, Billig-IoT, Hausautomation mit Bequemlichkeits-Cloud-App, automatische UPnP-Portfreigaben... usw) ständig Verbindungen nach aussen offen halten wenn man es Ihnen aktiv verbietet.
Die größte Gefahr für die Daten auf der DS stellen aber der User selbst (unachtsamkeit, Bequemlichkeit - klicki-bunti-muss-nix-dahinter-verstehen, kein Backup, ich-klicke-und-öffne-alles-ungefragt-was-per-Email/Internet/USBStick-kommt) und in der heutigen Zeit Verschlüsselungstrojana dar. Verschlüsselungstrojaner greifen aber über die normalen SMB-Freigaben mit den hinterlegten Bentuzerdaten am Clienten zu und davor schützt auch keine Firewall auf der DS.
Aktuell schütze ich mein Netzwerk wenn ich so wenig wie möglich notwendige Dienste auf der DS aktivieren und nur Geräte in meine Netz lasse denen ich vertraue oder ich selbst, mit genügende Wissen, eingerichtete habe.
Wenn ich einem Gerät nicht vertraue stecke ich das in ein separates Netz das keinen zugriff auf die DS hat. So hat zb der "schlaue" TV meiner Eltern nur Zugang zum Internet über das Gastnetzwerk. IoT Geräte wie eine schaltbare Steckdose mit eigener Firmware ohne China-Cloud läuft ebenfalls wiederum in einem eigenen WLAN. Alexa, und Co kommen mir sowieso nicht ins Haus (abgesehen von den digitalen Varianten am Mobiltelefon dennen man nicht auskommt).
Das bedeutet natürlich das ich dem Router entsprechend Vertraue, Einrichten und Warten muss und dort auch nur das nötigste aktiviere und Dinge wie UPnP niemals nutze.
Bisher bin ich mit der Strategie und mindestens 5 Backups/Kopien auf mehrern DSen und externen Festplatten sehr gut gefahren. Hatte in 11 jahren nur einen Ausfall von 2 Festplatten in der DS und einmal einen Datenverlust an einem Clienten weil der User aus unwissenheiteinen Fehler gemacht hatte. Bei beiden dingen hätte eine Firewall auf der DS auch nichts genützt.
Sollte jetzt in meiner Therorie und der darauf gründenenen praktischen Umsetzung ein grober Fehler sein der die Firewall auf der DS zwingend benötigt klärt mich auf!
(Sollte so eine Diskusion hier nicht gewünschte sein kann ich das gerne auch wo anders starten)