Em termos de segurança e velocidade, quais são os benefícios de ambos? Devo usar ambos, ou apenas um de cada vez? Passarei bastante tempo longe da minha rede local externamente, então preciso de boas velocidades enquanto mantenho uma boa segurança, alguma dica?
VPN é o caminho mais seguro. Isola você de vulnerabilidades potenciais em qualquer coisa que deseja acessar. Isso é importante, pois a Synology teve vulnerabilidades no passado e tem sido alvo de malware/vermes. Isso não quer dizer que você não possa ser seguro com encaminhamento de porta e patches regulares, mas será sempre menos seguro do que uma VPN para seu Syno.
Alternativamente, VPN será mais lento. Dependendo do que você estiver fazendo, pode ou não notar uma diferença. Existe trabalho extra para encapsular os dados, então isso é esperado. Como mencionado por outros, wireguard é mais rápido que openvpn, então essa pode ser sua melhor opção.
Use VPN, não encaminhamento de porta. Fazendo isso com Sophos UTMs, SSL VPN e 2FA desde 2011. Encaminhamento de porta expõe o dispositivo diretamente à internet.
Faço um pouco de ambos – alguns serviços web estão disponíveis, como fotos, mas tenho VPN (no meu roteador Ubiquiti) para acessar todos os serviços. Posso acessar ou compartilhar o que quero do meu PC de trabalho ou com amigos, mas uso VPN para assuntos mais sensíveis.
VPN com encaminhamento de porta e restrição de NAT no roteador ou ISP, significa que seu NAS ou firewall precisa se conectar ao VPN (preferencialmente wireguard), enquanto seu VPN deve fornecer o encaminhamento de porta. Use essa porta para configurar os serviços que deseja acessar remotamente.
A maioria dos ataques a servidores NAS ou PCs é feita por varredura de IP, o invasor procura por portas abertas específicas de acordo com o protocolo (plug & play é o mais vulnerável). Uma vez que alcançam um servidor, se puderem hackeá-lo, podem comprometer o resto da rede, como com pineapple. Com VPN com encaminhamento de porta, todo tráfego de entrada deve ser remapeado dessa porta, o que reduz a superfície de ataques e oferece proteção adicional, pois um scanner de IP/Porta seria facilmente detectado pelo seu provedor de VPN.
O único problema é que essa configuração adiciona um pouco mais de custo ao seu VPN.
Encaminhamento de porta local é inseguro, a menos que bloqueie todas as portas e abra apenas uma em uma faixa estranha, perdendo a proteção de rede, precisando depender mais do firewall. Desativar NAT e encaminhamento de porta é mais seguro e simples, manter uma porta aberta requer implementação completa de firewall.
Na minha experiência, Wireguard é seguro e indistinguível de acesso direto via encaminhamento de porta em termos de velocidade. Acesso via OpenVPN é um pouco mais lento que o encaminhamento de porta, mas também bastante seguro. Encaminhamento de porta funciona bem até os hackers entrarem e removerem todos os seus dados - talvez em 24 horas se você tiver azar, talvez nunca se tiver sorte.