Mit Apple-Geräten harmoniert am besten ein VPN nach dem "L2TP over IPSec"-Verfahren. So wurde es ja auch in macOS Server gemacht. Man braucht dann keine zusätzliche Client-Software und muss auch keine Zertifikate verteilen.
Vielen Dank. Das löst schon einmal ein Entscheidungsproblem. Ich nutzte bisher auch OpenVPN mit dem hide.me-Dienst und der Software Viscosity im Ausland, um einerseits das Geoblocking zu umgehen, zum anderen um die VPN-Konfigurationen meiner Organisation zu nutzen. Bei letztem muss ich fragen, ob L2TP möglich ist. In der Alltagshektik auf unterschiedlichen Devices mit unterschiedlichen Protokollen zu hantieren verwirrt und ist damit fehleranfällig.
Das kann man über die Software-Pakete
OpenSwan und xl2tpd auf jedem Linux-System einrichten. Soweit ich weiß gibt es das auch bereits fertig zur Installation auf einem Synology-NAS.
Nochmals Dank
@Marcel Bresink ! Auch das klärt meine Frage WO ich den Server aufsetzen soll. In den Paketen von Synology für DSM 6.0x gibt es einen VPN-Server. Ob der dezidiert OpenSwan ist, weiß ich nicht.
Das VPN der Fritzbox hat den großen Nachteil, dass DNS innerhalb der VPN-Verbindung nicht funktioniert, sondern beim Zugriff auf das lokale Netz nur mit IP-Adressen gearbeitet werden kann. Das führt schon bei einfachen Anwendungen, wie z.B. Zugriff auf den Inhouse-Mail-Server von unterwegs aus, zu großen Detailproblemen.
Und auch hier einen großen Dank für die Entscheidungshilfe, die begründet, warum viele Empfehlungen im Netz den VPN-Server auf der FritzBox laufen zu lassen, falsch sind.
Ich konnte das oben zusätzliche Problem mit den Zertifikaten unterdessen lösen (Synology benötigt Underscores "__" statt "?" für die Update-URL des DDNS, dann funktioniert auch let's encrypt) und werde den VPN künftig auf einer Synology laufen lassen.
Wenn alles stabil läuft, werde ich die Synology nur noch per VPN von extern ansprechen und den Zugang per Web-URL als zusätzliche Sicherheitsmaßnahme schließen. Spricht etwas dagegen?
Anyway - vielen Dank für die profunde Hilfestellung! File closed.
Und Dank an alle anderen hier in diesem erhellenden Thread!
EDIT: Als Gedankenprotokoll: Das Problem, bei FritzBox-VPN nur per IP zugreifen zu können, habe ich in Erinnerung, als ich noch keinen macOS Server hatte.