Auf lokale NextcloudPi mit externem VPN-Anbieter zugreifen

Idee:
Ich nutze NextcloudPi auf meinem RaspberryPi, der an meinem Router angeschlossen ist. Auf die NextcloudPi kann ich zugreifen, wenn ich im gleichen Netzwerk wie der Router bin.
Wenn ich nun von außerhalb zugreifen will, gibt es bekanntlich die Möglichkeiten:

  1. Mit eigener Domain für die ich Ports im Router öffnen (Sicherheitsrisiko)
  2. Direktverbidnung mit eigenem VPN
  3. Verbindung mit externem VPN-Anbeiter?

Letzeres sähe wie folgt aus:
Der RPI verbindet via Wireguard zu externen VPN-Server XYZ. Für diese Gerät ist ein Portforwarding beim externen VPN-Anbieter eingerichtet. Siehe Bsp. bei Mullvad VPN https://mullvad.net/en/help/port-forwarding-and-mullvad/

Mein externes Endgerät verbindet nun via Wireguard zum Externen VPN-Server XYZ und Spricht die Exit-IP des VPN mit dem geöffneten Port an z. B. 185.254.75.31:54000
Der Port würde dann an die NExtcloud auf meinen Lokalen RaspberryPi weiterleiten.

Ich könnte dann von meinem externen Endgerät auf meine lokale NextcloudPi zugreifen. So die Theorie…

Machbar? Sinnvoll?

Wenn Du eh schon WireGuard ansprichst… Warum greifst Du nicht per DynDNS oder eigener Domain auf dein eigenes VPN zu? Auf dem Pi kannst Du locker noch einen WireGuard Server laufen lassen, den Du per Portforwarding nach aussen „öffnest“.
Um das Grundrauschen niedrig(er) zu halten, würde ich den Port nicht auf dem WG-Standard 51820, sondern auch was anderem lauschen lassen.
Bzw. genau so mache ich das selber zuhause, wenn mir mal danach ist von unterwegs auf mein Heimnetzwerk zugreifen zu wollen/müssen. Der Durchsatz ist wegen des Uploads nicht so berauschend, deshalb habe ich mich entschieden für „unterwegs“ (Mobilfunk, fremde WLANs) einen Pi-hole und WireGuard-Server auf einer VM bei Hetzner laufen zu lassen.
:warning: Achtung: der Pi-hole darf/soll natürlich nicht als DNS-Resolver der ganzen Welt offen stehen, daher „Allows only queries from devices that are at most one hop away (local devices)“ setzen oder mit einer Firewall den Port 53 nach draussen abdichten!