Erweiterung der eigenen Pi-hole Instanz um eine VPN-Komponente

Liebe Community,

meine aktuelle Frage bezieht sich auf das Tutorial & die Aktualisierungen:

• 2017 - https://www.kuketz-blog.de/pivpn-raspberry-pi-mit-openvpn-raspberry-pi-teil3/
• 2019 - https://www.kuketz-blog.de/nacharbeiten-pi-hole-in-kombination-mit-pivpn/
• 2019 - https://www.kuketz-blog.de/raspberry-pi-pi-hole-und-pivpn-beitrag-aktualisiert/

Aktueller Zustand meines Netzes:

• Router: Fritz!Box
• (wechselnde) öffentliche IPv4 vorhanden (kein DS-lite)
• als Werbeblocker ist eine eigene Pi-hole - Instanz vorhanden (beantwortet alle DNS-Anfragen)
• ein abgesicherter kleiner Server fungiert als Nextcloud zum Sync aller Devices
  • mit Portfreigabe für 80/443 und i.V. mit dem DynDNS-Service MyFritz.net
  • zum eigenen & familiären Zugriff von extern
• auf einem weiteren Pi läuft eine HomeAssistant - Instanz

Gerne würde ich einen VPN-Zugang einrichten, um von unterwegs über einen VPN-Tunnel Zugriff auf mein heimisches Netz zu erhalten. Im Fokus steht dabei im Moment die HomeAssistant - Instanz - aber eben nicht nur.

In diesem Zusammenhang bin ich auf den o.g. Artikel von Mike aus 2017 gestoßen und würde gerne wissen, ob eine Umsetzung in meiner Konstellation noch Sinn macht? Was es für Alternativen gäbe & was würden diese besser machen?

Selber ist mir ein VPN-Zugang (z.B. via WireGuard) über die Fritz!Box als Möglichkeit und Alternative bekannt.

Das Tutorial nutzt PiVPN (basierend auf OpenVPN). Daher folgende konkrete Frage:

1. Hättest Ihr auch Interesse, falls Mike Zeit findet, das Tutorial als “Neuauflage” zu überarbeiten?

2. Wäre eine modifizierte Umsetzung mit Wireguard statt OpenVPN leistungsfähiger, schneller oder einfach “nur” zeitgemäßer? Gäbe es da Besonderheiten zu beachten?

3. Die Umsetzung erfordert eine weitere Portfreigabe (UDP - Port: 1194) - diesmal auf den Pi. Gäbe es dafür Alternativen?

4. Welche Vorteile bietet PiVPN+Pi-hole kombiniert gegenüber der Fritz!Box - Alternative?

5. Tailscale ist mir aus der Distanz bekannt. Ich würde aber lieber auf weitere “Dritte” Dienstleister zur Zielerreichung verzichten - zugunsten der Datensparsamkeit. Abwägung hier: zusätzlich erfasste Verbindungsmetadaten vs. Verbesserung IT-Sicherheit durch weniger Portfreigaben.

Gibt es sonst noch Anmerkungen / Gedanken / Ideen?

Danke Euch!