Dahinter lauscht der Linux SSH Dienst. Dieser gilt soweit als sicher.
Dahinter lauscht ein Webserver mit Anwendungen, die QNAP entwickelt hat. Das würde ich als unsicher bezeichnen. Besonders nach der Häufigkeit, in der in letzter Zeit Sicherheitslücken entdeckt wurden.
Das wird bei Port 1194 nicht anders sein. Sobald du einen Port im Internet freigibst, wird dieser automatisch attackiert. Du solltest dich also nicht davon beeindrucken lassen, dass irgendwas in den Logs auftaucht. Was meinst du was ein Router den ganzen Tag für Anfragen von außen erhält. Der zeigt das nur nicht an.
Bei allen Ports gilt aber, dass es in Zukunft eine Sicherheitslücke geben könnte. Siehe zB Heartbleed wo der Dienst selbst die Lücke enthält.
Jedenfalls ist dein Wunsch sowohl 22 als auch 443 zu nutzen. Da kann das mit dem Tunnel schon sinnvoll sein, weil man die potentiellen Gefahrenquellen auf eine reduziert und 1194 bestimmt viel sicherer ist als der QNAP Webserver, der auf 443 lauscht. Trotzdem eine Frage zum Nachdenken: Ist es sicherer weniger Ports zu öffnen, um weniger Attacken von außen ausgesetzt zu sein oder ist es sicherer zwei Standorte nicht zu verbinden, damit ein gehackter Rechner nicht gleich in beiden Netzen Schaden anrichten kann?
Wie auch immer. Kannst du denn gewährleisten, dass beide Netze unterschiedliche IP-Adressräume verwenden? Weil zB 192.168.178.x kann nicht mit 192.168.178.x verbunden werden.
Eine Anleitung wie man das in Slackware (Linux, was Unraid nutzt) macht, findest du hier:
https://docs.slackware.com/howtos:network_services:openvpn
Nur mal als Beispiel, was ich damals bei eine externen Syno gemacht habe: Bei meinem lokalen Standort hat der Router eine DDNS aktuell gehalten. In der externen Syno habe ich die IP dieser Domain ausgelesen und per iptables nur diese IP erlaubt (plus das lokale Netz). Damit konnte also nur meine öffentliche IP-Adresse auf die Syno zugreifen. Alle anderen Anfragen aus dem Internet kamen zwar über die Portfreigabe durch, aber wurden dann von der iptables Regel blockiert. Der Dienst hinter dem Port kommt erst danach. Man müsste also erst mal eine Sicherheitslücke in der Linux Firewall finden. Das einzige was dann noch ging war per IP-Spoofing die Syno anzugreifen, wobei der Angreifer aber wissen muss was er angreift, weil er kein Feedback von der Syno bekommt (Antwortpakete gehen zu mir Hause). Wie du siehst ist auch das nicht 100%-tig sicher und es gibt auch keine absolute Sicherheit, aber ich handhabe das so wie in der alten Oasics Werbung 😅