Ich habe jetzt mal auf Hinweis von Mike0185 einen neuen Thread eröffnet und meine Zeilen hinein kopiert. Hoffe, dass das so passt.
Protogonos Mir gefällt der Ansatz "keine macht den offenen Ports" 
und ich habe mich in einer von überdurchschnittlicher Wärme geprägten Nacht, ohne Hoffnung auf eine längere Tiefschlafphase mal dem Thema Cloudflare genähert. Begleitet von den übermüdeten Blicken meines Hundes, der auch keinen wirklichen Schlaf finden konnte.
Zurück zum Thema: Ich habe dazu also einen Cloudflare Account eingerichtet, eine Domain gekauft, einen Tunnel eingerichtet, den Cloudflared-Container im NAS eingerichtet, bei Cloudflare eine Anwendung mit entsprechenden Richtlinien eingerichtet, viel gelesen und das Meiste auch verstanden und kann jetzt von extern auf meine Test-NAS zugreifen, ohne offenen Port.
Vorgeschaltet ist eine E-Mail-Authentifizierung die mir einen Code liefert, damit ich zur Anmeldeseite des NAS komme. Auch eine App die testweise in diesem NAS (Docker) läuft ist von extern erreichbar. Soweit so gut. Der Tunnel läuft fehlerfrei.
Ein Punkt ist mir noch nicht ganz klar. Um bis zum NAS durchzukommen musste ich die Funktion 'keine TLS Prüfung' aktivieren. Du schreibst etwas weiter oben, dass das Origin-Zertifikat eingerichtet werden sollte, damit Cloudflare zwar die Pakete (also den Einkaufkorb) sieht, jedoch nicht was im Korb ist.
Gehe ich recht in der Annahme, dass mit der Aktivierung der erwähnten Funktion (Keine TLS Prüfung) nicht das Origin-Zertifikat eingerichtet wird, sondern, dass das Origin-Zertifikat separat - wie zum Beispiel hier - eingerichtet werden sollte?
Falls meine Frage. zu weit geht und Du Dich nicht weiter mit diesem Thema in diesem Forum beschäftigen willst, einfach sagen. Das wäre kein Problem ... will Dir auf keinen Fall Zeit stehlen ...