Hallo zusammen,
ich habe schon einige Beiträge gelesen und anderweitig recherchiert, verliere aber aktuell ein wenig den Überblick über all die gesammelten Infos. Deshalb versuche ich es nochmal gebündelt auf diesem Weg hier, meine wichtigsten Fragen zu stellen und hoffentlich die ein oder andere wertvolle Antwort von euch zu bekommen. 
Ich nutze ein DXP4800 Plus (aktuell 2x 8TB WD NAS HDDs) und habe Tailscale via Bash installiert. Mein Ziel ist ein sehr restriktives Setup ohne Portfreigaben in der Fritzbox. Geplant sind Immich sowie perspektivisch Pi-Hole oder AdGuard als Docker-Container. Später soll natürlich noch ganz viel mehr folgen 
.
Dazu habe ich spezifische Fragen zur Konfiguration:
1. Firewall & Geoblocking mit Tailscale
Mein geplanter Regelsatz (von oben nach unten):
- Regel 1: Lokales Subnetz (Lokale IP-Adresse vom NAS z.B. 192.168.xxx.0) -> Erlauben
- Regel 2: Tailscale Bereich (IP-Adresse vom NAS in Tailscale z.B: 100.64.0.0) -> Erlauben
- Regel 3 (Docker): Hier bin ich unsicher. -> Erlauben
- Regel 4 (System-Updates/Ugos): Hier bin ich unsicher. -> Erlauben
- Regel 5: Länder-Sperre (Alles außer DE) -> Verweigern
- Regel 6: Alles andere -> Verweigern
Fragen dazu:
- Allgemein: Sind diese Einstellungen sinnvoll und passt die Reihenfolge? Ich möchte mich ungern aus dem NAS aussperren.
- Zu Regel 3: Welche IP-Bereiche/Subnetze werden standardmäßig für Immich genutzt? Also welche muss ich freigeben, damit die Container von Immich alle sauber laufen?
- Zu Regel 4: Welche IP-Adressen oder Domains müssen für die UGREEN Update-Server und das App-Zentrum freigeschaltet werden? Ich möchte vermeiden, dass der NAS keine System- /App-Updates mehr ziehen kann, weil die Firewall die Verbindung blockt.
- Zu Regel 5: Wenn ich mich im Ausland befinde und via Tailscale zugreife, greift dann korrekt die Tailscale-Regel (da die IP aus dem 100er Bereich kommt), oder blockiert das Geoblocking (Regel 5) den Zugriff, weil der Ursprung im Ausland liegt?
2. SSD-Nachrüstung & Docker-Migration notwendig?
Aktuell habe ich in meinem Setup nur die HDDs. Da Immich (Datenbank-Zugriffe?) und perpektivisch Pi-Hole/AdGuard (permanente DNS-Abfragen?) und weitere Anwendungen ständig aktiv sind, mache ich mir Gedanken über den Standby der HDDs.
- Macht es Sinn, Docker-Apps auf eine/mehrere (NVMe)-SSDs auszulagern, damit die HDDs in Standby gehen können? Oder reicht hier der SSD-Cache aus meinem "Standard-Setup" aus?
Kann ich im Nachgang problemlos 1-2 (NVMe)-SSDs nachrüsten und die bereits eingerichteten Docker-Container von den HDDs auf die SSDs problemlos umziehen? Reicht es, in den Docker-Einstellungen den Speicherpfad zu ändern, oder ist eine komplette Neuinstallation der Container-App auf dem neuen Volume notwendig?
Ich freue mich auf eure Tipps und Einschätzungen!
Viele Grüße
Littlenoob
Habe aber NGINX mit SSL auf der NAS laufen und an der Fritte nur Port 443 offen, kann ich mit leben.