Im Server ist eine dyndns Adresse als Masquerade hinterlegt
Ich nehme an, das bedeutet "Der Server ruft regelmäßig eine DynDNS-Adresse auf, damit die die neue IP bekommen und ihre Domain entsprechend umleiten können". Um auszuschließen, dass die DynDNS-Domain evt. zu einer falschen IP auflöst und deshalb von extern einfach nichts erreichbar ist: Hast du das einmal verglichen? Mit nslookup usw. die IP zur Adresse abfragen und mit der lokalen externen IP vergleichen.
habe gelesen das ist notwendig wenn man von extern zugreifen möchte und die IP wechselt.
Wirklich "notwendig" ist es nicht. Wenn man immer die aktuelle IP irgendwie anders weiß kann man sie natürlich immer eingeben.
In meinem OpenWrt ist das Portforwarding,
NAT+Portforwarding und Firewalls sind nicht das Selbe. Ersteres ist eine Krücke im Netzwerkaufbau wegen zu wenig IPv4-Adressen, mehr nicht. Letzteres erlaubt oder verbietet Verbindungen nach verschiedenen Kriterien (abhängig davon wie gut die Firewall ist geht das von "Port x immer/nie" über bestimmte Adressen die rein dürfen, Portknocking, zu Inhaltsüberprüfung usw.).
OpenWRT hat eine FW, bei der anfangs alle Verbindungsversuche von außen verboten sind (zumindest laut Internet, und das ist auch gut so). Das umstellen und wieder probieren...
Wie es mit Debian ausschaut hängt von den IpTables-Einstellungen bzw. weiteren Programminstallationen (ufw...) ab.
Das Backup Tool unterstützt kein SFTP mit Key
Heißt das, es geht ohne Key zumindest? Wäre dann trotzdem eine Überlegung wert, Keys sind nicht verpflichtend.
Vorteile:
a) Kein Problem mit tausenden passiven Ports oder Ähnlichem, ein Port reicht für alles.
b) Kein Problem mit alten unsicheren SSL-Versionen.
c) FTPS ist in manchen Punkten generell nicht so sicher wie es sein könnte.
Nachteil:
Etwas umständlicher einzurichten.