Das hört sich ja sehr interessant an!
Eine Firewall habe ich bereits im Einsatz (OPNsense als Blech).
Sophos habe ich mir bereits vor einigen Jahren angeschaut. Da ich die OPNsense eh gerne durch eine VM abgelöst hätte, würde sich deine Variante durchaus anbieten.
Kannst du mir sagen wie du die Authentifzierung abgefangen hast? Ich steh grad auf dem schlauch...meinst du allgemein das die NAS erst erreichbar ist sobald die VPN Verbindung durch die Sophos erfolgt ist?