Da es scheinbar ein Teilproblem ist und die Übersicht verloren geht.
Du solltest beim Portscanner zuerst mal deine IP eingeben am besten gehst du dabei auf https://www.wieistmeineip.de/
Diese gibst du dann ein auf https://www.yougetsignal.com/tools/open-ports/
Und schaust welche ports bei dir offen sind. Hier kannst du dann nachsehen für was sie gebraucht werden. https://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports
Und schau unter Einstellungen/Verwaltung/Übersicht nach (Sicherheits- & Einrichtungswarnungen) Ob da alles in Grünen bereich ist. Du kannst dann deine Cloud auch dort Testen lassen. Vergiss nicht die Adresse deiner Fritzbox anzugeben 
https://scan.nextcloud.com/
Wichtig wäre noch zu sagen das du dir Fail2ban noch Installieren solltest .Wenn du das noch nicht gemacht hast. https://www.thomas-krenn.com/de/wiki/SSH_Login_unter_Debian_mit_fail2ban_absichern
Und wegen deinen URL’s . Log dich einfach von Außerhalb deines localen Netzwerkes ein. Denn normalerweise sitzt man ja nicht vor einen cloudserver Für den Datenabgleich auf deiner cloud kannst du den Nextcloud Client benutzen. Einfach ein Ordner erstellen der die daten Synchronisiert mit deiner cloud. 
https://nextcloud.com/de/clients/
ok das mit dem Link teilen ist etwas umständlich aber man macht es ja nicht jeden Tag. Wenn da jetzt jemand was runterlädt dann ist dies durch meinen Upload begrenzt, stimmts?
Danke für den Tipp mit dem Shortener.
Ich habe drei Ports in der Fritzbox weitergeleitet, 2x NextCloud und 1x Phiole. die Nextcloud Ports sind laut PortScanner offen, der vom Phiole anscheinend nicht (obwohl ich außerhalb meines lokalen Netzes) darüber surfe (mittels VPN).
Kann ich den Test schon innerhalb meines Netzwerkes machen oder muss das von außerhalb geschehen? Bei Einstellungen-Verwaltung-Übersicht steht bei mir was von Version und Updates (die trau ich mich gar nicht zu machen):
Beim Security Test bekomme ich ein Rating A+, alles grün.
Fail2ban sagt mir bis dato nichts, werde ich mir anschauen.
Die Clients benutze ich schon auf allen Clients - noch nicht ganz erfolgreich, da ich SMB Freigaben eingebunden habe (damit Daten nicht doppelt auf NextCloud und auf dem NAS liegen), die mir jetzt wieder auf meinen iMac synchronisiert werden 
@devnull: Du meinst ich soll einen neuen Thread aufmachen, trotz das die Leute hier antworten?
Also mein Problem ist, dass ich nicht mehr weiß, was du überhaupt wissen willst.
Vielleicht soviel, dass du das Update auf 18.0.6 erst mal nicht machst, da ja eine App dieses verhindert. Da ich die App wiederum nicht nutze, kann ich dazu aber nichts sagen.
Das mit den offenen und geschlossenen Ports beim Portscan brauchst du nicht so ernst zu nehmen. Wichtig ist, dass die Ports weitergeleitet werden. Wenn du Lets Encrypt nutzt musst du Port 80 und 443 weiterleiten. Falls du wirklich einen Pi nutzt, mag das anders sein.
Sonst habe ich aber vergessen, wo dein eigentliches Problem lag.
Gerne kannst du es aber noch mal hier wiederholen.
Also devnull da muss ich dir wiedersprechen. Offener Port ist in vergleich zu einer offenen Haustür. Tag und Nacht. Wenn er Private Daten darauf speichert würde ich nicht wollen das die ganze Welt etwas davon hat. Denn über ein Falsch gesetzten Port haben Angreifer zugang zum gesamten Netzwerk.
Das sollte sich jeder mal vor Augen halten. Auch wenn bei der Nextcloud alles in Grünen bereich ist. Werden keine Ports bei diesen Test überprüft.
Stimmt Beamformer. Dein UPload ist der DOWNload des andern. Und je nachdem welchen Internet zugang zu hast,ändert der sich.
Fail2ban. Bannt Angreifer die wiederholt versuchen sich auf deiner cloud bzw. server einzuloggen.
Denn ich denke mal das bei dir auf die Firewall aus ist.
Denn was hilft dir eine Private Cloud die dann plötzlich nicht mehr so “privat” ist
Ach und wegen dein VPN. Da rennt ein Tunnel drüber. Besser gesagt da wird eine “Locale” Verbindung aufgebaut als wärst du ein teil deines Netzwerkes. Der ist in der regel sicher.
es fing an damit das ich einen Ordner extern sharen wollte - das scheint jetzt (zumindest über Umwege) möglich zu sein. Danke.
Als ich das letzte Update gemacht habe, habe eine Woche gebraucht um wieder aus dem Wartungsmodus zu kommen
Die Weiterleitung sollte eigentlich funktionieren, da ja sonst entweder die NextCloud oder mein PiHole von außerhalb nicht erreichbar wäre.
Wie muss ich das jetzt verstehen wenn ein offener Port als zu angezeigt wird?
Du schreibst selber das du über VPN drüber Surfst. Dann passt das schon. Und wenn der Rest geht ist doch alles in Ordnung.
Über den VPN surfe ich eigentlich nur damit ich über den PiHole surfe. Aber mit dem VPN sollte es ja immer passen. Ich frage mich jetzt immer noch ob ich Probleme habe mit offenen Ports. Verstehe ich das richtig: sobald ich einen Port weiterleite ist dieser “offen”? Heißt im Umkehrschluß nur die Ports welche ich weiterleite sind offen?
Um den Link zum NextCloud Ordner sharen zu erstellen, habe ich extern ohne VPN gearbeitet, sprich VPN deaktiviert (wäre das egal gewesen?)
Auf meinen PiHole komme ich auch nur mit VPN, auf die Cloud auch ohne (aber warum frage ich mich eben).
Dann müsste ich ja Fail2Ban auch auch meinem PiHole installieren, hmmmm
Ja wenn du einen Port weiterleitest ist dieser offen auf der ip (Gerät) wo du ihn weiterleitest.
Und man unterscheiden zwischen in und extern. Alles was nach den Router (firewall) kommt ist erstmal ungeschützt. Wenn keine Firewall auf den Gerät Intern läuft wo du den port hingeleitet hast. Hast du über kurz oder lang ein Problem. Also Installier oder Aktiviere die Firewall auf dein Server. Und schau das du nur die ports öffnest die du brauchst 80,443. Damit der ganze spass geht. Dafür müsstest du dich mit den Firewall regeln beschäftigen. Unter Ubuntu (Debian) gibt es grafische tools. https://www.heise.de/tipps-tricks/Ubuntu-Firewall-einrichten-4633959.html
Und zum Schluss
"Dann müsste ich ja Fail2Ban auch auch meinem PiHole installieren, hmmmm
Ja 
+Firewall Darum mußt du dich aber selber kümmern. Such in Internet nach UFW Firewall Debian oder Ubuntu. Ich hoffe ich konnte dir etwas helfen. Und sehe die Sache somit als abgeschlossen.
PS: die AirPort Extreme hat eine statische ip
ja super, danke für den Tipp mit der Firewall, werde ich mir anschauen