O problema
Você não é o proprietário do nome de domínio mynas.local
, então, é claro, Let's Encrypt não assinará um certificado dizendo que você é o proprietário desse domínio. Se eles assinassem esses certificados, os navegadores logo parariam de confiar em Let's Encrypt.
Em vez disso, o que você precisa fazer é usar seu próprio nome de domínio para acessar o NAS, independentemente de onde você o acessa. Isso não é apenas por causa do certificado, é também porque é mais conveniente se você tiver dispositivos móveis que precisem acessar o NAS tanto de dentro de sua LAN quanto de fora.
Parece que você tem um NAT na sua rede que está atrapalhando apenas apontar seu nome de domínio no IP do seu NAS. Se você não usou NAT, isso simplesmente funcionaria.
A solução
A solução ideal é usar uma rede sem NAT. Você ainda pode ter um firewall bloqueando conexões de fora para tudo, exceto a porta HTTPS no NAS, se você quiser.
É improvável que o seu ISP fornecesse endereços IPv4 suficientes para essa configuração, por isso, se quisesse fazê-lo dessa forma, teria de o fazer com o IPv6.
Você pode configurar sua LAN de forma que o IPv4 seja NAT pelo seu gateway e o IPv6 seja roteado sem o NAT. Para o nome escolhido para o seu NAS, você pode criar um registro A apontando para o seu NAT e um registro AAAA apontando para o NAS.
Os clientes na sua rede local terão um caminho IPv6 diretamente para o NAS e devem preferir usar o registro AAAA. O uso do endereço IPv4 envolveria o NAT suspenso, mas isso só seria usado como alternativa no caso de falha na conexão IPv6. Dado que o cliente e o NAS seriam apenas um salto um do outro sem nenhum roteador entre eles, seria raro que a conectividade IPv6 falhasse.
Clientes de fora da sua LAN usarão IPv4 ou IPv6 dependendo da rede à qual estão conectados. Se eles estiverem em uma rede somente IPv4, precisarão passar pelo encaminhamento de porta em seu NAT, que você deve deixar configurado da mesma forma que é agora.
Uma solução alternativa
Se o seu ISP ainda não suporta o IPv6, então não há uma solução limpa para o seu problema. No entanto, ainda existem soluções possíveis.
Você pode configurar seu próprio servidor DNS no gateway NAT. Esse servidor DNS precisará considerar-se autoritativo para o seu domínio e recorrer a tudo o mais. Esse servidor DNS terá que distribuir endereços locais quando for solicitado seu domínio.
Os clientes na LAN receberão um endereço IP local e se conectarão diretamente ao NAS. Clientes fora de sua rede local não estarão usando o servidor DNS em seu gateway NAT, em vez disso, receberão respostas do servidor autoritativo real apontando para seu IP externo.