Die ldap-Synchronisierung (slave) oder -Anfrage (member) läuft über den Tunnel. Alle Ports auf der öffentlichen IP-Adresse, außer web- und mail-Ports, werden geschlossen. Hierzu gibt es schon einiges im Forum und auch im univention-wiki denke ich.
Jep, das geht (zumindest für nextcloud war ich erfolgreich) - allerdings muss man dafür ein bisschen basteln, d.h. eigene Templates erstellen. Ich habe das hier dokumentiert. Ggf. fehlt in der Doku ein letzter Schritt, der ist dann hier zu finden.
UND: man sollte darauf achten, dass die UCS-Domain NICHT domain.tld heißt, sondern eher so etwas wie intern.domain.tld … Auch hierzu finden sich Posts hier im Forum…