Fjärransluter automatiskt.

VPN är nog enklast och wireguard är nog enklaste VPN:en.
https://www.wireguard.com/quickstart/

Att han skulle plugga in den och det då skulle gå att ansluta mot den via ssh/ftp utan att behöva göra ändringar i routern nja.
Däremot så kan han ju koppla in den så kan du köra ex. teamviewer mot en dator i hans nätverk och sätta upp access/konfa det du behöver för åtkomst

Kolla på tailscale så slipper polaren göra jota förutom att koppla in den.

Har du kikat på Tailscale som jag tipsade om?
https://tailscale.com/

Hur är det, kan man använda en dynamisk-dns tjänst som adress för en vpn klient kan ansluta till?
Annars går det ju att köra en curl för att hitta IP,
om nu du har en IP som ändrar ofta.

Med VPN behöver endast klienten veta din adress, brukar va rekommenderat att köra VPN istället för att ansluta sig direkt med SSH över internet.

… varför då?

Finns få mjukvaror som granskas hårdare än openssh. VPN är bra om du behöver kapsla in mindre säkra protokoll, men SSH är gjort just för att logga in över internet. Går även att göra VPN-tunnlar med det om man vill.

Med endast SSH har du en öppningsbar dörr direkt mot internet, utöver att ofta har man ett avskilt nät för att serva interna funktioner som inte är nåbar utanför det lokala nätverket om ens det.
och i detta fall så får du direkt kontakt med enheten fastän dess IP skulle ändras.

Sen finns det ju ett dröse med bottar som knackar på vareviga port 22 som är använt på internet och kör burteforce om de hittar en.

Jag hade kört reverse SSH på Pi:n. Den kopplar alltså upp sig som klient från Pi-sidan, vilket löser NAT-problemet hos kompisen, utan att öppna portar i hans router. Det finns program att köra för att se till att starta tunneln och hålla den öppen som man kan köra på Pi:n. Titta på autossh och vad det nu kör för init-system på disten du kör på Pi:n.

På din sida måste du exponera en SSH-server på internet, vilket innebär port forwarding om du kör med NAT. Plocka bort lösenord och kör enbart med nycklar på bägge sidor för att hindra brute-force. När du vet varifrån Pi:n ansluter kan du lägga till brandväggsregler som bara tillåter en IP-range som tillhör kompisens ISP.

Vid användande ansluter du till en port lokalt på servern på din sida och vips har du ett skal på Pi:n. Filkopiering hanteras med scp. Om du envisas med att köra Windows på din sida så blir det förstås lite till att ta hänsyn till.

Du bör kunna testa det mesta av uppsättningen på ditt lokala nät. Om du dessutom kan ansluta Pi:n till mobiltelefonen och få nät den vägen så kan du testa hela konceptet hemma innan du skickar iväg Pi:n.

Ovanstående kräver förstås fast IP på din sida. Jag har inget fast IP men jag har ändå haft samma IP i tre år. Men det kan vara ett problem som behöver lösas med dynamisk DNS.