Verzeichnissicherung auf NAS in anderem Standort

[Michi777]

Liebe Community!

ich möchte unser Büroverzeichnis zusätzlich automatisiert (SyncBack Pro) außer Haus sichern und brauche dazu ein erreichbares Verzeichnis der NAS.
Mit OpenVPN und dergleichen habe ich keine Erfahrungen und erscheint mir etwas unverständlich, daher hoffte ich dass auch da was via QuickConnect geht (doch Cloud Drive findet nur lokal NAS).

Haben eine Synology DS916+.

Was wäre die einfachste Lösung um einen NAS-Verzeichnis von außen ansprechen zu können?

Vielen Dank im Voraus!

 

[ong10]

Hallo,
klappt UltimateBackup ( http://www.synology-forum.de/showthread.html?78115-Ultimate-Backup&p=646510&viewfull=1#post646510 ) vielleicht?
Ansonsten nutze ich FreeFileSync ( http://freefilesync.org/ ) um zu einem entfernten NAS zu sichern.

Olaf

 

[Michi777]

@ong10:
Wie wird es denn realisiert das Ultimate Backup auf da NAS in anderem Standort\Netzwerk zugreifen kann (SSH)?

 

[ong10]

Hallo,

wenn ich das auf der Seite von Ultimate Backup richtig sehe über SSH. Habe es aber selbst hier nicht am laufen.
Olaf

 

[Michi777]

Muss man für SSH Konfigurationen an NAS, Router und Modem vornehmen?

 

[Tommes]

Hi!

Egal ob das Programm nun Ultimate Backup, Hyper Backup oder sonst wie heißt... ich würde vertrauenswürdige Dateien - und dazu zähle ich einfach mal deine Büro bzw. Geschäftsdaten - nur per VPN von A nach B schicken und nicht über eine SSH, geschweige denn Quick Connect Verbindung.

Ultimate Backup nutzt zwar eine SSH-Verbindung über den Port 22, diesen Port sollte man aber nur dann aus dem Internet erreichbar machen, wenn man weiß was man da tut. Von daher empfehle ich VPN.

Tommes

 

[Fusion]

Die Rechner müssen untereinander erreichbar sein. Für SSH eben Port 22 oder den von dir in der config gewählten.
Wie das mit deiner Netzwerk und Provider-Umgebung aussieht musst du selber klären.
Je nachdem sind eben z.B. Portweiterleitungen im Router nötig

 

[Michi777]

Habe nun etwas recherchiert und versucht die Schritte zu verstehen und habe es wie folgt notiert.
Ist das alles richtig so oder ist wo was falsch\vergessen?

 

[jensi71]

Hallo Leute!
Frage: Port 22 Freigeben und SSH mit einem sehr langen Schlüssel reicht nicht?
@Tommes: kannst Du vielleicht netterweise irgendwie eine Art "Workaround" anbieten? Stehe vor dem gleichen Problem: Datensicherung übers Netz (2 Fritzboxen) auf eine andere DS mittels Ultimate Backup, welche bei meinem Vater steht...und das möglichst sicher.

 

[Fusion]

Fritzboxen per VPN koppeln (Lan to LAN, Site-to-Site) und mit lokalen IPs des jeweils anderen Netzes arbeiten, dann läuft alles nur in lokalen Netzen oder verschlüsselten Tunneln.
Leider kommen das nur die neuesten Fritzboxen (7580/90) auf gute Durchsatzraten (habe teils von 25-30 MBit gelesen) im VPN, die CPU begrenzt.

Habs grad nochmal getestet und bin bei zumindest bei der von/zu 7590 entäuscht. Was bringt einem da 20-40 MBit Upload....
Die 6490 (20MBit Upload) z.B. kommt auf 4-5 MBit/s (zu einer 7490, 50 MBit Download). Umgekehrte Richtung 6-7 MBit/s (10 Mbit Upload).
Von der 7490 (10 MBit Upload) auf eine 7590 (100 MBit Download) etwa 8-10 MBit/s, umgekehrt 9-10 MBit/s, Spitzen bis 13-15 MBit/s (20MBit Upload).

Die Nutzung von Remote-Share per CIFS senkt eventuell die Rate etwas, aber... wenn ich per https direkt etc 2-4 Mal schneller bin als per Fritzbox VPN Kopplung.... echt beschämend AVM.

 

[jensi71]

Hallo Fusion, danke Dir.

Lt. AVM wäre aber bei LAN-LAN Kopplung ja gegenseitiger Netzwerkzugriff drin? Das möchte ich ansich nicht; möchte nur auf die DS kommen. Das müsste dann ja sowas hier sein:
https://avm.de/service/vpn/tipps-tricks/fritzbox-mit-einem-firmen-vpn-verbinden/

Irgendwo hatte ich gelesen, daß ich das VPN sogar bis auf einen einzelnen LAN Anschluss einrichten könnte; das wäre für mich dann die Ideallösung. Ich werd nun erstmal versuchen, einen Fernzugriff auf die entfernte Fritz einzurichten, dann kann ich mal diverse Szenarien durchprobieren.
Wobei ich immernoch nicht ganz kapiere, warum der VPN Tunnel so viel sicherer ist als die Portfreigabe, und dann mit einem wirklich schweren und langen Passwort Ultimate Backup per SSH sichern lasse

 

[Fusion]

Geht natürlich auf mit VPN Fernzugriff von der einen auf die andere Fritte. Ebenso kann man (mindestens) die LAN-2-LAN Kopplung auf ein Netzwerkport beschränken. Muss man halt genauer hinschauen, die dann auch die dortigen LAN Geräte weiterhin noch Zugriff hätten, wenn man die DS an so einen Port hängt.
Ebenso könnte man auch von einer DS zur anderen direkt einen VPN Tunnel aufbauen (Quelle ist Client, Ziel ist Server) und hat dann auch nur eine Einbandstraße.

Ein VPN Tunnel ist nicht per se sicherer.
Nur wenn man weitere Anstrengungen unternimmt und die config anpasst, kann man z.B. nur Clients mit bestimmten Schlüsseln zulassen, die Server-Zertifikate überprüfen, etc. Es gibt einfach mehr Faktoren, die für eine erfolgreiche Verbindung dann nötig sind.
Ansonsten sind es erst mal nur zwei verschiedene Techniken.

Wenn man z.B. mehr als nur einen Dienst nach außen anbietet vervielfältigt sich die Angriffsfläche via Domain/ports, während via VPN weiterhin nur dieser eine Dienst Angriffen ausgesetzt ist. (je weniger, desto besser was potentielle Fehler/Bugs angeht)

Willst du nur das Backup handeln kannst du natürlich auch mit Ports arbeiten und z.B. 12345 als Port zum Internet hin nehmen (damit nicht jedes 0815 scan script an den SSH Servern anklopft) und mit (asymmetrischen) RSA-Zertifikaten arbeiten (z.B. Ultimate Backup) auf Client/Server. Fände ich auch akzeptabel.

 

[PsychoHH]

Wenn du vpn nutzt sind die Fritzboxen halt direkt miteinander verbunden. Und es wird kein ssh Port geöffnet. Theoretisch ist es sicher aber wieso extra den Port für ssh freigeben?
Spätestens wenn man dann noch 22 frei gibt hat man stündlich Kontakt von Fremden. Ich habe auch Fritzboxen per vpn verbunden und sicher dann darüber per ssh. Außerdem muss ich dann keine Ports öffnen.

 

[jensi71]

Ihr habt mich überzeugt, ganz klar. Denn ich möchte natürlich auch ab und zu mal auf die Bedienoberfläche der entfernten DS kommen; dazu müsst ich dann weitere Ports öffnen. Also wär (für meine Lösung) wirklich der Idealfall mit dem einen LAN-Port, der per VPN an meiner Fritte dranhängt. Somit wär auch das entfernte Netz komplett von meinem entkoppelt. Wär mir am liebsten. Nun muss ich mal sehen, ob ich das irgendwie hinbekomme...

Gibts hier im Forum eigentlich so eine Rubrik für "wie mache ich dieses und jenes, um das zu erreichen"? Da könnte man seine Lösungen veröffentlichen; vielleicht hilfts dann ja auch anderen.

 

[PsychoHH]

Gibt ein synology Wiki dort könntest du es nochmal veröffentlichen.