Anfänger sucht Einstieg (Stichworte, Tutorials etc.) - ds116j als online-backup-Serve

[Makake]

Hallo Community,

ich komme mit meiner Recherche nicht weiter.

Sachverhalt:
Ich möchte im Haus eines Freundes (Router "speedport smart") eine ds116j aufstellen und für eine außerhaus-Zweitsicherung meines Backups nutzen. Die Backupdaten sollen z. B. mit duplicati (Tutorial) verschlüsselt abgelegt werden. Aus Sicherheitsgründen soll der "Server" nur einmal wöchentlich für ein paar Stunden online sein und nur für ausgewählte IP-Adressen ansprechbar sein.

Lösungsansatz:
Ich glaube zu wissen, dass es verschiedene Ansätze gibt: "quickconnect", VPN und Router-Portfreigabe. Welche Variante ist für meinen Zweck die Sicherste für meine Daten und das Netzwerk meines Freundes? Quickconnect möchte ich wenn möglich vermeiden, da ich glaube, damit das Hackerrisiko verringern zu können.

Ich freue mich über jeden Tipp!

 

[Fusion]

Das hängt etwas von den Fähigkeiten der Geräte ab.
VPN zum Router oder zur DS oder Dienste-Verfügbarkeit via Port-Freigabe/Weiterleitung sind ähnlich sicher.

Damit die DS möglichst gekapselt ist würde ich entweder das VPN zur DS aufbauen (Portweiterleitung/Freigabe von openVPN auf die DS) oder eben für einen anderen Dienst eine entsprechende Weiterleitung.
Beim VPN bist du dann von dir aus auf die DS eingeschränkt als Ziel soweit nicht anders konfiguriert.
Dann muss man nur noch sämtliche Dateidienste SMB/NFS etc auf der DS abschalten, die nicht benötigt werden bzw den Kontakt aus dem LAN deines Freundes auf die DS per Firewall einschränken.
Halt aufpassen, dass man sich nicht selber komplett aussperrt.
Bei Portweiterleitungen für einen Dienst, z.B. Hyper Backup hast du auch erstmal von dir nur Zugriff auf die DS.
Abschottung durch Abschaltung von Netzwerkdateidiensten und/oder Firewall sind ähnlich.

Ob die Daten dann in einem verschlüsselten Gemeinsamen Ordner landen, oder selbst direkt noch verschlüsselt sind hängt dann von der Software und dem eigenen Bedürfniss ab.
Ein Zugriff auf deine Daten von deinem Freund wäre dann eh nur möglich, wenn die Daten unverschlüsselt abgelegt werden und er die Festplatten aus deiner DS ausbauen und bei sich an den Rechner hängen würde.

 

[frankyst72]

Keep it simple! Verwende HyperBackup. Ein Backup von DS zu DS lässt sich mit HyperBackup ganz einfach einrichten. Die Datenübertragung findet verschlüsselt statt (Haken setzten). Du musst kein VPN, etc. einrichten.
Das einzige, was eingerichtet sein muss: Das Zielnetzwerk muss per DDNS erreichbar sein, am Zielrouter muss der Port 6281 offen sein auf Deine Ziel-DS deuten und auf der Ziel-DS muss Hyper Backup Vault installiert sein.

Aus Sicherheitsgründen soll der "Server" nur einmal wöchentlich für ein paar Stunden online sein und nur für ausgewählte IP-Adressen ansprechbar sein.

Blah, blubb. Richte erst mal das Backup ein und dann kannst Du anfangen, es kompliziert zu machen. Anderen Port verwenden, DS Firewall eingrenzen, etc. pp. Das Wichtigste wird aber sein, dass Du sehr gute Passwörter verwendest!!!!

Zur Info, ich habe/hatte auch eine DS115j als Backup bei meiner Mutter stehen.

Die DS115j und ich vermute die DS116j auch, kennen kein Ruhezustand, d.h. die laufen immer durch (die Platte fällt in den Schlafmodus, wenn Du es willst). Aber kein Problem, selbst laufend braucht die DS115j nur ganz wenige Watt. Da gibste Deinem Freund einen 10er für die Stromkosten im Jahr.

Entscheidend bei der ganzen Geschichte ist, ob Du einen guten Upload hast, bzw. wie viel Daten im Backup sind und wie viel Daten sich täglich ändern. Und ja, mache ein tägliches Backup. Umso weniger lang dauert jedes einzelne Backup. Wenn sich nichts geändert hat, ist es nach 4 Minuten fertig bei 3TB-Datenvolumen bei mir.
(Das initiale Backup machst Du am besten bei Dir im lokalen Netzwerk)

Du kannst Dich auch mal bei iDomix umsehen. Der richtet das hier ein https://www.youtube.com/watch?v=twVXf2a2JBQ&t=110s (allerdings, nach meiner Meinung, unnötig kompliziert, das ganze Zeug mit per SSH der Hosts editieren. Man kann problemlos erst mal das Backup mit IP anlegen und wenn die DS beim Freund steht die IP durch den DDNS-Namen ersetzten.)

 

[Makake]

Danke euch beiden!

@frankyst72: Ich möchte kein Backup von einem Backup machen, sondern quasi zwei unabhängige Backups (Laptop1 auf externe Platte; Laptop1 auf eigene Synology-Cloud beim Freund). Mit Duplicati wäre das grds. kein Problem. Mit Hyperbackup geht das aber glaube ich nicht. Damit kann ich meines Erachtens nur ein Backup von der ds auf eine andere Cloud machen.

@Fusion: Was benötige ich denn alles für die Einrichtung des VPN. Ich hatte mal was gelesen von Domain-Gebühren, die man bezahlen muss. Geht das auch ohne? Hättest Du vielleicht einen Tipp für ein Anfänger-Tutorial?

LG

 

[Fusion]

(Laptop1 auf externe Platte; Laptop1 auf eigene Synology-Cloud beim Freund).

Das hättest du mal als erstes erwähnen sollen. Dann hätten wir keine Romane zum Backup von einer auf die andere DS geschrieben.

Die Quelldaten liegen also auf deinem Laptop und das Backup soll auf der externen DS landen?
Und Duplicati läuft auf deinem Laptop?

Dann muss man mal schauen was Duplicati für Netzwerk-Protokolle / Ziele unterstützt und dies auf der externen DS zur Verfügung stellen.
Bezüglich der Fähigkeiten von Duplicati bin ich überfragt, müßte ich mir selber erst anschauen und die Zeit will ich gerade nicht investieren.
Nur wenn dies nicht über einen verschlüsselten Weg möglich ist würde man sich dann VPN nochmal ansehen und deinen Laptop über einen VPN Tunnel an die externe DS anbinden und die Sicherung durch diesen Tunnel machen.

 

[Makake]

Entschuldige bitte, wenn ich mich unklar ausgedrückt habe.

Es sollen letztlich 3-4 Laptops ein individuelles Backup über (z. B.) Duplicati (z. B.) über WebDav auf die Synology-Cloud in regelmäßigen Abständen aufspielen. Duplicati unterstützt folgende Möglichkeiten:


Und wie richte ich die ds richtig ein, damit sie online ansprechbar ist - und das natürlich nur für die backup-Laptops. Ich bin mit den vielen Möglichkeiten überfordert und möchte auch das Sicherheitsrisiko möglichst gering halten.

 

[Fusion]

Da muss man sich jetzt einlesen, was sich hinter "file based", "ftp based", "ssh based" und "webdav based" genau versteckt und welche Transport-Verschlüsselung unterstützt wird.
Die DS wird man mit dynDNS einrichten, damit sie unter einer dyn.domain.de erreichbar ist, über Portweiterleitungen im Router, dass die genutzten Übertragungsdienste von Duplicati erreichbar sind.
Zugriff nur für die Laptops wird schon schwieriger je nachdem von wo die überall zugreifen/backupen können sollen.

Von dieser Seite ist es dann vermutlich einfacher, wenn du auf den Laptops openVPN installierst und die Laptops als VPN Clients mit dem VPN Server auf der externen DS verbindest.
Auch hierfür braucht es eine dynDNS Adresse und eine Portweiterleitung für den VPNServer Dienst für die externe DS.
Wenn der VPN Tunnel steht kann man vermutlich mit Duplicati einfach per file based (falls dahinter die Sicherung auf ein Netzwerklaufwerk/Netzwerkfreigabe versteckt) sichern, wie im lokalen Netz auch.

Du siehst schon da kommt einiges an Lese- und Lernarbeit auf dich zu.
Von daher würde ich nochmal überlegen, ob es nicht doch eine Idee wäre die Sicherung der Laptops auf deine DS zu machen und dann diese Backups auf einen Schwung per Hyper Backup auf die andere DS schiebst.
Dann hält sich der Mehraufwand in Grenzen.
Hängt halt von deiner Situation/Randbedingung/Anforderung ab, ob das eine Möglichkeit wäre oder nicht.

 

[frankyst72]

Ich möchte kein Backup von einem Backup machen, sondern quasi zwei unabhängige Backups (Laptop1 auf externe Platte; Laptop1 auf eigene Synology-Cloud beim Freund). Mit Duplicati wäre das grds. kein Problem. Mit Hyperbackup geht das aber glaube ich nicht. Damit kann ich meines Erachtens nur ein Backup von der ds auf eine andere Cloud machen.

Ein Backup vom Backup würde ich auch niemals empfehlen. Das ist Mist. Du hast es richtig verstanden, dass man mit HyperBackup nur ein Backup von der DS auf eine andere DS, oder ext. Festplatte, oder einen der Datendienste machen kann.

Verstehe ich das richtig, dass Du gar keine DS bei Dir Daheim im lokalen Netzwerk hast?

WebDAV kann die DS, FTP natürlich auch, aber das liegt unter härtestem Hackerbeschuss, da ist es ein 'Muss' SFTP (oder war es FTPS) und andere Ports zu verwenden, oder besser einen VPN-Tunnel. WebDAV läuft über eine gesicherte HTTPS-Verbindung. Viele mögen WebDAV aber nicht. Es ist auch sicher nicht das performanteste Protokoll. FTP ist diesbezüglich das schnellste, weil auf Dateitransfer spezialisiert.

Aber ich würde hier auch, wie von Fusion vorgeschlagen, die VPN-Variante wählen. Der Tunnel frisst aber auch Performance.
Oder halt wirklich eine zweite lokale DS116j, auf die alle Laptops Ihre Daten duplizieren (unversioniert) und das backupst Du dann versioniert auf die DS beim Freund (ok, ok, das kann man, wenn man böswillig ist, auch als Backup vom Backup bezeichnen ^^, ich würde in diesem Fall sagen, die erste DS ist ein Datensammeltopf)

 

[Makake]

Danke erstmal für die weiterführenden Tipps!

Verstehe ich das richtig, dass Du gar keine DS bei Dir Daheim im lokalen Netzwerk hast?

Ja, das ist richtig. Und ich habe auch nicht vor, eine Weitere zu kaufen. Die Jetzige ist nur für das Außerhaus-Backup vorgesehen.
Ich dachte, wenn ich Synology kaufe, gibts es eine schnelle, einfache und sichere Lösung. Ich benötige jetzt aber erstmal etwas Zeit, um mich in die ganzen Stichworte von Fusion einzulesen.

Spricht eurer Meinung etwas dagegen, dass einfach über QuickConnect zu lösen, wenn die Backups ohnehin verschlüsselt hochgeladen und abgelegt werden?

 

[Fusion]

Ja, es spricht etwas dagegen.

Erstens steht dir QuickConnect nicht unbedingt zur Verfügung je nach Lösung und zweitens ist die Performance unterirdirisch (so um die 1MBit/s)