Replikation und Firewall

Soletario · 29. Okt 2022

Hallo,
ich habe mich zwar gerade an einen alten thread ran gehängt aber vielleicht macht in eigener thread auch Sinn.
Ich habe eine Firmen-NAS die ihre Replikation auf eine Home-NAS macht. Ohne firewall funktioniert das.
Meine Firmen NAS hat eine feste IP, d.h. ich kann bei meiner Home NAS die firewall darauf beschränken. So weit so gut. Aber bei der Firmen-NAS soll der Port 5001 nicht mehr von außen zu sehen sein. Wenn ich den blocke geht aber die Replikation nicht mehr. Warum das so ist, bzw. sein muss ist mir zwar unklar aber gut, daran kann ich wohl nicht ändern.

Eine site-to-site VPN Verbindung über die FritzBoxen scheidet wegen schlechter Performance und generell wegen der Unsicherheit (vom Home-Netz ins Firmen-Netz) aus.
Site-to-Site nur mit den NAS scheint nur mit Lizenz zu gehen. Oder habe ich da was falsch verstanden? Wobei eine Lizenz zu kaufen sollte auch nicht das Problem sein, wenn mir das hier geraten wird.

Mir fällt jetzt nur ein, dass ich auf der Home NAS einen VPN Server installiere und mit dem Benutzer, der die replikation, macht eine VPN Verbindung herstelle. Umgekehrt habe ich das schon: Auf der Firmen NAS läuft ein VPN-Server und ein User der Home-NAS logged sich da auch generell ein. Für ein Hyperbackup der Home-NAS auf die Firmen-NAS.

Was wäre der Tipp von den Experten hier?

Anzeige · 29. Okt 2022

Hallo Soletario,

Bücher und Hardware zum Thema gibt es bei Amazon: Replikation und Firewall

waldemard · 29. Okt 2022

Kannst Du noch weitere Infos liefern wie: Welche Backup App du nutzt, falls überhaupt, wie wird repliziert bzw. wer initiert das.
Wie wäre es mit einer besseren Firewall mit der Du Ports besser filtern kannst - nix gegen die fritte.
Welche Ports die Syno so verwendet findest Du hier https://kb.synology.com/de-de/DSM/tutorial/What_network_ports_are_used_by_Synology_services

Soletario · 29. Okt 2022

Ich nutze die Synology eigenen Programme: stündliche Snapshots von meinen Daten lokal und tägliche Replikation auf die externe Home-NAS (und tägliches Hyperbackup zusätzlich auf die Home NAS - Hosenträger und Gürtel Methode

.
Ich hätte gedacht, die fritte kann dann einfach nur die VPN Ports an die NAS weiterleiten und die NAS blocked weiter nach ausländischen IPs. Habe zu wenig Ahnung, was ne bessere Firewall dann noch mehr (oder bequemer) leisten kann.

Fusion · 29. Okt 2022

Eigentlich sollte der nur Port 5566 auf dem Ziel NAS brauchen.
https://kb.synology.com/en-us/DSM/help/SnapshotReplication/replication?version=7

Möglich, dass er den gleich auch für Recovery vorsieht und vielleicht auch für die andere Richtung einfordert inzwischen.

Soletario · 30. Okt 2022

Interessant ist, dass auch der DSM Port (5001) auf dem Quell-NAS freigegeben werden muss. Sonst kommt bei auf dem Quell-NAS im Replikationfenster die Fehlermeldung "Eingehende Verbindung fehlgeschlagen".

Auch unter den Einstellungen / Erweitert bei der Replikationsverbindung wird der richtige Port für DSM abgefordert.

Gibt es noch andere Hinweise, wie ich dann den DSM Port blockieren kannn? Wie gesagt, VPN scheint mir die einzige Möglichkeit.

Ich frage so nach, weil es mich wundert, dass diejenigen, die eine Remote replikation machen wollen wohl auch zu denen gehören, die ihren DSM Port nicht nach außen offen haben wollen.

waldemard · 31. Okt 2022

Soletario schrieb:
Ich nutze die Synology eigenen Programme: stündliche Snapshots von meinen Daten lokal und tägliche Replikation auf die externe Home-NAS (und tägliches Hyperbackup zusätzlich auf die Home NAS - Hosenträger und Gürtel Methode .
Ich hätte gedacht, die fritte kann dann einfach nur die VPN Ports an die NAS weiterleiten und die NAS blocked weiter nach ausländischen IPs. Habe zu wenig Ahnung, was ne bessere Firewall dann noch mehr (oder bequemer) leisten kann.

Hast Du jetzt der OpenVPN Port in der Fritte an dein NAS weitergeleitet? Man braucht wohl eine Lizenz für Site2Site VPN - siehe hier. https://www.synology.com/de-de/products/Site_to_Site_VPN_License

Fusion · 31. Okt 2022

Das ist nur für Synology Router, nicht für Synology NAS.

waldemard · 31. Okt 2022

Ohje, hab nicht gscheid gelesen. Würde er einen ordentlichen Router/Firewall verwenden, wäre die Sache schnell erledigt.

Soletario · 01. Nov 2022

waldemard schrieb:
Ohje, hab nicht gscheid gelesen. Würde er einen ordentlichen Router/Firewall verwenden, wäre die Sache schnell erledigt.

Ich bin ja gerne bereit zu investieren. Was würde ein ordentlicher Router/Firewall anders machen? Was ginge damit was jetzt mit fritte und NAS nicht geht (bezogen auf mein Thema)?

the other · 01. Nov 2022

Moinsen,
Die Geräte von avm sind gut, können viel und reichen vermutlich 80 Prozent der Anwender voll in den default Einstellungen aus.
Wenn du spezieller Anforderungen stellst, dann...
...bieten die Geräte mehr Performance (höherer Durchsatz)
...bieten die Geräte mehr Anwendungsmöglichkeiten (zb verschiedene vpn Lösungen)
...biete die Geräte mehr Einstellungen wie zb vlan, Firewall etc.

Draytek, pfsense bzw opensense, unifi (nicht so meins), sophos...um mal ein paar zu nennen für den Anfang.