Hyper Backup Script für Hyper Backup - NAS. zu NAS und VPN

[fox89]

Hallo miteinander,

Aufbau ist aktuell wie folgt
2 Synology Nas

a: 1 NAS in Deutschland (privat)
b: 1 NAS in USA/Philly (mein office)

Aktuell speichere ich von a zu b via Hyper Backup über openVPN. NAS b stellt den VPN Server, NAS a logt sich ein. Während a eingeloggt ist, kann auf a openVPN leider nicht als Server genutzt werden.

Ziel:

1. b soll ebenso zu a speichern über openVPN (kein Problem)
2. Vor dem Backup soll die jeweilige VPN Verbindung aufgebaut werden. Nach dem Backup soll diese geschlossen und der openVPN Server wieder gestartet werden

Ich denke das sollte über ein Skript möglich sein, hier fehlt mir jedoch die Erfahrung.
Über die Sufu und gidf.de habe ich schon ein wenig gefunden, hilft mir aber nicht weiter.
Bin für jede Hilfe dankbar.

 

[fox89]

Schade, keiner einer Idee. Wie könnte man sowas denn ggf. anders umsetzen?

 

[geimist]

Ich habe jetzt keine 1zu1-Anleitung für dich, habe mir aber 2 Links in meinem Skript notiert, mit welchem ich eine unterbrochene VPN-Verbindung wieder herstelle. Vielleicht helfen sie dir ein wenig weiter:
- Skript um VPN Verbindung zu prüfen und wiederherstellen
- How-to schedule a VPN connection on Synology DSM 6

 

[fox89]

Hey Stephan,

danke für deine Antwort. Die Links kannte ich auch schon. Hilft mir nur bedingt weiter und löst das Problem nicht.
Habe mich jetzt erstmal von dem Gedanken verabschiedet, dass Backup wechselwirkend über eine jeweilige VPN Verbindung zu ermöglichen.

Also habe ich Port 6821 an beiden Seiten freigegeben und werde das Backup darüber machen (man kann es ja verschlüsseln). Schade nur, dass ein weiterer Port geöffnet werden muss.

 

[Fusion]

Geht es dir beim VPN nur um das Backup, also dass a zu b und b zu a sichern kann?
Das geht auch mit einem Client und einem Server und bi-direktionalen Tunnel.

Oder geht es darum, dass wenn das NAS nicht als Client per VPN am Server eingeloggt ist für ein Backup, der VPN Server auf dem Client NAS laufen soll, damit sich dort andere Notebook/PC Clients am NAS VPN Server anmelden können? (was zudem nicht die beste Idee ist).

 

[fox89]

Hey Fusion,

mir geht es um letzteres.
Also nas A soll eine OpenVPN Verbindung zu Nas b aufbauen. In der Zwischenzeit kann nas a ja nicht als OpenVPN Server fungieren. Nach Abschluss des Backups soll nas a dann die Verbindung zu b trennen und den OpenVPN Server wieder aktivieren.

Beide OpenVPN Server (also sowohl a als auch b) werden genutzt.

Wie gesagt habe ich jetzt erstmal Port 6281 weitergeleitet. Das funktioniert bestens. Backup geht smooth und Schnell ohne Probleme (ca. 400gb). Ich finde es aber schade einen Port öffnen zu müssen, da wie ansonsten alles aktuell über vpn lösen können.

Mir ist bewusst das vpn über syno nas Kontrovers diskutiert wird. Aber ich habe aktuell keine andere Möglichkeit. Meine fritzbox 7590 hat nicht genug power und der Schrott von Router in den USA erwähne ich nicht..

 

[Fusion]

Ohne tiefere Eingriffe und eventuell Ersatz mit einem anderen openVPN server sehe ich auf der Syno keine Möglichkeit, da parallel laufen zu lassen.

Den Server per Script starten/stoppen ist sicher kein Problem. Was ich nicht weiß ist, wie das mit der Client-VPN Verbindung funktioniert. Müsste ich auch erst recherchieren.

Alternative wäre noch das eine via openVPN und das andere per IPSec zu machen. Das geht dann auch "gleichzeitig".

 

[fox89]

Hallo Fusion,

letzteres stimmt. Hatte ich mir auch überlegt. Dann bräuchte ich noch ein Skript um die jeweilige vpn Verbindung zu beenden, denn es ist ja Quatsch diese dauerhaft aufrecht zu erhalten. Eigentlich wollte ich mir beide vpn Protokolle als Server offen halten, da ich zugegebenermaßen gerne mit dem
iPhone über ipsec zugreife. Mit dem Mac aber lieber über Open vpn ...

Noch eine Idee die ich gerne diskutieren würde:
Dadurch das ich den Port für hyper Backup weitergeleitet habe, droht ja ein eventueller Angriff auf die Syno, zu mindestens auf hyper Backup. Ich habe die Firewall so eingestellt, dass ich nur vpn erlaube nur für Deutschland und USA (bin ich mal woanders, gebe ich mir das Land temporär vorher frei, sind ja nur 3 Klicks). Genau so habe ich auch hyper Backup in der Firewall eingeben.
Hier aber nun die Idee. Ich kann ja auch die quell ip - spezifische ip definieren. Gibt es eine Möglichkeit hier eine dydns einzugeben? Dann könnte ich ja die vom jeweiligen Ort eingeben und somit noch mehr Sicherheit schaffen? Für das Backup habe ich übrigens jeweils einen eigenen User auf beiden nas angelegt. Dieser hat nur Zugriff auf hyper Backup und den jeweiligen Ordner. Mehr Sicherheit geht ja garnicht mehr. Damit müsste ich doch gut genug fahren oder?

 

[Fusion]

Solche Funktionen gibt es in besseren Firewalls und auch der Apache kann das (forward-dns) um praktisch ein moving target zu haben für eine Regel, aber mit dem DSM kenne ich aus dem Stand keine entsprechende Lösung.
Wenn du mit der Firewall für Hyper Backup eine Geo-Einschränkung hast könntest du höchstens noch eine IP-Einschränkung machen, falls die IP-Bereiche die die Provider an deinen Anschlüssen verteilen stabil aus einem bestimmten Subnetz kommen.
Oder z.B via Aufgabenplaner den Hyper Backup Vault Dienst zeitgesteuert zu starten und stoppen, so dass dieser nicht immer verfügbar ist.
Ebenfalls per Script könnte man dazu dynamisch den Port 6281 in der Firewall öffnen und schließen. Ist ja auch nur iptables.
Auf dem Umweg könnte man denke auch die dynDNS-IP Filter Regel realisieren, wenn man eh schon iptables scripted.

 

[fox89]

Ok Apache bin ich raus

1. Ip-Range unbekannt. Könnte ich aber beim Provider Anfragen/ googeln -> gute Idee

2. Hyper Backup zeitsteuern gute Idee. Ich kann sagen wann es angehen soll. Wie kann ich den Dienst steuern wenn das Backup abgeschlossen ist? Das müsste ja vorher geprüft werden?

3. Script um Ports zu schließen find ich auch gut. Ebenfalls hier die Frage, wie ist zu prüfen ob das Backup abgeschlossen wurde?

Hast du zu Punkt 2 und 3 ein Tutorial oder ein Link wie ich das Script aufsetze?

 

[Fusion]

Nein, hab nichts fertiges für diese benutzerdefinierte Lösung parat.

Der Backup Job läuft ja auf dem anderen System. Hab ich mich noch nicht damit beschäftigt, wie man das auf der Vault Seite feststellt, so dass man es in einem Script verwendet.
Für den Anfang hätte ich jetzt einfach einen großzügigen Zeitrahmen gesetzt. Macht natürlich wenig Sinn, wenn das Backup z.B: stündlich läuft und 30 Minuten braucht

Zum Script selbst "Synology Konsole iptables" oder "Synology konsole firewall" oder ähnlich, Bedienungsanleitungen eben für iptables und bash scripting.
DAS EINE Tutorial etc habe ich da nicht. Sorry.

 

[fox89]

Fusion danke dir. Werde mich einlesen. In der Zwischenzeit muss es halt über den Hyper Backup Port gehen.