Backup auf entfernte Diskstation über Internet: Fritzbox VPN oder Portfreigabe

[Kesselteufel]

Hallo zusammen,

ich möchte ein Remote-Backup einrichten, wobei sich zwei Diskstations gegenseitig sichern sollen.

Aufbau (aktuell):

2xDiskstation 216j
2x Fritzbox 7490 (50/10mbit)

Ich habe inzwischen einige Threads durch und herausgefunden, dass theoretisch zwei Möglichkeiten bestehen:

1.) LAN-LAN VPN zwischen den Fritzboxen ==> Backups über Hyperbackup quasi wie im lokalen Netzwerk

In diesem Fall hätte ich ja auch die Möglichkeit, von den Geräten in den Netzwerken auf das jeweilige andere Netzwerk bzw. die entfernte Diskstation zuzugreifen.

2.) Hyper-Backup mit ddns und entsprechender Portfreigabe (68irgendwas?) an beiden Fritzboxen

In diesem Fall sollte ich ja keine Möglichkeit des Zugangs in das entfernte Netzwerk haben, richtig? Evtl. wäre mir dies grundsätzlich lieber, da ich zwar beide Netzwerke verwalte, in einem der Netzwerke jedoch keine Kontrolle darüber habe, wer an Gästen sich mit welchen Geräten dort einloggt.


Meine Frage wäre nun:

Wie sieht es mit der Sicherheit/Stabilität aus: Hat die VPN-Lösung irgendwelche Vorteile/Nachteile gegenüber der ddns-Lösung?

 

[Tom H]

Ich nutze derzeit die FritzBox LAN-LAN-Kopplung per VPN. Ein (zukünftiger) Nachteil ist die eingeschränkte maximale Übertragungsgeschwindigkeit der FritzBoxen per VPN. Die 7490 und die Modelle, die auf der gleichen VR9-Plattform basieren, machen aufgrund der geringen SOC-Leistung bei ca. 17 MBit dicht. Einen Vectoring VDSL100 Anschluss mit bis zu 40 MBit Upstream kann die Fritze also nicht komplett ausnutzen.

 

[frankyst72]

ich bin ein Verfechter der Portlösung! Nach meiner Meinung einfach einzurichten und völlig stabil (und ich glaube auch sicher). Bei VPN habe ich die Bedenken, nicht die volle Leistung der Leitung fürs Backup nutzen zu können, aber darauf kommt es mir beim Backup an, zumindest wenn sich mal wieder größere Veränderungen am Dateibestand getan haben.
Ein VPN würde ich dann verwenden (oder sogar zusätzlich), wenn ich in einem anderen Netz auf unterschiedliche Devices zugreifen, bzw. diese administrieren möchte.

 

[megakeule]

Ich benutzte OpenVPN auf den Syno's. Dazumuss man auf dem Server nur den OpenVPN port freigeben.
Die Lösung hat den Vorteil, dass sie sehr viel sicherer als die Port-Freigabe ist und es gibt keine Geschwindigkeitseinschränkungen wie bei FritzBox VPN. Ich kann zum Beispiel meine vollen 20M upstream ausnutzen.

 

[frankyst72]

Die Lösung hat den Vorteil, dass sie sehr viel sicherer als die Port-Freigabe ist

und Du hast keinen Port für das VPN frei gegeben??? Mir ist schon klar, dass es darauf ankommt, was hinter dem Port zuhört und wie sauber das jeweils implementiert wurde. Verschlüsselt sind beide Kommunikationen darüber. Login und Passwort muss auch in beiden Fällen kennen.

Mein Backup-User, mit dem das Backup läuft, darf nur auf den Backup-Share zugreifen und kommt auch nur zur DS und nicht weiter. Dein VPN-User kann sich erst mal im ganzen Netz rumtrollen (ohne Gegenmaßnahmen und wer macht das schon) auf jeden Port von jedem Rechner/Gerät dort.

Ggf. mag die Verschlüsslung des Open-VPN-Tunnels selbst stärker verschlüsselt sein, etc. ggf. ist OpenVPN auch ausgereifter, aber es hat mit Sicherheit auch Schwachstellen.
VPN ist nach meiner Meinung nur deshalb so hoch im Kurs, weil wenn die VPN-Verbindung erst mal steht, alles weitestgehen problemlos gemacht/konfiguriert werden kann (ohne weiter Portfreigaben etc.), das ist aber auch gleichzeitig die Schwäche von VPN.

 

[megakeule]

Die Freigabe des Netzwerks kannst du über die Einstellungen unterbinden. Es ist schon ein Sicherheitsunterschied, ob man einen xbeliebigen Dienst freigibt oder den Port eines, wie du schon sagst, gut gemachten VPN Dienstes (der natürlich auch Lücken haben kann). Mal ganz abgesehen davon dass der FritzVPN Dienst ja auch einen Port öffnet. Auch dort ist bei einem Einbruch potenziell das gesamte Netzwerk gefährdet.OpenVPN arbeitet übrigens mit ein einem Zertifikat (statt Username/PW).

Hier war aber die Frage:
Portfreigabe oder eingeschränkte Geschwindigkeit bei Fritzbox VPN Nutzung (die ja auch einen Port freigibt). Meine Antwort darauf ist: OpenVPN Nutzung (mit einer Portfreigabe) bei mindestens gleichwertiger Sicherheit zum FritzVPN.