Hyper Backup Authentifizierung bei Hyper Backup Destination klappt nicht

[nastrov]

Hallo Forum!

Ich habe 2 NAS (beides DS224+ mit DSM 7.2.1-69057 Update 1) eines lokal, eines remote bei einem Kunden.

Mein Plan: ein regelmäßiges Backup des Kunden-NAS auf mein eigenes NAS mittels Hyper Backup + Tailscale machen.

Anhand dieses Videos habe ich alles eingerichtet, inkl. port forwarding (5000, 5001 und 6281) beim Kunden-Router.

Sobald ich am Kunden-NAS die Authentifizierung des destination NAS (meines) starte, öffnet sich ein Popup-Fenster wo ich Name+Passwort eingebe, bestätige, das Popup sich schließt und nichts mehr passiert. Das ist dieser Schritt im erwähnten Video. Den eingeloggten User neben dem "Log In"-Button bekomme ich nicht, kann daher auch keinen Shared Folder auswählen, etc.

Am destination NAS habe ich mittels SSH in /var/log/messages folgende Fehlermeldungen entdeckt:
abnormal_login.cpp:112 Failed to get the info whose ip address is [xxx.xxx.xxx.xxx]
KnownDevice.cpp:287 Get user=xxxxxx pkey=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx failed.

xxx.xxx.xxx.xxx = die Tailscale IP meines PCs

Diese Fehlermeldung erscheint immer, wenn ich die erfolglose Authentifizierung versuche.

Ich wäre froh über jede Hilfe. Habe mit Synology & Co. noch wenig Erfahrung.

Vielen Dank im voraus!

 

[plang.pl]

Mal abseits vom eigentlichen Problem: Wenn du doch Tailscale nutzt, wieso dann die Portforwardungs?
Und ganz nebenbei: Ein Port 5000 und 5001 gehört nicht offen ins Netz. Es sei denn, du hast eine statische IP und lässt nur die durch die Firewall.

Vielleicht steht noch was im HB-Log: /var/log/synolog/synobackup.log und /var/log/synolog/synobackup_server.log

Hast du mal nen anderen Browser versucht?

Welche Hyper Backup Version? Du könntest auch mal manuell die DSM auf die neueste Version heben.

Und natürlich ein herzlich Willkommen im Forum von meiner Seite!

 

[maxblank]

Hallo @nastrov und herzlich Willkommen im Forum,
Vor allem Port 5000 mit http und unverschlüsselt. Warum machst du sowas bei einem Kunden?
Nimm das umgehend bitte wieder raus, 5001 am besten auch.

Wenn das erreichbar sein muss, dann VPN oder zumindest Reverse Proxy.

Grüße
maxblank

 

[nastrov]

Hallo plang.pl,

tja, der Browserwechsel hat's gebracht
Jetzt funzt's. Manchmal kommt auf die einfachsten Dinge selbst nicht drauf...

Das port forwarding hab ich eingestellt, um dieses Hindernis mal auszuschließen. Einige Foreneinträge meinten, das wäre nötig. Hab mich aber auch gewundert, dass man mit Tailscale zusätzlich ein p.f. brauchen würde.

Vielen Dank für die Hilfe!

 

[plang.pl]

Für die initiale Hyper Backup Anmeldung ist der Port 5001 vonnöten. Nach dem ersten Anmelden aber nicht mehr. Und über VPN / Tailscale schon mal sowieso gar nicht. Also mach die Weiterleitungen wieder raus.

Dass dieses Prozedere mit manchen Browsern Probleme macht, hatten wir hier schon öfter.
LG

 

[nastrov]

@maxblank
Die ports dreh ich wieder ab, wenn sie nicht nötig sind. Wie bereits beschrieben: war nur testweise.

 

[maxblank]

Bitte auch die beiden Verschlüsselungs-Optionen, die im Video nicht aktiviert wurden, in einer Produktiv-Umgebung bei Hyper Backup aktivieren.

 

[nastrov]

Bitte auch die beiden Verschlüsselungs-Optionen, die im Video nicht aktiviert wurden, in einer Produktiv-Umgebung bei Hyper Backup aktivieren.

Laut Tailscale sind deren Verbindungen verschlüsselt. Doppelt hält besser, aber ist die Hyper Backup Verschlüsselung dann nötig? Bin neu bei dem Thema, deswegen die Frage.

 

[maxblank]

Clientseitig auf jeden Fall. Du willst sicherlich, wenn das Backup-NAS geklaut wird, dass da niemand außer dir dran kommt. Ich würde auch den Transportweg verschlüsseln. Also ja, beide Optionen aktivieren.
Vor allem, da es ja ein Kunde von dir ist, also Geschäftsdaten…

 

[nastrov]

Alles klar, danke!