Beurteilung Datensicherung: Push oder Pull auf externen Backup-Standort?

[DS111-User]

Welche Variante würdet Ihr in dieser Ausgangslage für eine Synology-Datensicherung auf einen externen Standort empfehlen?
Was seht Ihr als Vor- und Nachteile?
Seht Ihr bei diesen Varianten einen wesentlichen Unterschied in der Dauer/Laufzeit der Sicherungen?

Aktuell besteht eine Synology mit zentraler Datenhaltung und aktiviertem VPN-Server.
Dieser Server wird von 2 Mitarbeitern auch von extern auf mobilen Notebooks mit VPN benutzt (Ports auf Router sind dafür offen, Zugriff funktioniert).

Nun sollen diese zentral gespeicherten Daten zusätzlich auf eine zweite Synology am privaten Standort des Firmeninhabers gesichert werden.

Variante A "Push":
HyperBackup auf bestehendem, zentralen Synology-Daten-VPN-Server installieren
"HyperBackup Vault" auf zweiter Synology an externem, privaten Standort installieren
Neuen Port 6281 auf externem, privaten Router für "HyperBackup Vault" öffnen
Verbindung via SynologyDDNS-IP in HyperBackup verwenden
Daten (verschlüsselt?) via Internet ins externe Ziel sichern

Variante B "Pull":
HyperBackup auf zweiter Synology an externem, privaten Standort installieren
"HyperBackup Vault" auf bestehendem, zentralen Synology-Daten-VPN-Server installieren
(Ständige) VPN Verbindung zwischen beiden Synology erstellen
Daten (unverschlüsselt?) quasi "intern" via VPN von zentralem Synology-Daten-Server holen/sichern

 

[ottosykora]

Hyperbackup ist eigentlich dafür gedacht um Daten von der eigenen DS auf etwas anderes zu sichern.

Das mit dem pull ist gute Idee, aber eigentlich sehe ich nicht wie hier genau Hyperbackup was leisten soll und wozu dann noch HB Vault auf dem Server installieren

 

[plang.pl]

Synology-Daten-VPN-Server

Ist eigentlich schon mal schlecht. Auf den File Server gehört kein VPN-Server.

Und wie schon geschrieben wurde, kann Hyper Backup leider kein pull. Das geht nur mit Active Backup und das wiederum läuft nur auf +-Modellen.

Über VPN kannst du theoretisch auch unverschlüsselt sichern, denn VPN an sich ist ja schon ein verschlüsselter Kanal.

 

[DS111-User]

Ist eigentlich schon mal schlecht. Auf den File Server gehört kein VPN-Server.

Das ist jetzt schon so konfiguriert, funktioniert in der Grössenordnung stabil und bringt das gewünschte Ergebnis.

Über VPN kannst du theoretisch auch unverschlüsselt sichern, denn VPN an sich ist ja schon ein verschlüsselter Kanal.

Du schlägst also vor, HyperBackup auf den bestehenden File Server zu installieren und auf die - via VPN ständige verbundene, externe - Synology unverschlüsselt zu sichern?

 

[plang.pl]

Ich persönlich sichere auch über VPN verschlüsselt, müssen tut man das aber nicht, aus genanntem Grund.
Aber ich persönlich würde sicherheitstechnisch gesehen, nicht auf einem File-Server einen VPN-Eingangspunkt bereitstellen.

Kann denn die DS, die das Backup annehmen/speichern soll, Active Backup ausführen? Dann wäre das wohl die bessere Lösung (wegen Pull)

 

[DS111-User]

Aber ich persönlich würde sicherheitstechnisch gesehen, nicht auf einem File-Server einen VPN-Eingangspunkt bereitstellen.

Das würde ich bei einer Neukonfiguration/Neuinstallation auch nicht. Da VPN aber schon produktiv so läuft steht es aktuell nicht auf der ToDo-Liste.

Die neue DS ist eine DS720+. Wo kann ich prüfen, ob die fähig ist Active Backup auszuführen?
Nachtrag:
Ich glaub, die DS720+ kann das: https://www.synology.com/de-de/support/download/DS720+?version=7.1#packages

 

[ottosykora]

ja, die kann das, keine Problem

 

[DS111-User]

Verstehe ich das richtig:
a) Auf den bestehenden Synology-File-Server installiert man Active Backup for Business Agent (DSM)
b) Auf die neue DS720+ am externen Standort installiert man "Active Backup for Business"
c) Die neue externe DS720+ verbindet man via VPN mit dem bestehenden File Server (QuickConnect reicht dafür anscheinend nicht)
d) Steht die VPN-Verbindung, kann man auf dem bestehenden File-Server im "Active Backup for Business Agent (DSM)" das neue externe Datensicherungsziel eintragen und verbinden

Gibt es da keine (Timeout-) Probleme, wenn die VPN-Verbindung ständig "offen" ist?

Da die VPN-Verbindung der Einfachheit halber von der externen Synology initiiert wird, dürfte es schwierig werden, diese "zeitgesteuert" ein- und auszuschalten. Welche andere Möglichkeiten gibt es, diese "sichere" Verbindung nur für die Zeit der Datensicherung aufzubauen?

 

[EDvonSchleck]

Meinst du nicht für ein Unternehmen sollte man, das ordentlich aufstellen lassen?
Was im privaten noch vertretbar ist, ist im gewerblichen Bereich nicht vertretbar. Es handelt sich bestimmt um wichtige Datensätze, wofür der Unternehmer haftet.

Ich halte es für bedenklich, wenn hier versucht wird etwas Kostengünstiges zu basteln ohne den nötigen Background.

 

[DS111-User]

Meinst du nicht für ein Unternehmen sollte man, das ordentlich aufstellen lassen?

@EDvonSchleck - Wir reden von einer 2½-Mann/Frau-Firma ohne eigene IT-Abteilung.
Was ordentlich und vertretbar ist und was nicht, diskutieren wir hier doch aktuell, meinst Du nicht?

Deine Bedenken habe ich zur Kenntnis genommen. Konkrete Vorschläge sind nach wie vor willkommen.

 

[plang.pl]

Hier gibt es eine Anleitung, um ein VPN der Synology zeitgesteuert auf- und abzubauen.

Auf den bestehenden Synology-File-Server installiert man Active Backup for Business Agent (DSM)

Den brauchst du nur, wenn du ein Bare-Metal Backup vom Server ziehen willst. Wenn du nur die Dateien sichern willst, kann Active Backup auch per SMB die Daten vom Quellserver ziehen.

 

[servilianus]

Vorsicht vor Active Backup for Business - bzw. man sollte nach der ersten Datensicherung damit unbedingt einen Test durchführen, ob die gebackupden Daten tatsächlich wieder korrekt eingespielt werden können (sollte man im geschäftlichen Umfeld ohnehin immer wieder regelmässig testen).
Denn: Ich habe mit Active Backup for Business unlängst mal eine Datenbank unseres Patientenverwaltungsprogrammes gesichert und wieder zurückgespielt. Ergebnis: Klappte nicht, Active Backup for Business hat die Datenbank zerstört bzw. war sie nicht mehr einspielbar. Mit Hyperbackup war das jedoch kein Problem.

Zum Thema Pull: Dies ist m.E. die bessere Variante als die Push-Version, weil die ziehende Synology nicht von Verschlüsselungstrojanern korrumpiert werden können, falls sich diese schon auf der Quell-Synology befinden.
Ich habe die Pull-Sicherung lange mit Ultimate Backup gemacht, was jedoch unter DSM 7 leider nicht mehr läuft.

HyperBackup: Geht soweit ich weiss mit QuickConnect nicht. Also entweder normal über https und mit Verschlüsselung sichern oder eben über bestehende VPN-Verbindung / LAN-LAN-Kopplung. Was ich so mit mehreren Synologys an verschiedenen Standorten völlig unauffällig praktiziere, wobei die VPN-Verbindungen an den Routern terminiert sind, nicht via Synologys. Da der VPN-Tunnel aus Sicherheitsgründen nicht irgendwo im Netzwerk (= auf Synologys) enden sollte, schon gar nicht auf einem File-Server, sondern stets auf dem Router als Einstiegspunkt ins Netzwerk.
Die VPN-Verbindungen via Router sind ständig "offen", es gibt keinen Timeout.