CloudSync Entferntes Backup oder Sync. auf 2. entfernter Synology, schützen vor entferntem admin

[datenfummler]

Liebe Forumprofis, ich bin neu hier und habe mich bemüht ausserhalb des Forums und innerhalb, zu meiner Frage schlau zu machen. Bisher ohne Erfolg.

Ihr könnt mich gerne zu einer Lösung weiterleiten, die ich nicht gefunden habe.

Situation: Ich betreibe meine DS713+, DSM 6.2.3 schon einige Jahre. Ich bin von cloud station auf Drive umgestiegen (lokal), alles ok, alles funktioniert.
Ich möchte meine Daten nun zusätzlich auf einer entfernten (von einem anderen admin gemanagten) Synology absichern und dabei (keine Daten Flatrate) möglichst wenig Daten verbrauchen. Sync oder Backup ist mir erstmal egal, ich wüßte nur gerne was die Anforderungen optimal erfüllt. Die gesamte Datenmenge in der wenige Änderungen/tag erfolgen, ist ca. 2TB. Auf der Gegenseite ist ausreichend Speicher vorhanden.
Dazu sollen meine Daten im entfernten Rechner nicht auslesbar/im Detail öffenbar sein.
Wie mache ich das langfristig? Danke für Eure Hilfe, ich denke, ich bin nicht der Erste, der das lösen möchte.
matthias

 

[Mahoessen]

Hi, zum 2. Punkt steht viel in der Hilfe:
hyperbackup/ Datensicherung / clientseitige verschlüsselung
einfach mal lesen...

 

[datenfummler]

Vielen Dank Mahoessen,
mit der Veschlüsselung habe ich grundsätzlich kein Problem. Meine Fragen sind verknüpft. Das was ich noch nicht verstanden habe und wozu ich auch keine Antwort finde.

Mein Fehler.
Hier der nene Versuch,das zu bündeln:

Wenn ich meine Daten auf einer 2., entfernten synology backuppen möchte, welches ist das bevorzugte Sicherungsformat, damit: es 1. dort verschlüsselt oder passwortgechützt ist und 2. gleichzeitig im täglichen nächtlichen, oder laufenden backup/syncvorgang möglichst wenig Datenverkehr benötigt. Möglichst wenig ist sowas wie 100MB pro Tag, wenn meistens nur 5-10MB geändert/hinzugefügt werden.

Wenn ich nachts sehe, wie lange die backups die internen Platten laufen lassen, dann kann ich mir nicht vorstellen, daß das online ohne flatrate nach aussen sinnvoll funktionieren wird.

Ich hoffe, es wird jetzt sichtbarer was ich verstehen möchte und bisher nicht fand.

danke und Grüße
Matthias

 

[Mahoessen]

Hi, das nas zur Erstbefüllung in dein Netz, versioniertes, datenbankbasierendes , verschlüsseltes, pwgeschütztes Vollbackup, danach Nas zum entfernten Standort und im lokalen die zieladresse ändern...
Übeträgt dann nur die Änderungen... idealerweise im Ziel das Nas mittel Energieplan von zb 05:00 bis 9:00 einschalten, sollte für die Änderungen reichen. ist dann zumindest für den restlichen Zeitraum offline (Sicherungskonzept)

ich würde am 2. Standort eine ds116 o.ä. hinstellen. mir wird mulmig, wenn ein entfernter Admin vollzugriff auf die Daten hat, egal ob verschlüsselt oder nicht. Änderungen in sein System haben evtl. Auswirkungen auf deins....(freigaben, portweiterleitungen, firewall usw.)

 

[Wollfuchs]

eigentlich war die Frage schon vollstaendig und korrekt beantwortet .. ich droesel das mal kurz noch auf .. vielleicht verstehst Du es dann besser.

Mit HyperBackup kannst Du von Deiner auf eine entfernte NAS eine inkrementelle (nur geaenderte Daten) in eine verschluesselte (nur Du kannst es lesen) Backup Versionierung laufen lassen. Das Ding heisst dann zB. NASxy-Backup,hbk.

• inkrementell > nur geaenderte Daten
• verschluesselt > nur Du kennst den Key
• versioniert > brauchst Du eine xx Tage, Wochen, Monate alte Version, zieh sie auf dem Versionsverlauf.

Dazu rennt auf Deiner DS HyperBackup und auf der entfernten DS HyperBackup Vault.

Aber ... das ist Push Backup. Sicherer ist nach allgemeiner Aufassung ein Pull Backup, bei dem von der Ziel DS die Sicherung angefordert wird. Hierbei hast Du aber eventuell nicht vollstaendige Kontrolle ueber die Daten, da der Admin der gegenseite die Skripte verwaltet...

Ich mach derzeit push und gut ..

 

[datenfummler]

Danke Mahoessen und Wollfuchs.

Für eine Erstbefüllung würde ich zum zweiten Standort fahren und das überspielen.

Ich versuche nun die Tipps zu verstehen und probiere das/die Optionen aus mit eine unbenutzten Platte auf meiner Erweiterungseinheit. Dann weiß ich hoffentlich mehr und habe die Kombination gefunden, die ich suche.

ich mache jetzt also erstmal eine hyper backup, inkriminelle, passwortgeschützte Variante. Hoffentlch finde ich das alles bei der Konfiguration.
ist das eine richtige Methode, es lokal zu testen? Was muß ich ggf. berücksichtigen, damit es für später/entfernt aussagekräftig ist?
thx
matthias

Dann komme ich ggf. wieder mit Fragen zurück auf Euch.

 

[Wollfuchs]

du nimmst ja hoffentlich die DS mit zum zweiten standort.
die erstbetankung mit dem backup kannst du dann vor ort machen, das inkrementelle von weit weg.

ueberleg und teste vorher auch ob die beiden kisten sich sehen .. also die verbindung klappt.
ist ja nicht so, als wenn die mit magischen zauberfuehlern uebers netz eine exotische symbiose
eingehen nur durch die kraft der liebe ..

und lokal testen ist halt sinnvoller mit einer externen platte.

usb platte dran -> lokaler ordner und usb backup (fuer den ernstfall ist die option dann remote nas geraet) ->
zielverzeichnis waehlen (usb platte) > quelle waehlen (irgendwas auf dem nas) -> bisschen konfig anpassen
und verschluesselung nicht vergessen -> sichern -> 1 gb oder so .. zeit messen

dann irgendwas im quellordner dazu packen .. nochmal sichern > staunen dass es voll schnell geht inkrementell.

 

[datenfummler]

Danke Wollfuchs,

ich initialisiere derzeit eine 3tb platte in der Erweiterungseinheit (warten warten warten...) und wollte dort mein testbackup mit dem inkreminell, passwortschutz, etc, wenn ich es alles finde, machen. Also ich will das dort machen, um das alles zu finden, hoffentlich.

ist das nicht entfernt genug mit der Platte im syn-extention? muß ich usb platte benutzen? würde mir schwerer fallen... Was wäre der Unterschied?

Der Hinweis mit dem gegenseitigen Sehen über Entfernung ist natürlich wichtig, so weit bin ich aber noch nicht. Da beide Synos jedoch syn-accounts haben, sehe ich erstmal kein Problem darin für die Zukunft.
habe jetzt erstmal hyper backup fault bei mir installiert, um den gleichen Service andersrum anbieten zu können und warte noch auf mein TestVolume.


irgendwelche hinweise noch? erstmal?

danke danke danke, matthias

 

[datenfummler]

Hello again,
ich komme nicht wirklich weiter. Ich komme mit der Verschlüsselung oder Schlüsselmanagement nicht klar. Bzw. weiß ich nicht, was genau meine Lösung ist.

Versuch eins gemacht: neues internes volume angelegt auf der Erweiterungseinheit, einen gemeinsamen Ordner angelegt, ihn mit Schlüssel gesichert und den auf USBStick "gesichert", dann Backup gefahren. allos ok so weit. Dann Neustart ohne USB/Schlüssel stick gefahren und ich kann mit dem Sicherungsexplorer trotzdem alle Daten auslesen. Das sollte ja eigentlich nicht gehen. Warum ist das so? ist das überhaupt der richtige Test?

Versuch 2: USB Festplatte für Sicherung angehängt, auch hier kann ich alles auslesen, was der andere admin ja nicht können soll.

Ich habe noch viel idomix geschaut und weiß nicht wirklich weiter.

Wie verberge ich meine Sicherung (offene Daten" vor dem entfernten admin? Und wie läuft dabei trotzdem nächtlich eine Sicherung automatisch?

Wo fehlt mir der Link im Kopf?

vielen Dank für Eure Gedanken.
Matthias

 

[Wollfuchs]

der sicherungstyp lokale und USB, nicht der mit der einzelversion, bietet in einem der fenster, die man bei der einrichtung sieht, den punkt "verschluesselung".
damit wird der zielordner *.hbk verschluesselt.

was nichts bringt (wie du gerade merkst), ist es den gemeinsamen ordner zu verschluesseln. kann man machen, ist aber nicht der gewuenschte erfolg.

was du suchst, ist die clientseitige verschluesselung des backups selber.

 

[blurrrr]

...mit magischen zauberfuehlern uebers netz eine exotische symbiose eingehen nur durch die kraft der liebe...

Ich hab es doch schon immer gewusst! ?

was du suchst, ist die clientseitige verschluesselung des backups selber.

Genau das ist es. Hilft zwar nicht dabei, den Zugriff auf das Backup als solches beim Remote-System vom Remote-Administrator zu unterbinden, hilft aber ganz sicherlich dabei, dass man nicht einfach so hinein schauen kann. Das ist aber grundsätzlich mit allen Systemen so, denn "irgendwer" hat "immer" Zugriff darauf. Würde jemand bei Dir eine (Client-seitig) verschlüsselte Sicherung ablegen, könntest Du diese als Administrator Deines Systems natürlich auch sehen (aber eben nicht hinein schauen).

 

[datenfummler]

So Freunde, vielen Dank!
Jetzt habe ich noch weiteren Test daraufhin gemacht. Das funktioniert mit dem Passwort zur USB Platte.

Wenn ich einmal den Schlüssel oder Passwort anwende, kann ich wieder Details und Dateien sehen VOM HYPER BACKUP AUS:

Wenn ich allerdings über die file station das laufwerk öffnen will, klappt das auch ohne Passwort/Schlüssel bis auf die Dateiebene!

Ist das ok, weil ich es ja von hier mache, oder könnte der entfernte admin über seine filestation auch bis zur dateiebene ohne Passwort/Schlüssel öffnen?

Vielen Dank, wenn Ihr die Fragen noch durchgeht. Ich hoffe, ich konnte mich verständlich machen. Denn entweder habe ich genug gelernt, oder es fehlt noch das richtige Konzept.

danke vielmals, wenn ich nicht schon Tage wiederholt versucht hätte zu lesen, würde ich nicht so fragen.
yours Matthias

 

[datenfummler]

Liebe Fachleute,

danke für Eure Hinweise vor Tagen. Für mich ist das vorerst gelöst.
Ich habe nun ein gutes Gefühl mit der Variante Passwortvergabe/Schlüsselgeneration. Wenn man da das Wenige, was zu tun ist , richtig macht, ist es tatsächlich geschützt auf dem externen/entfernten Medium. Die Daten sind zwar noch löschbar vom anderen Admin, aber damit kann ich leben. sie sind wenigstens nicht einsehbar.

danke und beste Grüße
Matthias