Hyper Backup HyperBackup via VPN auf Remote NAS

[ChrisMo]

Moin zusammen.

Ich habe zwei Synology NAS und möchte Sonntag Nacht das Backup der NAS auf das jeweilige andere NAS schieben. Dazu kann ich natürlich einfach beide NAS über DDNS und mit entsprechender Portfreigabe in der Fritzbox grundsätzlich über das Internet erreichbar machen. Die DDNS kann ich dann als Ziel für das HyperBackup hinterlegen. Soweit so gut ...

Nun ist es aber natürlich so, dass ich dadurch die Diskstation anfällig für "Angriffe" mache solange diese über das Internet erreichbar sind. Daher war meine Überlegung eine temporäre VPN Verbindung herzustellen um die Backups zu machen. Sprich in der Nacht von Sonntag auf Montag für x Stunden VPN aufbauen und danach wieder abschalten.

Standort A	Standort B
DS720+ Fritzbox 7590 Synology Diskstation IPv6 Anschluss OHNE öffentliche IPv4	DS216j Fritzbox 7490 Synology Diskstation IPv6 Anschluss OHNE öffentliche IPv4

Folgende Möglichkeiten kenne ich:
- Die Fritzbox LAN-LAN-Kopplung fällt laut AVM leider raus, da hier mindestens ein Anschluss eine öffentliche IPv4 benötigt.
- VPN Server Paket von Synology
- ...
Was wäre aus eurer Sicht noch möglich oder was haltet ihr für die sinnvollste Variante?

Viele Grüße,
Christian

 

[plang.pl]

Was hast du denn für einen Internet-Anbieter?
Da kannst du einfach mal fragen, ob du eine öffentliche IPv4 bekommen kannst. In vielen Fällen ist das nicht teuer und mit viel Glück bekommst du sie sogar gratis.

Ansonsten habe ich leider im Bereich IPv6 nicht viel Ahnung. Aber es gibt hier im Foum zuhauf Threads zu dem Thema. Zum Thema Synology VPN-Server: Da musst du halt auf dem Router auch eine Portweiterleitung einrichten, was du ja eigentlich nicht willst. Zudem bin ich der Meinung, dass der VPN-Server auf der DS mit wichtigen Dateien nix verloren hat. Wenn du es trotzdem versuchen willst, würde ich die DDNS-Adresse in der DS einrichten, VPN-Server konfigurieren zudem du dich dann mit der 2. DS verbindest. Die Portfreigabe im Router würde ich auf einen hohen, nicht standardisierten Port setzen, wie zum Beispiel 55505.

 

[ChrisMo]

Ja ich könnte theoretisch eine IPv4 für 4€ mtl. bekommen, aber dies würde ich gerne vermeiden ... Vermutlich ist es eh eine Frage der Zeit bis AVM (dann mit WireGuard) die LAN-LAN-Kopplung auch mit IPv6 ermöglicht.

Zudem bin ich der Meinung, dass der VPN-Server auf der DS mit wichtigen Dateien nix verloren hat.

Ich gehe dann davon aus, dass du das auf einem separaten NAS/Server machen würdest, richtig?! Gäbe es denn noch eine andere Möglichkeit mit dem genannten Setup ein halbwegs sicheres Backup über das Internet zu machen?

Wäre z.B. auch eine zeitgesteuerte Freigabe von Ports oder DDNS möglich, sodass man nur ein kurzes Zeitfenster hat in dem das NAS über das Internet erreichbar ist?!

 

[plang.pl]

Wenn du Ports freigibst, dann nur im hohen fünstelligen Bereich. Zudem definitv sichere Passwörter verwenden und das Geo-Blocking der DS-Firewall nutzen. Außerdem noch den Kontoschutz in der Systemsteuerung konfigurieren. Keine Spielereien wie automatische Routerkonfiguration in der DS oder automatische Portfreigaben der FritzBox nutzen!
Die Integration von Wireguard in FritzOS hatte ich gerade nicht auf dem Schirm. Wenn es nur temporär ist, würde ich daher den VPN-Server auf der DS nutzen per Portfreigabe im Router. Hierzu meine oben genanneten Bedingungen beachten.
Alternativ kannst du dir einen kleinen Raspberry Pi hinstellen, auf dem ein VPN-Server läuft.

zeitgesteuerte Freigabe von Ports

Ich wüsste nicht, dass das einfach mit Bordmitteln der Fritz oder der DS möglich ist.

EDIT: Was du aber tatsächlich machen könntest, ist in der Systemsteuerung unter Aufgabenplaner den VPN-Server Dienst zeitgesteuert starten und stoppen.

 

[Stationary]

Integration von Wireguard in FritzOS hatte ich gerade nicht auf dem Schirm

Kommt vermutlich mit FritzOS 7.39/7.40. Ist noch im Test, eine öffentliche Laborversion gibt es leider noch nicht.

 

[ChrisMo]

Wenn du Ports freigibst, dann nur im hohen fünstelligen Bereich. Zudem definitv sichere Passwörter verwenden und das Geo-Blocking der DS-Firewall nutzen. Außerdem noch den Kontoschutz in der Systemsteuerung konfigurieren.

Wenn es nur temporär ist, würde ich daher den VPN-Server auf der DS nutzen per Portfreigabe im Router. Hierzu meine oben genanneten Bedingungen beachten.

EDIT: Was du aber tatsächlich machen könntest, ist in der Systemsteuerung unter Aufgabenplaner den VPN-Server Dienst zeitgesteuert starten und stoppen.

Ich werde dies nun mal über die Feiertage ausprobieren. Danke nochmal für die Hinweis mit dem Geo-Blocking - das hatte ich bisher nicht auf dem Schirm.

Was mir nun ja noch fehlen würde, wäre die zeitgesteuerte Verbindung mit dem VPN Server. Kann ich das auch über den Aufgabenplaner erledigen? Sprich: unter Netzwerk > Netzwerkschnittstelle ein VPN-Profil erstellen und diese Verbindung dann über ein Skript aufbauen und abbrechen?

 

[ChrisMo]

Wenn du Ports freigibst, dann nur im hohen fünstelligen Bereich.

Ach und hierzu noch eine Frage: Ist es grundsätzlich egal welchen Port man für was frei gibt, hauptsache man konfiguriert die Zugriff auch entsprechend? Oder sind nur gewisse Ports / Portnummern zulässig?

 

[nas-central.de]

Eine feste IP würde ich für diesen Anwendungsfall nicht nehmen, zumal feste IPs gerade im privaten Bereich auch gravierende Nachteile haben.

Ich würde auch nicht zu einem Setup raten, dass man nur temporär verwendet, weil man es ansonsten als unsicher einstuft.

Du kannst auf einem NAS einen OpenVPN Server einrichten und hiermit ein SSL VPN nutzen. Hierfür muss ein Port freigegeben werden. Hält man den OpenSSL Server aktuell ist das sicherheitstechnisch in Ordnung, es so zu machen. Es spricht auch nichts dagegen, hierfür DynDNS zu verwenden und in diesen speziellen Fall den Port dauerhaft offen zu lassen.

Härtet man das noch wie oben von plang.pl beschrieben (5-stelligen Port verwenden, sichere Passwörter, Kontoschutz, Geo-Blocking, Firewall), dann ist das eine gute Lösung. Wenn du es auf die Spitze treiben möchtest kannst du den OpenVPN Server noch zeitgesteuert an und ausschalten oder den Port blocken. Das ist aber schon gar nicht mehr nötig.

Es ist klar, dass es um so wichtiger ist, sobald irgendetwas freigegeben ist im Netz, Anwendungen und DSM aktuell zu halten.

Mit einem solchen Setup umgehst du auch das Problem, dass das Fritzbox VPN u.U. sehr langsam ist. Über das SSL-VPN bekommst du den vollen Datendurchsatz deiner Leitung.

 

[Stationary]

zumal feste IPs gerade im privaten Bereich auch gravierende Nachteile haben.

Und die wären?

 

[plang.pl]

diese Verbindung dann über ein Skript aufbauen und abbrechen?

Leider weiß ich nicht, wie das geht. Mit den richtigen Befehlen geht es bestimmt. Es gab auch vor einiger Zeit einen Thread hier zu dem Thema, aber da wurde (soweit ich mich erinnern kann,) keine Lösung gefunden.
Mir fällt dazu wie gesagt nur die zeitgesteuerte Abschaltung des VPN-Servers via Aufgabenplaner ein.

grundsätzlich egal welchen Port man für was frei gibt

Prinzipiell kannst du den Port frei bestimmen. Standardports zu öffnen, ist nicht zu empfehlen. Der höchste Port ist 65535. Ich verwende, falls ich etwas freigebe, Ports zwischen 50000 und 55000.
Intern kann dieser Port anders sein. Beispiel: Auf der DS ist der Port 6281 für Hyper Backup geöffnet. Der Router kann dann mit der richtigen Weiterleitungsregel externen eingehenden Datenverkehr von Port 50005 intern auf Port 6281 der DS routen.

 

[nas-central.de]

Und die wären?

• Wenn ein Angreifer über einen Portscan was gefunden hat, was er angreifen möchte, hat er viel Zeit dafür, die IP ändert sich ja nicht
• man gibt ganz viel Anonymität her und ist viel leichter zu tracken
• es kostet meist extra
• man kann den Provider nicht mehr ohne weiteres wechseln
• usw.

Leider weiß ich nicht, wie das geht. Mit den richtigen Befehlen geht es bestimmt.

Das geht mit dem Befehl

/usr/syno/bin/synovpnc

Wir haben solche Skripte bei Kunden laufen, um Tunnel auf Basis von Rahmenbedingungen zu überwachen und zu starten. Es ist nicht ganz trivial, da man es auf die jeweilige Konfiguration anpassen muss und ein paar Checks und ein Error Handling drum herum braucht, wenn man es richtig machen möchte.

Ports kleiner 1024 sind privilegierte Ports, die nur von root geöffnet werden dürfen. Hier lauf in der Regel die für einen Angriff interessanten Dienste. Hinzu kommt, dass das eine relativ kleine Port Range ist, die leicht zu scannen ist. Deswegen empfiehlt es sich wenn möglich Dienste oberhalb im Bereich 1024-65535 zu "verstecken". Hier sind sie schwerer zu finden und diese Bereiche werden auch nicht so oft gescannt.

 

[ChrisMo]

Vielen Dank für eure Antworten.

@nas-central.de
Ich versuche nun gerade erstmal über die IPv6 die Verbindung herzustellen. Dazu habe ich auf NAS A den OpenVPN Server aktiviert, UDP Port eingegeben und in der Fritzbox freigegeben.
Für NAS B habe ich dann die Konfigurationsdatei *.opvn von NAS A heruntergeladen und die IPv6 des NAS A eingetragen. Dann über Netzwerk > Netzwerkschnittstelle mit der *.opvn Datei ein neues VPN Profil erstellt und meinen User eingetragen.

Soweit so gut. Nun klicke ich auf "Verbinden" und der rödelt bis er letztlich sagt: "Netzwerkverbindung konnte nicht hergestellt werden". Ich sehe kurzzeitig aber auf dem OpenVPN, dass sich ein Client versucht zu verbinden?

Hat jemand einen Tip? Braucht ihr mehr Infos?

 

[ChrisMo]

Ok. Aus irgendeinem Grund hat es heute mit den selben Einstellungen + IPv6 funktioniert.

Nun meine (vermutlich) vorerst letzte Frage zu diesem Thema:
Auf NAS A ist nun der OpenVPN Server. Ich sehe im Paket OpenVPN die IP des clients (NAS B). Somit konnte ich bereits mein Backup von NAS A -> NAS B machen. Wie bekomme ich nun aber die VPN IP von NAS A heraus? Muss ich NAS A auch nochmal mit dem VPN Server verbinden, wenn ja, wie? Dort gibt mir Synology immer die folgende Fehlermeldung

 

[theexciter]

Ich würde das ganze einfach ohne VPN und mit einem Random-Port + separaten User und starkem Passwort nur für das Backup nehmen...
Selbst wenn der DDNS + PortScan erfolgreich war, benötigt der potientielle Angreifer noch Usernamen und Passwort - wie realistisch ist das?
Vor allem läuft auf dem Port ja nur HyperBackup Vault und nix anderes...

 

[ChrisMo]

Zur Auflösung meiner letzten Frage bzgl. des Zugriffs auf das NAS auf dem der VPN Server läuft. Hier gibt es eine Einstellung "Clients der Server-LAN-Zugriff erlauben". Sobald diese angehakt ist geht es auch anders herum

Soweit läuft alles nun bei mir mit GeoBlocking und dauerhafter VPN Verbindung. An ein Skript zum an- und abschalten des VPN Servers habe ich mich jetzt noch nicht ran getraut.

Danke für die Unterstützung

 

[plang.pl]

Den VPN Server starten und stoppen kannst du einfach in der Aufgabenplanung einstellen. Dafür brauchts kein Script.

 

[Dirk71]

Den VPN Server starten und stoppen kannst du einfach in der Aufgabenplanung einstellen. Dafür brauchts kein Script.

Ich bin auch gerade dabei, mein lokales NAS auf einem Remote-NAS mit HyperBackup zu sichern und habe ähnliches vor. Jedoch möchte ich nicht den VPN-Server des Remote-NAS zeitgesteuert starten und stoppen, sondern den VPN-Tunnel im lokalen NAS über ein zeitgesteuertes Script an- und ausschalten (bzw. verbinden und trennen). D.h. wenn das Backup zum Remote-NAS läuft soll de VPN-Verbindung bestehen und nach dem Backup wieder getrennt werden. Das ist vermutlich eine größere Sache? Wenn eine dauerhaft bestehende VPN-Verbindung jedoch keine Nachteile hat, könnte ich darauf auch verzichten.

 

[plang.pl]

Schau dir das mal an

 

[Dirk71]

Krass, funktioniert sogar. Das ist ja mal eine Anleitung, die selbst für Neulinge wie mich zu verstehen ist! Danke für den Tipp!

 

[Dirk71]

Ich befinde mich jetzt gerade im Heimnetz des Remote-NAS und habe mich dann auf meinem lokalen Heim-NAS eingeloggt. Kurz nach der Aktivierung des VPN-Tunnels kann ich mich auf meinem Heim-NAS nicht mehr einloggen - es wird mir als Offline angezeigt. Ist es so, dass ein NAS mit einer bestehenden VPN-Verbindung von außen nicht mehr erreichbar ist?

EDIT: Scheint so zu sein....nachdem ich den VPN-Server auf dem Remote-NAS deaktiviert habe, kann ich mich auf dem Heim-NAS wieder einloggen.
Über Quick-Connect hätte ich zwar - auch bei bestehender VPN-Verbindung - Zugriff auf das Heim-NAS, jedoch möchte ich QuickConnect nicht nutzen. Gäbe es noch eine andere Möglichkeit?