Hyper Backup Backup auf remote NAS

[Clemens Suter]

Guten Tag,

Ich habe folgendes Problem, dass ich gerne ein Backup (Hyper Backup) von einem Synology DS220+ auf ein DS216j machen würde. Solange sich die beiden Geräte im gleichen Netzwerk befinden, geht dies ohne Probleme. Falls das Backup-NAS aber in einem fremden Netzwerk ist, kommt die Verbindung nicht mehr zustande. Portweiterleitung (Port 6287) ist gemacht. Als Adresse fürs Remote-NAS verwende ich eine DDNS (xxx.synology.me). Firewall auf Router ausgeschaltet macht keinen Unterschied. Beide NAS können problemlos via QuickConnect erreicht werden. Die direkte Verbindung für das Schreiben des Backups geht nicht. Als Router, wo das Ziel-NAS steht, ist ein Router von Salt (Schweiz), die Salt Fiber Box (erste Version, welche weiss ist).

Dieses Thema wurde bereits oft auf anderen Foren oder Beiträgen diskutiert, die Lösungsvorschläge führen aber alle nicht wirklich zum Ziel bzw. übersteigen z.T. meine Kompetenzen. Meine konkreten Fragen wären nun:
- braucht es eine statische öffentliche IP, oder sollte der Approach mit der DDNS reichen. öffentliche IP ist nicht ohne Weiteres aktivierbar, da kostenpflichtig
- Falls öffentliche IP nötig, gibt es auch andere Wege (z.B. via VPN o.ä). Der Ansatz, dass das Backup lokal auf dem Ursprungs-NAS geschrieben wird und dann via Datentransfer aufs Ziel-NAS kopiert wird, wird as "unsicher" angesehen und ist wohl deswegen keine gute Lösung.
- Welches "Tool" eignet sich am besten, um herauszufinden, wo die Verbindungsaufbauversuche hängen blieben, z.B "Ping" o.ä., um herauszufinden, wo die Verbidnung geblockt wird (wohl Zielrouter) oder Portforwarding auf Zielrouter zu testen etc..

Gruss Clemens

 

[plang.pl]

Willkommen im Forum / Glückwunsch zum ersten Beitrag!

Firewall auf Router ausgeschaltet

Die Firewall auf einem Router kann man nicht ausmachen. Hat auch was mit NAT bei IPv4 zu tun.

braucht es eine statische öffentliche IP

Nein, deswegen ja der DDNS. Was du aber brauchst: Überhaupt mal eine öffentliche IP. Fangen wir bei IPv4 an. Geh mal auf wieistmeineip.de und vergleiche die IP, die angezeigt wird, mit der IP, die dein Router nach extern anzeigt.

 

[vagzubi]

Bei Salt Fiber gab es früher mal eine öffentliche IPv4. Die neueren Abo haben keine öffentliche IPv4 mehr, die muss für 10.- im Monat dazu gebucht werden. Ohne öffentliche IPv4 kann die Adresse nicht von aussen erreicht werden via IPv4.
Nachfolger von IPv4 ist IPv6 und die wird dir von Salt bereitgestellt. Via IPv6 ist die Adresse von aussen erreichbar, dies muss aber auf beiden Seiten deiner Verbindung unterstützt werden.

Um zu Testen ob die Ports offen sind gibt es diverse Websiten, die das für dich machen können. Dazu musst du die Portweiterleitung einrichten, am besten so wie du es möchtest. Im Anschluss kannst du testen ob ein Port offen ist.

Quickconnect geht je nach Einstellungen, z.B. über einen Relay-Server von Synology. D.h. beide Geräte verbinden zu Synology und dort wird die Verbindung hergestellt. Hyperbackup unterstützt dies aber nicht, um das ähnlich zu realisieren müsstest du z.B. via eines externe VPN gehen.

Für die Lösung mit VPN (direkt in das eigene Netzwerk) brauchst du mindestens auf der Quell oder Zielseite eine öffentlich IPv4 für eine direkte Verbindung, oder eine externe Stelle wo beide Standorte hin verbinden können. Mit IPv6 wäre das ebenfalls möglich, aber dann kannst du auch direkt verbinden.

Gruss

 

[Clemens Suter]

Willkommen im Forum / Glückwunsch zum ersten Beitrag!

Die Firewall auf einem Router kann man nicht ausmachen. Hat auch was mit NAT bei IPv4 zu tun.

Nein, deswegen ja der DDNS. Was du aber brauchst: Überhaupt mal eine öffentliche IP. Fangen wir bei IPv4 an. Geh mal auf wieistmeineip.de und vergleiche die IP, die angezeigt wird, mit der IP, die dein Router nach extern anzeigt.

habe ich getestet:
- wieistmeineip.de liefert mir: etwas mit 213.xxx.xxx.xxx, während
- auf Router : etwas mit 10.xxx.xxx.xxx,
angezeigt wird.

Warum sind das zwei verschiedene IPv4 Adressen?

 

[plang.pl]

Weil du in dem Fall keine öffentliche IPv4 Adresse hast.
Der Provider hat sozusagen einen Router vor deinen Router geschaltet.
Du hast jetzt 2 Optionen:
-den Provider bitten, dir eine öffentliche IPv4 zu schalten
-alles via IPv6 laufen lassen

Technisch gesehen, surfst du nach draußen mit der IP des Providers, also der 213.x. Wenn du auf die aber von extern zugreifst, bleibst du am Router des Providers hängen, da der die Anfrage logischerweise nicht zu deinem Router durchstellt, da diese IP ja von mehreren Leuten genutzt wird. Die 10.x ist nämlich eine IP aus dem privaten IP-Adressbereich

 

[Clemens Suter]

Bei Salt Fiber gab es früher mal eine öffentliche IPv4. Die neueren Abo haben keine öffentliche IPv4 mehr, die muss für 10.- im Monat dazu gebucht werden. Ohne öffentliche IPv4 kann die Adresse nicht von aussen erreicht werden via IPv4.
Nachfolger von IPv4 ist IPv6 und die wird dir von Salt bereitgestellt. Via IPv6 ist die Adresse von aussen erreichbar, dies muss aber auf beiden Seiten deiner Verbindung unterstützt werden.

Um zu Testen ob die Ports offen sind gibt es diverse Websiten, die das für dich machen können. Dazu musst du die Portweiterleitung einrichten, am besten so wie du es möchtest. Im Anschluss kannst du testen ob ein Port offen ist.

Quickconnect geht je nach Einstellungen, z.B. über einen Relay-Server von Synology. D.h. beide Geräte verbinden zu Synology und dort wird die Verbindung hergestellt. Hyperbackup unterstützt dies aber nicht, um das ähnlich zu realisieren müsstest du z.B. via eines externe VPN gehen.

Für die Lösung mit VPN (direkt in das eigene Netzwerk) brauchst du mindestens auf der Quell oder Zielseite eine öffentlich IPv4 für eine direkte Verbindung, oder eine externe Stelle wo beide Standorte hin verbinden können. Mit IPv6 wäre das ebenfalls möglich, aber dann kannst du auch direkt verbinden.

Gruss

Ich habe jetzt mal mit https://www.yougetsignal.com/tools/open-ports/ gestestet, ob der Port offen ist:
- für die current IP (213.xxx.xxx.xxx) ist der Port 6281 geschlossen
- für die DDNS (xxx.synology.me) ist der Port 6281 auch geschlossen,
obwohl ich in den Router-Einstellungen den Port 6281 (extern und intern) geöffnet habe und auf die interne IP des NAS (192.168.1.xxx) weitergeleitet habe.


Ich denke, hier ist das Problem, dass der Port gegen aussen nicht offen zu sein scheint, obwohl die Portweiterleitung eingerichtet ist. Woran kann das liegen?

 

[Clemens Suter]

Weil du in dem Fall keine öffentliche IPv4 Adresse hast.
Der Provider hat sozusagen einen Router vor deinen Router geschaltet.
Du hast jetzt 2 Optionen:
-den Provider bitten, dir eine öffentliche IPv4 zu schalten
-alles via IPv6 laufen lassen

Technisch gesehen, surfst du nach draußen mit der IP des Providers, also der 213.x. Wenn du auf die aber von extern zugreifst, bleibst du am Router des Providers hängen, da der die Anfrage logischerweise nicht zu deinem Router durchstellt, da diese IP ja von mehreren Leuten genutzt wird. Die 10.x ist nämlich eine IP aus dem privaten IP-Adressbereich

aha, alles klar, vielen Dank für die Erklärung. Ich werde das testen, muss schauen ob via IPv6 möglich, sonst komme ich wohl nicht darum herum den Aufpreis zu zahlen beim Provider für eine statische IPv4, korrekt?

Andere Frage, warum bleibe ich mit der DDNS hängen? Wäre das nicht als Alternative auch ein gangbarer Weg? Ist das aus dem selben Grund, dass das auch am gleichen Problem scheitert (entweder IPv6 oder statische IPv4 nötig)?

 

[Benares]

sonst komme ich wohl nicht darum herum den Aufpreis zu zahlen beim Provider für eine statische IPv4, korrekt?

Statisch (also fest) muss sie noch nicht mal sein (dafür gibt's DDNS, also fester Name für ggf. wechselnde IP), aber eben öffentlich erreichbar muss sie sein.

Edit:
Bei DDNS kommt es darauf an, auf welche IPs der Name auflöst. Das können mehrere sein (z.B. IPv4 und IPv6). Bei IPv4 ist das normalerweise die externe IP des Routers (die aber erreichbar sein muss) und es geht per NAT weiter. Bei IPv6 braucht man aber die IPv6 der Endgeräte selbst, da es bei IPv6 kein NAT mehr gibt. Die externe IPv6 des Routers hilft dann wenig.

 

[plang.pl]

Bitte keine Vollzitate bei direkten Antworten.

für eine statische IPv4

Nein, die IP muss nicht statisch sein, sondern lediglich von extern erreichbar.

warum bleibe ich mit der DDNS hängen?

Weil der offensichtlich auf deine externe IPv4 auflöst und nicht auf die IPv6.
Falls er auf die 213.x auflöst: Deine Anfrage bleibt am Router des Providers hängen
Falls er auf die 10.x auflöst: Funktioniert nicht, da es sich um eine private IPv4 handelt

 

[Clemens Suter]

Bei IPv6 braucht man aber die IPv6 der Endgeräte selbst,

ok, es schein so, als hätte ich die IPv6 des Quell-NAS und Ziel-NAS ausfindig machen können. Diese scheinen effektiv einen "öffentlichen" bzw. "sichtbaren" Charakter zu haben. Es ist mir auch gelungen, die IPv6 beider NAS anzupingen (mit Antwort), was mir mit der IPv4 des Ziel-NAS nie gelungen ist (was ja Sinn macht, da diese gar nicht öffentlich bzw. sichtbar ist).

Die Portweiterleitung für IPv6 scheint auf dem Salt Router (Fiber Box) ein bisschen anders zu sein als für IPv4. Auf jeden Fall macht es den Anschein, als müsse man direkt die Start- sowie Ziel-IPv6 angeben, und nicht mehr die IPv6 des Routers selber. Nachdem ich dies so gemacht habe (nach wie vor externer und interner Port 6281) und Herabsetzen der Firewall-Einstellung (auf mehr oder weniger alles durchlassen), passierte folgendes. Bei der Eingabemaske "Datensicherungsziel-Einstellungen" auf dem Quell-NAS, wo das Hyperbackup auf das Ziel-NAS eingerichtet werden kann, kommt nun nicht mehr die Fehlermeldung "Verbindung zum Datensicherungsziel konnte nicht hergestellt werden...", sobald ich auf "Anmelden" drücke, sondern es passiert einfach nichts. D.h. es erscheint für ca. 1 sec die Meldung "wird geladen", sonst nichts, keine Fehlermeldung o.ä. Aber die Anmeldung ist nicht erfolgreich, da es mir nicht möglich ist, unter "Freigegebener Ordner" oder "Verzeichnis" irgendetwas auszuwählen. Ich habe auch versucht, absichtlich eine falsche IPv6 Adresse einzugeben, worauf wieder die Fehlermeldung "Verbindung zum Datensicherungsziel konnte nicht hergestellt werden..." kommt. Meine Schlussfolgerung ist, dass die Verbindung wohl ok ist, aber irgendetwas anderes noch nicht geht (z.B. Portweiterleitung).

 

[plang.pl]

Die Portweiterleitung

Bei IPv6 braucht man keine Portweiterleitung, sondern nur eine Portfreigabe

und nicht mehr die IPv6 des Routers selber

Genau. Bei IPv6 hat jedes Gerät eine eigene öffentliche IP - das NAT entfällt

aber irgendetwas anderes noch nicht geht

Eventuell ein Popup-Blocker des Browsers? Für die Anmeldung wird i.d.R. ein neues Browser Fenster geöffnet. Versuch mal einen anderen Browser. Oder deaktiviere Popup- und Werbe-Blocker

 

[Clemens Suter]

Eventuell ein Popup-Blocker des Browsers? Für die Anmeldung wird i.d.R. ein neues Browser Fenster geöffnet. Versuch mal einen anderen Browser. Oder deaktiviere Popup- und Werbe-Blocker

habe ich probiert (Google Chrome und Safari, Popup- und Werbe-Blocker aus). Es ist ändert sich aber nichts, dh. die Anmeldung geht nicht, es wird nach wie vor kurz "wird geladen" angezeigt, es passiert aber nichts

 

[plang.pl]

SSL im Einsatz? Mal vorher im Fenster auf "Vertrauen" gedrückt?
Beide NASe mal neu gestartet?
Firewall auf der Remote NAS ausgemacht?
Ich würde mal noch (temporär) ne Portfreigabe für Port 5001/5000 (DSM) machen, denn die Anmeldung läuft nicht über den Hyper Backup Port, soweit ich weiß

 

[Clemens Suter]

SSL im Einsatz? Mal vorher im Fenster auf "Vertrauen" gedrückt?

Ja, habe beides probiert, macht keinen Unterschied.

Beide NASe mal neu gestartet?

Ja, auch alles upgedated soweit.

Firewall auf der Remote NAS ausgemacht?

ist und war aus.

Ich würde mal noch (temporär) ne Portfreigabe für Port 5001/5000 (DSM) machen, denn die Anmeldung läuft nicht über den Hyper Backup Port, soweit ich weiß

habe ich auch getestet, macht keinen Unterschied.

 

[Crashandy]

Ich würde mal noch (temporär) ne Portfreigabe für Port 5001/5000 (DSM) machen

Nach allen meinen Versuchen eine Neuverbindung remote zum NAS wieder herzustellen, war das tatsächlich die Lösung bei mir.

Ich hätte mir jede Menge Lebenszeit eingespart.