Backup über zwei Standorte

[iphonisto]

Hallo liebes Forum,

wir haben 2 Geschäftsstandorte. Standort A steht eine DS 712+, Standort B eine DS 212+. Beide Diskstations erlauben den Remote-Zugriff über eine dyndns.org-Adresse.

Die DS 212+ soll zukünftig die Daten eines lokalen Windows 2008 Servers sichern.
Ich möchte nun, dass die DS 212 die tagesgesicherten Daten des Servers zu einem bestimmen Zeitpunkt (z. B. 1x wöchentlich) zusätzlich über Internet auf die DS 712 am Standort A sichern soll. (ausreichende Leitungskapazität vorausgesetzt)

Frage: Geht das überhaupt und wenn ja, wie mache ich das.

Vielen Dank im voraus.

Beste Grüße aus Köln

Michael

 

[iphonisto]

Hallo zusammen,

hmm, kann keiner eine kurze Info dazu geben? Ich kann mir nicht vorstellen, dass wir alleine mit dem Problem sind.
Vielen Dank im Voraus.

Mit besten Grüßen

Michael

 

[amarthius]

Klar geht das. Sicherung & Wiederherstellung im DSM auswählen. Neuen Job anlegen. Daten angeben fertig. Ggf. noch weitere Ports öffnen. Steht alles im Wiki bzw. hier im Forum gibt es auch Beiträge dazu.

 

[Puppetmaster]

Klar geht das. Sicherung & Wiederherstellung im DSM auswählen. Neuen Job anlegen. Daten angeben fertig. Ggf. noch weitere Ports öffnen. Steht alles im Wiki bzw. hier im Forum gibt es auch Beiträge dazu.

@amarthius
Ich habe danach auch schon einmal im Wiki gesucht, aber nicht gefunden. Meinst du das deutsche Wiki?

 

[Zentris]

Ich würde die beiden Standorte per VPN (Einrichten über die Router oder die DS) verbinden und darüber die Sicherung fahren, keine weiteren Ports öffnen (Sicherheit!).

Der Durchsatz ist zwar etwas reduziert, aber das dürfte bei einem nächtlichen Syncen kaum eine Rolle spielen (über das Datenaufkommen ist ja noch nicht gesprochen worden)...

die Zentris

 

[Puppetmaster]

Ich würde die beiden Standorte per VPN (Einrichten über die Router oder die DS) verbinden und darüber die Sicherung fahren, keine weiteren Ports öffnen (Sicherheit!).

ja, das ist ein Ansatz, den ich - sobald ich die Gelegenheit, sprich eine DS als Gegenstelle in einem zweiten Netz , habe - versuchen wollte.
Was mir nur noch gar nicht klar ist dabei, wie ich der DS, von der die Sicherung ausgehen soll, sagen soll, daß sie sich per VPN einwählt.
Gut, die Gegenstelle werde ich als VPN Server mit den Bordmitteln einrichten. Aber wie verbinde ich mir von meiner DS mit dieser? Benutze ich dazu den an Bord befindlichen VPN-Client? Wenn ja, wie soll das gehen? Der baut eine Verbindung auf...das habe ich schon gesehen, das geht. Aber was dann? Wie sage ich der DS, daß sie in dieses entfernte Netz dann sichern soll?

 

[Zentris]

Soweit ich VPN verstehe, ist das remote Netzwerk dann Bestandteil das lokalen Netzwerkes: Die DS erhält eine IP aus dem remote Netzwerk zugewiesen. Somit ist die remote DS "lokal" und kann normal mit DS Bordmitteln (sync) agieren.

Ich habe das bei mir noch nicht konfigurieren können, weil ich nur eine DS und nur einen Standort habe. Ich habe mich aber mal mit meinem Smartphone (UMTS) von unterwegs in mein lokales Netzwerk per VPN eingeloggt: Das Smartphone hatte eine IP aus meinem lokalen Netzwerk bekommen und konnte simpel auf die DS per Browser zugreifen, als ob ich im heimischen WLAN eingeloggt wäre. Die Geschwindigkeit war nicht rasend, aber das schreibe ich der doch recht schmalen UMTS Verbindung zu.

Ein Unterschied: Ich hatte das VPN über meinen Router (ein Buffalo mit WRT-DD drauf) gemacht: der bietet die Einrichtung eines VPN Servers an. Da auf dem Router auch der DHCP-Server liegt, passt das sehr gut zusammen: Der Router läuft 24/7, die DS nicht - auch deshalb habe ich das so gemacht. Es sollte so sogar ein problemloses WOL möglich sein, hab ich aber nicht gebraucht/getestet...

die Zentris

 

[Puppetmaster]

Soweit ich VPN verstehe, ist das remote Netzwerk dann Bestandteil das lokalen Netzwerkes: Die DS erhält eine IP aus dem remote Netzwerk zugewiesen. Somit ist die remote DS "lokal" und kann normal mit DS Bordmitteln (sync) agieren.

Ich habe das bei mir noch nicht konfigurieren können, weil ich nur eine DS und nur einen Standort habe. Ich habe mich aber mal mit meinem Smartphone (UMTS) von unterwegs in mein lokales Netzwerk per VPN eingeloggt: Das Smartphone hatte eine IP aus meinem lokalen Netzwerk bekommen und konnte simpel auf die DS per Browser zugreifen, als ob ich im heimischen WLAN eingeloggt wäre.

In der Tat, das habe ich auch schon durchexerziert. Mit dem Smartphone klappt das auch sehr gut. Wie du schon sagst: du hast dann eine lokale IP aus dem (entfernten) Netz.
Dann wäre jetzt die Frage, ob ich dann, wenn ich einen neuen rsync Backupjob anlege, diese IP aus dem entfernten Netz angeben kann, bzw. ob die DS diese IP an dere Stelle auch kennt.
Im übrigen würde dieser Weg doch bei einer automatisiert ablaufenden Backuplösung bedeuten, daß man permanent mit der Gegenstelle per VPN verbunden ist. - Das sollte doch Probleme geben, sobald einer der beiden Router einen Reconnect durchführt, dann müßte die Verbindung doch unterbrochen sein bis ich sie von Hand wieder initialisiere...

So ganz kann ich mir das in der Praxis noch nicht vorstellen.
In den nächsten zwei Wochen wollte ich ein derartiges Szenario mit einer Gegenstelle einmal ausprobieren. Mal sehen, wie's läuft...

 

[virtubit]

Ein VPN für eine Netzwerksicherung zu nutzen finde ich etwas übertrieben (schlechte Performance und unnötige Verbindung von zwei LAN's und fehleranfällig). Ich habe es mit der normalen Netzwerksicherung der DS gemacht. Funktioniert super jede Nacht (>250GB >90'000 Dateien).

Hier eine Anleitung (genau so habe ich es auch gemacht):
Auf dem Ziel Server (in deinem Fall Standort A):
1. Den Netzwerkdienst Dienst aktivieren (=>Systemsteuerung=>Netzwerksicherung=>Netzwerksicherungs Dienst aktivieren (siehe Bild)).
2. Einen Benuzter erstellen mit Anwedungsberechtigung "Netzwerksicherung".
3. Dem neuen Benutzer "Lesen/Schreiben" Rechte geben auf dem Ordner "NetBackup" (Der Freigabe-Ordner wird von der DS selber erstellt, sonst selber erstellen).
4. Auf dem Router den Port 22 (SSH) auf die DS weiterleiten.

Auf dem Quellen Server (in deinem Fall Standort B):
5a. Datensicherung und Wiederherstellung => Datensicherung "Erstellen" => Netzwerksicherung (Synology Server)
5b. Servername = Router-IP vom Standort A, Gemeinsamer Zielordner = "NetBackup", Übertragunsverschlüsselung aktivieren + Metadaten
6. Zeitplan erstellen...

So funktioniert das bereits. Bei sehr vielen Daten sollte man die initiale Sicherung im LAN machen (die folgenden Sicherungen gehen dann über's Internet inkrementell).

7. Auf dem Ziel Server sollte die Firewall auf der DS aktiviert werden um sich vor Hacker zu schützen. Um sich selber nicht auszuschliessen unbedingt alle Ports für alle im LAN zulassen! SSH nur für den Quellen Server zulassen (IP-Adressen im Bild sind nur beispielhaft!)

 

[Puppetmaster]

@virtubit
Super, danke für die schön bebilderte Anleitung!
Ich würde auch die nicht-VPN Lösung bevorzugen. Scheint mir unkomplizierter und mit den einfachen Bordmitteln lösbar.
Ein Performanceproblem bei VPN sehe ich bei einem upload von 1MBit allerdings nicht wirklich

Den von dir aufgezeigten Weg hatte ich so auch schon angedacht. Der einzige Punkt, der mir dabei unklar ist, wird bei dir allerdings auch nicht klar:
Weder Standort A noch Standort B verfügt über eine feste externe IP. Ich bin somit auf DDNS angewiesen.

5b. Servername = Router-IP vom Standort A, Gemeinsamer Zielordner = "NetBackup", Übertragunsverschlüsselung aktivieren + Metadaten

Ich müßte also eine Webadresse angeben können, und keine feste IP.
Ebenso läßt sich so die Firewall am Ziel-Rechner nur eingeschränkt nutzen, da ich die IP der Quelle ja nicht kenne.

Weißt du, ob es auch mit einer URL statt einer IP geht?

 

[virtubit]

VPN Verbindungen belastet die CPU auf beiden Seiten, das kann unter Umständen die Performance beeinträchtigen unabhängig vom Upload.

Ja ich habe selbst auch keine fixe IP's. Hier kannst du das gratis einrichten: Systemsteuerung=>ezCloud=>DDNS mit Service Anbieter "Synology".... So kannst du dann überall mit den Hostnamen arbeiten anstelle der IP's.

Stimmt, die Firewall ist dann auf dem Port 22 offen für die ganze Welt. Dieses Problem habe ich aber mit Systemsteuerung=>automatische Blockierung minimiert. (Habe 2 Versuche in 50'000 Minuten, gesperrt für immer plus ein starkes Passwort plus User "admin" deaktiviert).

 

[Puppetmaster]

Ja ich habe selbst auch keine fixe IP's. Hier kannst du das gratis einrichten: Systemsteuerung=>ezCloud=>DDNS mit Service Anbieter "Synology".... So kannst du dann überall mit den Hostnamen arbeiten anstelle der IP's.

Ja, das ist mir klar. Eine dynamische DNS habe ich bereits. Mir ist nur nicht klar, ob die die dann beim Backupjob angeben kann anstelle einer IP!

 

[virtubit]

Ja, das ist mir klar. Eine dynamische DNS habe ich bereits. Mir ist nur nicht klar, ob die die dann beim Backupjob angeben kann anstelle einer IP!

Aha ja sorry . Ja kein Problem einfach beim Backupjob den Hostnamen anstelle der IP eintragen. Dann beginnt die DS sofort danach zu suchen und zeigt die freigegeben Ordner am Zielserver zur Auswahl an...

 

[Puppetmaster]

Aha ja sorry . Ja kein Problem einfach beim Backupjob den Hostnamen anstelle der IP eintragen. Dann beginnt die DS sofort danach zu suchen und zeigt die freigegeben Ordner am Zielserver zur Auswahl an...

Danke! Das war die Info, nach der ich schon länger gesucht habe.
Ich konnte das bisher nur theoretisch durchspielen. Nächste Woche beginnt aber vermutlich der Praxistest.
Gut, dann wird das also schon einmal funktionieren!

 

[Sentinel997]

Ich klinke mich hier auch mal rein..

Eine selbe Konstalation ist bei mir fällig.
Die einzige Frage die sich bei mir noch stellt ist:
Kann man noch einen dritten Standort dazunehmen und diese ebenfalls auf dem Ziel Standort abspeichern?

Standort C und Standort B nach Standort A Backupen.
Gruss

 

[Puppetmaster]

Ich klinke mich hier auch mal rein..

Eine selbe Konstalation ist bei mir fällig.
Die einzige Frage die sich bei mir noch stellt ist:
Kann man noch einen dritten Standort dazunehmen und diese ebenfalls auf dem Ziel Standort abspeichern?

Standort C und Standort B nach Standort A Backupen.
Gruss

Ja, warum sollte das nicht gehen!?
Bei mir funktioniert zumindest jetzt das Szenario mit zwei Standorten. Aber ich kann ja bei jedem neuen Backup-Job ein anderes Ziel angeben. Es ist also denkbar, von einer DS aus auf mehrere entfernte DS Backups zu machen, als auch umgekehrt von mehreren entfernten DS auf eine andere zu sichern. Da sehe ich kein Problem.

Was mir jetzt nur aufgefallen ist: Für eine verschlüsselte Übertragung muß Port 22 statt 873(?) verwendet werden. Der ist aber leider sehr anfällig für Angriffe. Ich habe jetzt schon innerhlab der ersten 12 Stunden im Betrieb ein gutes Dutzend blockierter IPs! Das finde ich mehr als ärgerlich, da man diesen Port offenbar auch nicht ändern kann. Die Ziel DS soll nicht viel mehr machen, als das Backup, von daher ist sie die meiste Zeit im Ruhezustand. Da sie aber dann jede Stunde geweckt wird, ist das unschön! die Firewall der DS kann da auch nichts machen und die DS ausschalten ist keine echte Option, da sie eben zwischendurch schon auch noch für andere Dienste genutzt wird.
Das ganze unverschlüsselt zu übertragen, da bin ich mir uneins, ob ich das möchte..

Hat da zufällig schonmal jemand eine Lösung für gefunden?

 

[virtubit]

Für eine verschlüsselte Übertragung muß Port 22 statt 873(?) verwendet werden. Der ist aber leider sehr anfällig für Angriffe. Ich habe jetzt schon innerhlab der ersten 12 Stunden im Betrieb ein gutes Dutzend blockierter IPs!

Es gibt Router bei welchen man eine Port-Weiterleitung auf bestimmte Zeiten einschränken kann (z.B. Port 22 nur von Mo-Fr 02-05Uhr weiterleiten für die Netzwerksicherungen, sonst dropen/blocken). Leider kann das meine Airport Extreme (auch) nicht deshalb stehe ich vor dem selben Problem

 

[Puppetmaster]

Es gibt Router bei welchen man eine Port-Weiterleitung auf bestimmte Zeiten einschränken kann (z.B. Port 22 nur von Mo-Fr 02-05Uhr weiterleiten für die Netzwerksicherungen, sonst dropen/blocken). Leider kann das meine Airport Extreme (auch) nicht deshalb stehe ich vor dem selben Problem

Ja, das wäre zumindest eine Behelfslösung. Ich hatte aber noch keinen Router, der das konnte, und auch der, wo jetzt der Backupserver steht, hat diese Option nicht - Fritzbox halt.
Schade.
Schön wäre es, wenn man in der DS einfach die SSH auf einen anderen Port legen könnte! Für das neu integrierte SFTP ist das ja auch möglich. Habe das für SFTP auch gemacht und habe bisher keinen lästigen ungebetenen Besuch gehabt.