ds918+ mit ds220+ am 2. standort sichern

[hardtech]

eine ds918+ mit 2x 10tb ist an ort 1, angebunden mit glasfaser 250/50 mbit/s über avm 7590.
eine ds220+ mit 1x 4tb ist an ort 2, angebunden mit glasfaser 400/100 mbit/s über avm 7590 ax.

bisherige situation
2,8tb (davon 1tb unwichtige ältere filme).

ds918 ist über quickconnect extern angebunden.
5 laptops an standort 3 greifen über synology drive zu.
3 laptops im heimnetzwerk nutzen synology drive zur synchronisation.

sicherung erfolgt manuell über hyper backup zu usb-ssds direkt an der ds918.


die idee ist
automatische sicherung der ds918 auf der ds220 am 2. standort.
verzicht auf manuelle sicherung über externe usb-ssds.


bisher umgesetzt
diese anleitung habe ich befolgt:
https://strobelstefan.org/2021/02/1...chen-ueber-fritzbox-und-reverse-proxy-teil-1/

die 918 hat eine fest ip im heimnetz erhalten und ein reverse proxy ist eingerichtet (bild 01). geht das auch ohne den reverse proxy?
die 7590 hat ein ddns bei noip erhalten (bild 02) und eine portfreigabe (bild 03).

die ds220 an ort 2 hat externen zugriff über quickconnect. daten über hyper backup zu sichern funktioniert leider nicht, weil quickconnect nicht unterstützt wird.

was ist zu tun?
1) muss ich nun bei noip einen 2. namen einrichten und die ds220 per ddns extern ansprechen?
2) ist sicherung über hyper backup nur mit vpn empfohlen? habe gelesen, dass man bei vpn jeden client separat einstellen muss, wenn man keinen router von synology hat. da aber an ort 3 viele laptops über synology drive zugreifen, ist vpn wohl zu aufwendig einzurichten.

bin drauf und dran das projekt (sicherung über ds220 am 2. standort) zu kippen und die ds918 zu sichern wie bisher manuell über externe usb-ssds.

was mir aber aufgefallen ist: die ds918 spricht schneller über ddns an, als wenn ich zugriff über quickconnect herstelle. ist ddns grundsätzlich quickconnect vorzuziehen?

 

[Benares]

Du hast doch auf beiden Seiten Fritzboxen. Nutze doch einfach deren Möglichkeiten für ein Site-2-Site-VPN wie hier beschrieben. Die einzige Voraussetzung ist die Nutzung unterschiedlicher IP-Ranges in beiden Netzen und dass mind. eine Seite eine öffentlich IP haben muss. Dann brauchst du auch den ganzen Portweiterleitungs-Quatsch nicht.
Auch MyFritz als DDNS ist nicht schlecht. Sind zwar etwas kryptische Namen, aber das macht ja nichts.

 

[hardtech]

ok danke für den tip. werde es probieren.
kannst du ein wenig zu den fragen was sagen?

 

[EDvonSchleck]

Ich würde immer VPN vorziehen. das geht via Fritzbox ganz einfach. Natürlich kannst du auch deine No-Ip-Adressen dafür nutzen. Ein wechsel auf Myfritz ist nicht notwendig. Damit ersparst du auch das ganze mit den Ports und Co.
Wenn du nur von einer Richtung den Tunnel aufbaust brauchst du nur die eine No-Ip-Adresse, die des Ziels.

VPN musst du dir etwa vorstellen wie damals die Einwahl ins Internet, nur das du nicht ins Internet verbunden bist, sondern ins entfernte LAN. Alles was im LAN funktioniert - funktioniert auch im VPN! Einen Synology Router braucht man dazu nicht, dass kann auch Windows/OS direkt erledigen falls die Clients extern sind.

Mit Hyperbackup kannst du natürlich das Backup durchführen, der Vorteil dazu ist dieses versioniert angelegt wird und verschlüsselt werden kann.
Wenn du die Ordner nur 1:1 übertragen haben willst und auf ein verschlüsseltes Backup und Versionierung verzichten kannst geht das ganz einfach über rsync direkt im System. dem zugriff kann man gegenüber anderen Usern durch die Benutzersteuerung/Rechte verweigern. Somit hat im Ziel auch keiner auf deine Daten.

 

[hardtech]

hört sich gut an die konfiguration.
dadurch dass ich keinen externen zugriff auf die 7590 ax habe, muss ich zum standort hinpendeln.

zwischenfrage:
versuche mit synology drive von aussen zu synchronisieren. bisher habe ich das über quickconnect gemacht. dies ist nun ausgestellt und es ist ddns eingerichtet.
er baut keine verbindung auf!
habe das durchgelesen:
https://kb.synology.com/de-de/DSM/tutorial/How_to_set_up_connection_to_Drive
aber werde da nicht schlau draus.

was muss ich genau einstellen, dass ich von aussen über synology drive synchronisieren kann?

 

[EDvonSchleck]

hört sich gut an die konfiguration.
dadurch dass ich keinen externen zugriff auf die 7590 ax habe, muss ich zum standort hinpendeln.

Das kannst du eventuell auch einfach mit Anydesk einfach und unkompliziert machen. Sofern einer der dort lebenden eine Datei öffnen kann und dir die Nummer durch gibt.

Für den Rest deiner Anfrage würde ich es erst einmal mit dem VPN anfangen, denn brauchst du das Quickconnect und Ports nicht mehr. Wenn du denn von extern Zugriff haben willst verbindest du dich mit dem Tunnel und greifst direkt auf den NAS zu. Dafür brauchst du denn aber eine DynDNS für deinen Router.. Also für jedes Netzwerk (NAS) was du erreichen willst benötigst du eine eigene Adresse. Myfritz kannst du dafür auch nutzen - ist ja nichts anderes als eine DynDNS.

 

[Benares]

@hardtech
Ich finde du vermischst viele Dinge oft miteinander ohne sie sauber zu trennen. Es gibt einige Dinge, die unabhängig voneinander sind, aber ggf. aufeinander aufbauen:

1. Da ist zunächst mal DynDNS, um der ggf. wechselnden externen IP seines Routers einen festen Namen zu geben. Ob das ein kryptischer Name ist wie bei MyFritz, oder ein etwas schönerer wie bei NO-IP oder ein ganz schöner wie bei einer eigenen Domain, ist zunächst mal völlig egal. Man kann auch mehrere davon haben, auch parallel. Die Frage ist eher, von wo aus man die jeweils auffrischt und wie zeitnah das bei einem Wechsel der IP erfolgt. Eigene Domains kosten meistens etwas Geld, bieten aber mehr Möglichkeiten, z.B. auch die Anlage von CNAMEs (Aliase) für die Domain (s. Punkt 3).
   
   
2. Den oder die DDNs-Namen braucht man dann, um VPN-Verbindungen aufzubauen oder über Portweiterleitungen von außen auf irgendwelche Dienst zuzugreifen. VPN ist mit Abstand der sicherste Zugang, setzt aber voraus, dass der/die Anzahl der "Zugreifenden" relativ begrenzt ist und deren Namen bekannt sind (Stichwort: NAS<->Backup-NAS). Deshalb auch mein Vorschlag, hier VPN einzusetzen.
   Etwas anders sieht es aus, wenn die "Zugreifenden" mehr oder minder unbekannt sind, also beispielsweise wenn man irgendwelche Web-Seiten/Dienste o.ä. betreibt. Dann werden Portweiterleitungen zum eigentlichen Ziel benötigt.
   
   
3. Ist die Anzahl solcher Web-Seiten/Dienste groß und die Anzahl der Port-Weiterleitung ufert aus und das Sicherheitsloch, dass man mit jeder Weiterleitung aufreißt, wird zu groß, kann man den "Reverse Proxy" auf der DS einsetzen. Dieser erlaubt es, z.B. nur noch Port 443 (https) auf die DS weiterzuleiten und dann, namensbasiert, auf die die einzelnen Ziele weiter zu rangieren. Dazu braucht man dann aber i.d.R. mehrere Namen, womit wir wieder bei Punkt 1 wären. Wichtig: Er kann aber nur Web-Services, keine Dinge wie ftp & Co.
   Beispiele:
   dsm.example.com:443->localhost:5001,
   www.example.com:443->localhost:443,
   file.example.com:443->localhost:7001,
   raspi.example.com:443->raspi:443
   fritzbox.example.com:443->fritz.box:443
   usw.usw.
   
   Großer Vorteil: Man kann hier zentral auch die ganze Zertifikatsverwaltung abfrühstücken, braucht aber ein Zertifikat, dass für alle Namen gilt oder ein Wildcard-Zertifikat für *.example.com. Aber das ist ein eigenes Thema.

Wenn du das einmal richtig verstanden hast, wird dir vieles klarer.

 

[EDvonSchleck]

Schau mal, sollte so aussehen:

Es würde auch gehen wenn du nur eine DynDNS nutzt und die VPN-Berbindung von der 7590ax aufgebaut wird. Denn zeigen alle Client immer auf die 7590. Allerdings muss die Verbindung immer von der 7590ax aufgebaut werden.

 

[hardtech]

also ihr seid ja klasse!
danke @Benares für die klarstellung. du hast recht, ich vermische etwas, aber beim "umabu" tun sich probleme auf, die ich erstmal fixen muss.

dies habe ich geschafft durch das video hier:
https://www.youtube.com/watch?v=2sOiq3MDRmc

der port 6690 wurde weitergeleitet auf der fritzbox. somit sollte (test steht noch aus) synology drive der laptops am 3. standort zur ds918 laufen. gehe ich aber nicht drauf ein weiter.

@EDvonSchleck
genau so sieht es aus. du hast sogar die richtige anzahl in deiner zeichnung drin. hammer!

gut, dass heisst ich versuche die tage das vpn aufzubauen und ddns auf beiden fritzboxen einzustellen. danach sehen wir weiter.

aktuell habe ich erfolgreich quickconect ausgeschaltet und alle dienste laufen über ddns. das hat mich bereits viele stunden lesen und ausprobieren gekostet. habe die nas schon länger, aber bisher habe ich mich damit nicht weiter auseinander gesetzt. will die sicherste methode haben und die grundsätze verstehen. das forum dafür ist wirklich stark. selten so kompetente und hilfsbereite leute wie euch gefunden. vielen dank an dieser stelle an alle!

 

[Benares]

QuickConnect hatte ich gar nicht erwähnt. Es ist ein zusätzlicher, recht spezieller, proprietärerer Weg, um von Remote auf sein DS zu kommen.
Wie genau die Kommunikation dann läuft, is etwas undurchsichtig. Auf jeden Fall sind irgendwelche Synology-Server mit im Spiel.
Ganz nett für gelegentliche Zugriffe, aber ich würde es meiden.

 

[Benares]

@hardtech
Ich hoffe, du kannst den Ansatz aus dem Youtube-Video jetzt besser einordnen: DDNS-Name, Portweiterleitung von 6690 auf die DS für Drive.
Wenn ich mir aber die ganzen Portweiterleitungen, die der Author auf seiner Fritzbox hat, ansehe, wird mir ganz schlecht

 

[Stationary]

Es würde auch gehen wenn du nur eine DynDNS nutzt und die VPN-Berbindung von der 7590ax aufgebaut wird

Ich würde das mit zwei DynDNS-Adressen in beide Richtungen machen, weil Du dann auch mal einfach die Möglichkeit hast, mit einem Laptop ein VPN auf die zweite Box aufzubauen.
Ich habe ein vergleichbares Setup mit vier Fritzboxen (jede mit eigenem DynDNS und jede mit jeder anderen gelinkt) und zwei Diskstations. Das läuft seit Jahren stabil und ich schätze mal, es wird noch besser, wenn erst mal FritzOS 7.50 draußen ist. Portfreigaben kannst Du Dir bei LAN-LAN-Kopplung sparen.

 

[EDvonSchleck]

@hardtech bei VPN über die Fritz!boxen kannst du komplett auf die Portfreigaben verzichten.

 

[EDvonSchleck]

Ich würde das mit zwei DynDNS-Adressen in beide Richtungen machen

War nur ein Vorschlag, wenn es unbedingt nur eine DynDNS sein soll. In der Zeichnung habe ich es so eingetragen wie ich es machen würde.

es wird noch besser, wenn erst mal FritzOS 7.50 draußen ist. Portfreigaben kannst Du Dir bei LAN-LAN-Kopplung sparen.

Du meinst mit Wireguard wo alle schon süchtig darauf warten?

 

[hardtech]

zu den portfreigaben und vpn.
ich verstehe das jetzt so, dass der aufwand für vpn-einrichtung erstmalig höher ist. der komfort durch ersparnis der portweiterleitungen aber überwiegt in der praxis.
nur warum kann ich mir die portweiterleitungen sparen?

aktuell habe ich aber noch dieses problem hier:
https://www.synology-forum.de/threa...nd-synology-drive-client.121619/#post-1008610
das muss ich lösen, bevor ich mich um die vpn einrichtung kümmern kann. falls jemand eine idee hat, gerne her damit.

@Stationary
da du das bereits in komplexerer art bereits eingerichtet hast... viell. kannst du mir detailtipps geben, wenn ich nicht weiter komme?
aktuell sind die details hier riesenberge für mich. fange an mich da einzulesen und die tücken stecken im detail.
bin froh bereits von quickconnect weg zu sein. jetzt vpn. dann backup am 2. standort. dann austausch hdd gegen ssds in der ds918.
dauert alles doch recht lange, wenn man nicht weiss, was man wo einstellen kann.

 

[Stationary]

Deine Zeichnung entspricht so mehr oder weniger meiner Signatur, wobei wenn Du in einem der Netzwerke sitzt natürlich ohne weiteres VPN ins andere kommst, die Fritzboxen halten den VPN-Kanal bei LAN-LAN-Kopplung offen.

 

[Stationary]

nur warum kann ich mir die portweiterleitungen sparen?

Bei LAN-LAN-Kopplung hast Du aus zwei getrennten Netzwerken eines gemacht und mußt nichts mehr von außen erreichen. Du erreichst jedes Gerät direkt über die Eingabe der IP-Adresse.
Wichtig bei LAN-LAN-Kopplung: die beiden Netzwerke dürfen nicht den gleichen IP-Bereich benutzen, das eine muß z.B 192.168.1.0 haben und das andere 192.168.2.0, sonst klappt das nicht.

 

[Stationary]

viell. kannst du mir detailtipps geben, wenn ich nicht weiter komme?

Kann ich machen.

 

[hardtech]

Bei LAN-LAN-Kopplung hast Du aus zwei getrennten Netzwerken eines gemacht und mußt nichts mehr von außen erreichen. Du erreichst jedes Gerät direkt über die Eingabe der IP-Adresse.
Wichtig bei LAN-LAN-Kopplung: die beiden Netzwerke dürfen nicht den gleichen IP-Bereich benutzen, das eine muß z.B 192.168.1.0 haben und das andere 192.168.2.0, sonst klappt das nicht.

punkt 2 mit den unterschiedliche ip-bereichen ist mir bewusst.
dh. bei vpn weise ich mich als eindringling einmal aus und werde dann intern nach prüfung weitergeleitet?
bei keinem vpn muss ich die weiterleitung manuell für jeden anwendung und jeden port freigeben und bei vpn braucht man gar keine weiterleitungsregeln durch die "einlasskontrolle". so korrekt?

 

[Benares]

nur warum kann ich mir die portweiterleitungen sparen?

Weil eben die VPN-Verbindung alle Portweiterleitungen zwischen den beiden Standorten ersetzt. Sieh es wie eine "virtuelle" Netzwerkstrippe, mit der du beide Standorte verbindest.