Einrichtung Fernbackup

[Gulliver]

Zur Komplettierung meiner Backup-Strategie fehlt mir noch ein Sicherungsziel ausser Haus. Ich denke da z. B. an eine DS118, die bei einem Freund stehen könnte. (Gibt's aktuell günstig und soll nur Backup speichern.)

Plan ist, dass sie regelmäßig einen vpn-Tunnel zu meinen DS öffnet und diese dann via inkrementellen Hyperbackup dorthin sichern.

Nun soll kein Zugriff aus dem dortigen LAN auf mein Sicherungs-NAS erlaubt sein, andererseits will ich selber von aussen darauf zugreifen und ggf administrieren können. Aber auf andere Geräte im Netz des Freundes will ich nicht zugreifen können.

Stelle ich sie in das LAN der fernen Fritzbox und schotte sie nur mit der Synology-Firewall gegen Zugriffe ab?
Kann ich von aussen überhaupt einen sicheren vpn-Zugriff herstellen, wenn mein NAS doch selber schon als vpn-client fungiert?

Wie macht Ihr das?

 

[philipp-schoene]

Ich habe es selbst nicht ausprobiert: an der DS118 könntest du einen neue VPN-Schnittstelle einfügen. Zu Finden bei den Netzwerkeinstellungen. Auf deiner muss dann natürlich ein VPN-Server sein. (Oder eine Alternative bei dir im Netz). Und die entsprechenden Portfreigaben müssen da sein.

 

[plang.pl]

Thema VPN zeitgesteuert: https://mickderksen.wordpress.com/2016/06/08/how-to-schedule-a-vpn-connection-on-synology/
Ich würde mir überlegen, ob es in deinem Fall nicht vielleicht besser wäre, ein DynDNS mit Portfreigabe zu nutzen. Wenn du einen VPN Eintrittspunkt im anderen Netz hast, kannst du auch auf die anderen Geräte in diesem Netz zugreifen. Dazu natürlich ein sehr sicheres Passwort und ein Zertifikat.

 

[Gulliver]

Sehr gute Info, danke für den link!
DynDNS schau ich mir an. Eine Zugansbeschränkung mit Zertifikat statt Passwort (wie bei ssh) geht da wohl nicht? DS und Festplatte kommen in etwa einer Woche. Melde mich dann nochmal. Schonmal danke

 

[plang.pl]

Nein, das mit dem Zertifikat statt Passwort geht nicht. Wie gesagt, sehr sicheres Passwort verwenden. Dazu evtl. 2FA. Das hinterlegst du dann einmal beim Einrichten des Jobs. Zumindest glaube ich, dass das so geht. Wenn du DSM remote administrieren willst, keinesfalls den Standardport nach außen freigeben. Dafür würde sich eigentlich auch QuickConnect eignen. Vorteil: Keine Portweiterleitung nötig. Das dann aber auf jeden Fall mit 2FA

 

[sky63]

Wenn man es richtig machen will und im Netz des Freundes nicht wirklich etwas zu suchen hat, möglicherweise der Freund das auch nicht unbedingt will dss du da auch anderes siehst/machen kannst dann bleibt eigentlich nur ein VPN welches in einer DMZ terminiert. Dann kann der Freund, der die Kontrolle über sowohl die äußere als auch die innere Firewall hat, die Zugriffe entsprechend steuern. Das ist allerdings mit mehr Aufwand verbunden und mit nur einer Fritzbox nicht zu realisieren.
Ob dann deine NAS eventuell in der DMZ verbleibt oder in das interne LAN verlegt wird müsste man sich dann mal genauer anschauen. Wäre es mein Netz käme mir kein Gerät über welches ich nicht die Kontrolle habe in mein internes LAN wenn ich das nicht wenigstens in ein eigenes VLAN schieben könnte, müsste also in der DMZ bleiben.

gruss,
sky

 

[plang.pl]

Sehe ich eigentlich auch so. Ohne aber "massiv aufzurüsten" ist das leider nicht umsetzbar. Wenn die Fritte Portweiterleitungen ins Gastnetz könnte, wäre das ideal. Eventuell bliebe auch noch die Option der Router-Kaskade. Ist aber auch umständlich und mit Investitionen verbunden. Ich persönlich pflege an jedem Gerät die Firewall, wodurch auch im gleichen Netz nicht jeder alles machen kann, ist aber bei einer Umstellung ein krasser Zeitaufwand

 

[Gulliver]

Wäre es mein Netz käme mir kein Gerät über welches ich nicht die Kontrolle habe in mein internes LAN

Dito. Die Sache wird komplex - bzw. ich merke das jetzt erst, nachdem ich mich konkreter damit beschäftige.
Zu 3:2:1 habe ich oft gelesen, dass ein NAS in entferntem LAN genutzt wird und es mir daher erst mal einfach vorgestellt.

 

[sky63]

Wenn die Fritte Portweiterleitungen ins Gastnetz könnte,

Das wäre für viele Fälle schon völlig ausreichend. Aber ich schätze da entwickelt AVM eben für eine andere Zielgruppe.

Zu 3:2:1 habe ich oft gelesen, dass ein NAS in entferntem LAN genutzt wird und es mir daher erst mal einfach vorgestellt.

Ist wie mit vielem in der IT. Hört sich entscheiden einmal gut an und ist, oberflächlich gesehen, auch einfach eingerichtet. Bei genauerem hinsehen wird dann komplexer und teurer.

Was das Backup angeht weiss ich ja nicht über welches Volumen wir reden. Möglicherweise ist C2 oder ein anderer Cloudspeicher eine Alternative.

gruss,
sky

 

[Rotbart]

Ich wäre bei der Lösung mit DynDns + einen nicht StandardPort für Hyperbackup, bei bedarf halt Quickconnect oder extraport für DSM mit 2faktor, Firewall u.s.w.. Ist die Kostengünstigste Lösung und von der Sicherheit nicht schlechter als ein VPN. Zusätzlich keine internen Dienste und auch eine abschottung über die Firwall gegenüber dem Netz deines Freundes.

 

[Gulliver]

Was das Backup angeht weiss ich ja nicht über welches Volumen wir reden. Möglicherweise ist C2 oder ein anderer Cloudspeicher eine Alternative.

Dokumente, Literatur, ecoDMS, Photos, Kalender, Mailarchiv. (Evtl kommen mal noch Filme und Musik als zu sichernde Medien - aber über's Netz macht das ja eher keinen Sinn...) Ist nicht furchtbar viel und C2 wäre sicher ausreichend und auch billiger, aber die Problemstellung reizt mich halt

Hab' hier noch eine Fritzbox rumstehen, die könnt ich ja beim Freund anklemmen und meine DS dahinter hängen. Die Backup-DS kann ein VPN zu meiner DS öffnen, worüber dann mein Hyperbackup läuft. Und ich könnte (wenn ich administrieren will) per DynDNS und Portweiterleitung über seinen Router direkt zu meiner FB durchgeschleust und von dieser zur DS geleitet werden, wo starkes PW und 2FA den Zugriff beschränken.

Dann hätte ich nur Zugriff auf das LAN hinter meiner Fritz und seine Geräte könnten nicht an meiner Fritz vorbei...

 

[curt]

Also wenn es zwei aktuelle Fritzboxen sind, kannst Du - mittlerweile sehr bequem und einfach - diese per Wireguard koppeln. Das habe ich gerade vor 30 Minuten auch in einem Szenario erledigt. Und dort kannst Du dann im Fritz Menü (auf beiden Seiten) ein Häkchen setzen, welche Geräte miteinander spielen dürfen. Das ist eigentlich sehr elegant.

 

[Gulliver]

Sind beide schon was älter und werden das wohl nicht mehr bekommen. Eine dauerhafte Verbindung soll aber auch gar nicht bestehen, denn sollte meine Arbeits-DS mal korrumpiert werden, soll sie auf die Backup-DS ja nicht zugreifen können.
Da die Backup-DS verantwortlich für den vpn-Tunnel ist, erhoffe ich mir da etwas mehr Sicherheit.

Oder kannst du den wg-tunnel zeitgesteuert auf- und zumachen?

 

[plang.pl]

Nein, zeitgesteuert geht das auf der Fritte nicht

seine Geräte könnten nicht an meiner Fritz vorbei...

Das stimmt. Du kommst aber auf seine Geräte

 

[Gulliver]

Du kommst aber auf seine Geräte

Habe nachgesehen: Am Backup-Standort werkelt eine FB 6850 LTE mit 4x 1Gb-Ports. Da könnte ich meine FB 4040 an Port 4 ins Gastnetz hängen. Theoretisch sollte es damit funktionieren.

@curt Die 4040 bekommt auch Fritz!OS 7.50 und ist somit wireguard-fähig. Meine 7362SL bei mir zuhause aber nicht. Könnte vermutlich auch über einen Raspi gelöst werden - aber aus grundsätzlichen Erwägungen soll ja keine LAN-LAN-Kopplung bestehen.

 

[plang.pl]

Aber da wäre dann wieder das Problem, dass du ins Gastnetz keine Portweiterleitungen setzen kannst. Somit bliebe nur QuickConnect

 

[mördock]

Ganz doofe Frage: muss die Backup DS bei einem Freund stehen?
Ich habe meine bei der Verwandschaft stehen, da haben beide Seiten mehr Vertrauen zueinander.
Im persönlichen Gespräch das Vorhaben genau erläutern und immer nur nach Rücksprache ins Netzwerk "eindringen". Das verhindert so komische Rückfragen wie: warst du gestern bei mir im Netz? Die DS hat so gerattert...... das Internet war so langsam.....

 

[Gulliver]

mehr Vertrauen zueinander.

Gute Frage. Es geht weniger um Misstrauen, dass ich in seinem Netz was unerwünschtes tun könnte noch darum, dass er willentlich was mit meiner DS anstellt. Ich möchte aber meine DS nicht dem möglichen Zugriff fremder, evtl korrumpierter Geräte überantworten noch riskieren, dass von meinem Netz etwas zu ihm übergreift.
Ich bin zwar vorsichtig und bemüht und habe etwas Ahnung, aber es wäre hochmütig zu meinen, dass ich für ausreichende Sicherheit garantieren könnte. Daher das Streben nach einer abgeschotteten Umgebung. Wohl wissend, dass es keine 100%ige Sicherheit gibt.

 

[curt]

@curt Die 4040 bekommt auch Fritz!OS 7.50 und ist somit wireguard-fähig. Meine 7362SL bei mir zuhause aber nicht. Könnte vermutlich auch über einen Raspi gelöst werden - aber aus grundsätzlichen Erwägungen soll ja keine LAN-LAN-Kopplung bestehen.

Ist Dein Wunsch nach Sicherheit dann nicht etwas entgegengesetzt zu deiner alten FritzBox daheim?

Ich weiß nicht, ob es möglich wäre eine zweite Fritzbox hinter deinen Router zu stellen, dort Wireguard, diesen dann an eine den zweiten Port des NAS + Zeitschaltuhr.

 

[Gulliver]

Ist Dein Wunsch nach Sicherheit dann nicht etwas entgegengesetzt zu deiner alten FritzBox daheim

Naja, sie ist second router hinter dem Glasfaserrouter des Providers und es gibt nur eine Portweiterleitung durch beide zum Raspi/pivpn. Denke nicht, dass mir hier aktuell Ungemach droht. Brauche sie noch für meine Dect-Thermostate (kann die 4040 nämlich nicht). Da ich im Sommer umziehen werde, wird das Netz bald insgesamt neu aufgesetzt. Dann wird die FB von einer OPNSense ersetzt und es wird dann auch Unterteilungen mit VLANs geben.