Hyper Backup Hyper BackUp auf Offsite NAS mit Zyxel Router

[flox1024]

Hallo zusammen,

ich möchte meine DS414 auf die Offsite-DS224+ meiner Eltern Backupen.
Und ebenso wäre es sinnvoll, die DS224+ meiner Eltern auf meine DS414 zu sichern.

Router meiner Eltern: Zyxel Speedlink 6501
Mein Router: Fritzbox 7690

Da ich von Netzwerktechnologie keine Ahnung habe, konnte ich durch lesen und Videos bisher folgendes Herausfinden:

• VPN-Server auf dem BackUp-Ziel einrichten (hier gibt es ja auch Meinungen, dass der VPN lieber vom Router gehostet werden soll, ich möchte es aber als ersten Schritt mit dem VPN-Server auf der NAS versuchen, damit ich das mal gemacht habe)
  • Portnummer zu 4914 abgeändert
  • Protokoll: UDP
• Hyper-BackUp-Vault auf Ziel-NAS einrichten
• DDNS auf Ziel-NAS einrichten (hab ich über den Dienst von Synology gemacht XYZ.synology.me)
• Port im Router freigeben

Als erstes gehen ich das Backup meiner DS414 auf die Offsite-DS224+ meiner Eltern mit dem Zyxel Router davor an.
Dort muss ich den Port 4914 für den VPN-Server weiterleiten, weiß aber nicht, welche "Anwendung" ich wählen soll (siehe Screenshot). Und muss ich die 4914 dann sowohl bei LAN-Port oder nur bei "Öffentlicher Port" im Router eintragen?




Danke für eure Hilfe im Voraus - ich versuche mich langsam durch die Stromschnellen der Netzwerktechnologie zu navigieren. Bis jetzt ist das meiste aber schwer verständlich für mich. Bin daher um jede Unterstützung froh!

VG
flox

 

[Hagen2000]

Ich denke, dass die Auswahl einer bestimmten Anwendung einfach die Portnummern vorbelegt. Man sieht ja in deinem Bild, dass Du gerade DNS markiert hast und das nutzt Port 53. Im Rest der Liste gibt es keinen Punkt „benutzerdefiniert“ o.ä.?

Da du die Portnummer auf dem NAS schon geändert hast, machst Du auf dem Router einfach eine 1:1-Umsetzung, das ist ohnehin besser, falls Du IPv6 benutzen musst, da geht es nämlich gar nicht anders.

 

[flox1024]

Hallo Hagen,
danke für deine Antwort.

Ein "benutzerdefiniert" oder "Andere Anwendung" o.ä. gibt es nicht.
Ich habe das Feld nun einfach leer gelassen und es hat geklappt.

Was meinst du mit 1:1-Umsetzung und was hat das mit IPv6 zu tun? Ich kenne in der Praxis den Unterschied zwischen IPv4 und IPv6 nicht, daher habe ich (wie oben im Screenshot ersichtlich) einfach IPv4 angehakt gelassen...

 

[flox1024]

In der Zwischenzeit habe ich das Vorhaben mal andersrum versucht umzusetzen - sprich von der DS224+ meiner Eltern auf meine DS414. Hat leider nicht geklappt. Fehlermeldung von Hyperbackup siehe hier:



Mein Vorgehen:

1. DDNS bei Ziel-NAS erstellt in Systemsteueurng > Externer Zugriff > DDNS (Synology als Anbieter, sodass ich nun den Hostname XYZ.synology.me habe)
2. VPN-Server auf der Ziel-NAS DS414 erstellt (openVPN, Port 4914, Protokoll UDP)
3. Konfig-Datei exportiert und DDNS der Ziel-NAS reingeschrieben (Portnummer 4914 stand schon drin)
4. Portweiterleitung bei meiner Fritzbox 7690 für den Port 4914
   
5. VPN-Verbindung auf Quellen-NAS zum VPN-Server auf der Ziel-NAS hergestellt: Dies scheint geklappt zu haben, da auf der Quellen NAS beim VPN Tunnel "Verbunden" steht (siehe erster Screenshot) und bei der Ziel-NAS (die den VPN-Server hostet) "Aktuelle Verbindungen: 1" steht (siehe zweiter Screenshot)
   
6. Hyper Backup Vault auf Ziel-NAS installiert und das Programm geöffnet gelassen (in der Fehlermeldung oben steht bei Punkt 2, dass Vault ausgeführt werden sollte)
7. Aufgabe in Hyper BackUp auf Quellen-NAS zu einem "Remote-NAS-Gerät" eingerichtet, wobei ich als Servername den auf der Ziel-NAS erstellten DDNS-Hostname XYZ.synology.me eingegeben habe.
   
8. Klicke ich auf "Anmelden", erscheint die Fehlermeldung des ersten Screenshots in meinem Post.

Meine Frage:

• Wo liegt mein Fehler?
• Ist das Hostname XYZ.synology.me der richtige für das Feld "Servername oder IP-Adresse"?
  
• Habe ich etwas vergessen freizugeben oder eine Berechtigung zu erteilen?

Als Test habe ich es auch mal anders rum versucht, sprich Ziel- und Quell-NAS vertauscht (Port in dem Zyxel-Router wie anfangs im Thread beschrieben freigegeben). Dort konnte ich keinen VPN-Server via openVPN mehr aufsetzen, ohne die bereits bestehende Verbindung zu trennen. Das klingt für mich aber irgendwie logisch, weil ein zweiter Tunnel zwischen den beiden NAS (nur diesmal "andersrum", von Quelle zu Ziel anstatt von Ziel zu Quelle tunneln) keinen wirklich Sinn machen würde. Sehe ich das richtig?

Für für jede Hilfe dankbar, habe heute knapp 6 Stunden Zeit damit versemmelt

 

[Hagen2000]

Wo liegt mein Fehler?

Du musst als Servername nicht den DDNS-Namen angeben, denn das ist ja der VPN-Endpunkt. Du willst ja nun durch den Tunnel hindurch, d.h. dort musst Du die LAN-IP-Adresse des Ziel-NAS eingeben, also etwa 192.168.178.x.

 

[flox1024]

Leider klappt das auch nicht. Fehlermeldung ist die gleiche.

Die benötigte LAN-IP-Adresse des Ziel-NAS ist schon die, die ich oben in der Browserzeile eingebe/sehe, oder (siehe gelber Marker im Screenshot)?


Meine Eingaben bei Hyper BackUp sehen so aus:

 

[flox1024]

Muss ich bei der Fritzbox (Screenshot siehe drei Posts davor) einen Haken bei "selbstständige Portfreigabe" setzen?

 

[Hagen2000]

Nein, Du brauchst keine weiteren Portfreigaben, da du über VPN sowieso alle Ports erreichen kannst. Die Funktion wird außerdem als kritisch angesehen, daher sollte man sie ohnehin besser nicht verwenden.
Wenn ich das richtig sehe, dann kannst Du ja über VPN auf die DSM-Oberfläche deines eigenen NAS zugreifen? Somit sollte VPN-mäßig eigentlich alles klar sein. Und die IP-Adresse sollte dann stimmen.
Hyper Backup Vault habe ich selbst noch nicht benutzt, da müssen dir vielleicht andere hier helfen.
Dass Du die GUI von HBV öffnen musst, halte ich allerdings für überflüssig. Es sollte m.E. reichen, wenn das Paket installiert ist. Im Paketzentrum steht dann ja „wird ausgeführt“.
Schau mal bei Synology, ob du dort noch Hinweise zum Backup von einem NAS auf ein zweites findest: https://www.synology.com/de-de/dsm/feature/hyper_backup bzw. dort in der Knowledge Base.

 

[flox1024]

Hm das mit dem Zugreifen auf die DSM-Oberfläche über den von mir eingerichteten VPN habe ich noch nicht direkt getestet. Es zeigt lediglich an der einen NAS an, dass ich Verbunden bin und auf der anderen NAS, dass eine Verbindung besteht. Ich ging daher davon aus, dass es passt.

Zum Testen müsste ich openVPN auf meinem Laptop einrichten, vom Laptop über die oben bereits beschriebene Konfig-Datei zum VPN-Server meiner NAS tunneln, dem Laptop einen Hotspot von meinem Handy aus geben (damit ich nicht in meinem eigenen Netzwerk bin) und dann die IP 192.168.178.20 in meinen Browser eingeben.
Wenn ich dann auf die DSM Anmeldemaske komme, passt alles, oder?

Oder gibt es einen elganteren weg zum Testen?

 

[Hagen2000]

Ja, das würde gehen, ist aber natürlich etwas aufwändig. Ich hatte nicht bedacht, dass der VPN-Tunnel ja direkt zwischen den beiden NAS' besteht. Außerdem würdest Du damit im Grunde genommen einen anderen Tunnel testen.

Falls Du mit dem SSH-Zugang vertraut bist, könntest Du dich auf dem NAS deiner Eltern einloggen und dann mit ping 192.168.178.20 dein NAS anpingen oder mit ssh benutzername@192.168.178.20 auf deinem NAS einloggen.

Oder man richtet auf dem Laptop eine Route ein. Beispiel aus dem LAN deiner Eltern (in einer Eingabeaufforderung eingeben):
route add 192.168.178.0 mask 255.255.255.0 192.168.2.137
Das setzt allerdings voraus, dass dein Tunnel so konfiguriert ist, dass auch angeschlossene Geräte aus dem lokalen Netz ihn benutzen dürfen.

Ansonsten müsstest Du die VPN-Tunnel-Konfiguration mal etwas genauer beschreiben. Diese sollte eigentlich als Verbindung zwischen den Netzen 192.168.178.0 und 192.168.2.0 eingerichtet worden sein.

Edit: Ich gehe momentan davon aus, dass die Firewalls auf den beiden NAS deaktiviert sind bzw. die Kommunikation über die VPN-Verbindung nicht blockieren.

 

[Hagen2000]

Das klingt für mich aber irgendwie logisch, weil ein zweiter Tunnel zwischen den beiden NAS (nur diesmal "andersrum", von Quelle zu Ziel anstatt von Ziel zu Quelle tunneln) keinen wirklich Sinn machen würde. Sehe ich das richtig?

Ja, denn dann wäre das Routing nicht mehr eindeutig. Im Grunde reicht, es den Tunnel von einer Seite aus aufzubauen, Du kannst durch den Tunnel ja in beide Richtungen kommunizieren. Für eine endgültige Lösung würde ich empfehlen, dass der Tunnel nur von einer Seite aus aufgebaut wird und dann einfach als dauerhafte Verbindung konfiguriert wird.

 

[flox1024]

Hallo Hagen, danke für deinen Input. Aktuell noch leider erfolglos
Die Fehlermeldung ist die Gleiche.

Genau, der VPN-Tunnel steht direkt zwischen den NAS-Geräten.
Firewalls sind auf beiden NAS-Geräten deaktiviert (ist die Standardeinstellung)

Habe nun ein bisschen zum SSH-Zugang gegoogelt und denke ich erfolgreich die Verbindung von meiner NAS zur NAS meiner Eltern aufgebaut. Mein Vorgehen dabei war folgendes (siehe auch Screenshot unten):

1. Auf meiner NAS in der Systemsteuerung > Terminal & SNMP über den Haken SSH-Dienst aktiviert
2. Windows Powershell geöffnet und mich über

   ssh benutzername@192.168.178.20

   bei meiner NAS angemeldet
3. Über den Befehl

   sudo Ping 10.8.0.6

   die NAS meiner Eltern erfolgreich angepingt: alle 28 Pakete sind angekommen)
   Die IP-Adresse habe ich in der NAS meiner Eltern bei Systemsteuerung > Netzwerk > Netzwerkschnittstelle abgelesen (siehe gelber Marker im Screenshot)
   
4. über Strg+C den Befehl wieder abgebrochen
5. über

   exit

   die SSH-Verbindung getrennt (bevor ich Laie noch etwas aus versehen kaputt mache )

@hagen111:

• ich denke der VPN-Tunnel funktioniert also, oder?
• Zwischen welchen Netzen er steht, kann ich nicht genau sagen. Die IP meiner NAS ist 192.168.178.20 (in meinem Heimnetzwerk) und die meiner Eltern ist 192.168.2.137 (in deren Heimnetzwerk). Ich habe die NAS meiner Eltern über den Tunnel ja mit der 10.8.0.6 addressiert.
  Ist das dann die IP der NAS meiner Eltern in dem von mir aufgesetzen Virtuellen, Privaten Netzwerk (VPN)?
• Ich würde der Vollständigkeit halber auch gerne die Verbindung des Tunnels mal andersrum testen, sprich vom Netzwerk meiner Eltern aus via deren NAS "rückwärts" über den VPN-Tunnel meine NAS anpingen. Ich weiß allerdings nicht, welche IP-Adresse ich dafür benutzen muss.
  Wie bzw. wo kann ich das herausfinden?

 

[flox1024]

Eine weitere Frage hat sich gestern Nacht noch ergeben:
Auf der Synology Knowledge Center Seite habe Infos zu Portfreigaben gefunden, die nötig sind, wenn Quell- und Zielserver nicht im gleichen Netzwerk sind (also mein Fall, siehe Screenshot).

Ich möchte HyperBackUp (Vault) benutzen, habe allerdings keinen der Ports 5000, 5001 und 6281 im Router freigegeben. Lediglich den von mir eingestellten Port 4914 für den VPN-Tunnel.

Meine Frage: Muss ich nun diese drei Ports zusätzlich im Router freigeben, wenn ich via Hyper Backup (Quellserver) auf Hyperbackup Vault (Zielserver) sichern möchte?

Da ich mich nicht auskenne, möchte ich nicht vogelwild irgendwelche Ports freigeben uns Sicherheitslücken schaffen. Gerade von HTTP (Port 5000) habe ich oft gelesen, dass er unsicher sei...

 

[Hagen2000]

Der Tunnel funktioniert prinzipiell, das ist schon mal gut.

Die 10.8.0-er IP-Adressen sind im sogenannten Transfernetz des VPN-Tunnels, da müsstest Du bei der VPN-Verbindung auf deinem NAS auch eine Adresse finden also 10.8.0.x. Aber eigentlich dienen die nicht zur Kommunikation für dich.

Wenn Du dich nochmal über Powershell auf deinem NAS anmeldest (wie gerade eben), solltest Du vom NAS aus den ping auf die Adresse 192.168.2.137 probieren. Der muss auch gehen.
Und umgekehrt: Wenn Du dich auf dem NAS deiner Eltern per SSH anmeldest, dann muss von dort einerseits deine IP im Transfernetz, aber auch die LAN-IP 192.168.178.20 deines NAS angepingt werden können (das meinte ich eigentlich ursprünglich mit meinem Vorschlag in #10).

Die Zusatzfrage zu den Portfreigaben hatte ich in #8 schon beantwortet. Der Synology-Artikel bezieht sich m.E. auf ein Szenario ohne VPN.

 

[Hagen2000]

Zwischen welchen Netzen er steht, kann ich nicht genau sagen.

Das wäre aber schon wichtig und sollte doch in der OpenVPN-Konfigurationsdatei stehen!

 

[flox1024]

Die 192.168.2.137 kann ich nicht erreichen mit der ping-Funktion, die 10.8.0.6 allerdings schon (von meiner NAS auf die meiner Eltern gepingt, siehe Screenshot). Ist hier der Fehler irgendwo?




In der In der OpenVPN-Konfig-Datei sehe ich keine Netze beschrieben (also ich sehe ich keine IP-Adresse, nur meine DDNS von meiner NAS, die den VPN Server Hostet.)
Ggf. habe ich bei meiner NAS (dem Host des VPN Servers) auch Einstellungen falsch gewählt. Passen hier Zertifikat etc.?

 

[Hagen2000]

Schaut okay aus. Von Zertifikaten sehe ich da nix, aber in der Regeln arbeitet OpenVPN ja mit eigenen Zertifikaten und wenn die nicht stimmen würden, würde der Tunnel nicht funktionieren.
Im Moment ist der Tunnel von deinen Eltern zu Dir aufgebaut - richtig?

 

[flox1024]

Nein andersrum: der Tunnel geht aktuell von mir zu meinen Eltern.

 

[flox1024]

Soll ich dir einen Auszug der Konfig-Datei zeigen oder kann ich dir irgendwelche anderen Info noch geben?

Danke auf alle Fälle schonmal für deine Geduld - das weiß ich sehr zu schätzen!

 

[Hagen2000]

Ja zeig mal die Konfiguration. Und log dich nochmal auf deinem NAS ein und mach einen sudo route -n. Öffentliche IP-Adressen kannst Du schwärzen.
Der OpenVPN-Server bei deinen Eltern ist gleich konfiguriert?
Vielleicht solltest Du den bei dir erst mal deaktivieren und wir konzentrieren uns auf die Verbindung von dir zu deinen Eltern.