Hyper Backup Keine Verbindung in HyperBackup auf Remote NAS bei side-by-side Netzwerken

[DonDinero]

Den Ping-Check kann/werde ich morgen früh vor Ort testen. Morgen habe ich außerdem die Möglichkeit, beide NAS in einem gemeinsamen LAN zu betreiben. So lässt sich das Problem eventuell weiter eingrenzen. Außerdem booten die beiden NAS heute Nacht nochmal neu. Vielleicht bringt das noch was.

Die beiden NAS sind im VPN zugelassen. Andernfalls hätte ich keinen Zugriff auf den entfernten NAS via Browser/Explorer.

Beide NAS heißen in DSM diskstation. Das könnte ich mal noch ändern (zB in diskstation1 und diskstation2), sollte aber keine Rolle spielen. In den Fritzboxen sind die beiden NAS jeweils mit ihrer IP benannt, nach dem Schema 192-168-1-123 bzw. 192-168-2-123. Wie zu erwarten entspricht die IP laut Fritzbox der im DSM statisch eingestellten IP.

 

[EDvonSchleck]

Nutzt du bei der Übertragung ein Zertifikat? Hypberbackup Vault hat anscheinend Probleme mit einem ECC-Zertifikat und benötigt ein RSA-Zertifikat.

 

[DonDinero]

Das standardmäßige Synology-Zertifikat (Systemsteuerung > Sicherheit > Zertifikat) auf dem Ziel-NAS ist tatsächlich abgelaufen. Könnte das das Problem sein?

 

[plang.pl]

Versuch doch erst mal eine Verbindung ohne Verschlüsselung (ohne Zertifikate)

 

[DonDinero]

Habe ich ja --> Ok, d.h. am Zertifikat liegts nicht.

 

[Adama]

- rsync aktiviert

Noch ein Hinweis: Wenn du Hyper Backup Vault benutzt, brauchst du rsync nicht zu aktivieren.

Ich denke aber nicht, dass das was mit deinem Problem zu tun hat.

 

[DonDinero]

Danke für den Hinweis. Rsync hatte ich aktiviert, um zu testen, ob ich mit einem rsync-Auftrag einen Backup-Job einrichten kann.

Zurück zum Thema:
Tatsächlich kann ich vom lokalen NAS aus Geräte im entfernten LAN (d.h. auch die entfernte NAS) nicht anpingen. Das Anpingen habe ich direkt über eine Aufgabe im DSM gemacht (Forumseintrag).

Auszug aus dem Log-File:
From xxx.xxx.xxx.xxx [öffentliche IP des Routers Site A] icmp_seq=4 Packet filtered
--- ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 5ms

Sprich, der Zugriff auf den entfernten NAS scheint schon vom Router im lokalen Netzwerk verhindert zu werden.

 

[EDvonSchleck]

Firewall für den Backupdienst eingestellt?

 

[plang.pl]

Du musst ja auch die lokale IP des NAS der Gegenstelle nehmen und nicht die öffentliche des Routers. Ansonsten wird das nicht über den VPN geroutet

 

[Adama]

Steinigt mich nicht, wenn das falsch sein sollte: Aber muss er vielleicht eine statische Route einrichten?

 

[DonDinero]

Du musst ja auch die lokale IP des NAS der Gegenstelle nehmen und nicht die öffentliche des Routers. Ansonsten wird das nicht über den VPN geroutet

Schon klar. Aber die Rückmeldung, dass kein Ping durchging kam nicht von der angepingten Gegenstelle sondern von der öffentlichen IP des lokalen Routers.

 

[EDvonSchleck]

Eigentlich nur die 2. IP-Bereich in der Firewall hinterlegen.

 

[plang.pl]

Aber muss er vielleicht eine statische Route einrichten?

Nein

sondern von der öffentlichen IP des lokalen Routers.

Verstehe ich nicht

 

[DonDinero]

--- SOLVED ---

Fehler gefunden: Der Log-File vom Ping-Test hat mich letztlich auf die richtige Fährte gebracht: Der Router hat die IP des lokalen NAS für die site-2-site-VPN-Verbindung geblockt. Nachdem diese IP freigeschaltet war, gings. Stupide einfach.

Um's mal zusammenzufassen:
- HyperBackup und HyperbackupVault sollte auf den betroffenen NAS installiert sein
- Benutzer muss die entsprechenden Rechte haben
- Unterschiedliche DSM-Versionen machen kein Problem (in diesem Fall 6.2 auf dem remote NAS und 7 auf dem lokalen NAS)
- Rsync muss nicht aktiviert sein
- Abgelaufenes Zertifikat auf dem Ziel-NAS ist kein Problem
- DSM-Firewall ist in diesem Fall nicht aktiviert
- Einträge auf der Freigabeliste unter DSM > Systemsteuerung > Sicherheit > Schutz waren nicht notwendig
- Ping von Synology NAS zu entfernten Geräten kann einfach über die Aufgabenplanung durchgeführt werden (LINK)
- IPs der betroffenen NAS müssen für die site-2-site-VPN-Verbindung freigeschaltet sein (wenn eine Black-/Whitelist existiert)
- Routing-Einträge sind nicht notwendig

Danke für eure Hilfe!

--- CLOSED ---

 

[Rotbart]

#18

 

[DonDinero]

#18

Mea culpa

In beiden Router sind mehrere site2site-Verbindungen eingerichtet. Ich hab's tatsächlich übersehen.