NAS 2 NAS Backup über's Internet

[dennip]

Hallo Synos,

ich habe die heimische Location mit DS116 und die elterliche mit DS216j ausgestattet.
Beide Diskstation sollen nun einmal wöchentlich das jeweils lokale Backup übers Internet auf die andere Diskstation schieben.

Da beide nur Backup Funktionen erfüllen, möchte ich sie nicht für's Internet öffnen.

Im Grundgedanken dachte ich an eine VPN Verbindung.

Wie richte ich diese ein, so dass die Diskstations sich gegenseitig sichern können, aber weiterhin im jeweiligen lokalen Netz zur Verfügung stehen?

Danke!

 

[servilianus]

Indem Du, wie Du es ja schon angedacht hast, eine VPN-Verbindung herstellst: Ich präferiere eine VPN-Verbindung zwischen Router und Router, nicht eine VPN-Verbindung, die die Synos aufspannen. Und dann gilt es festzulegen, ob die VPN-Verbindung ständig steht (Lan-Lan-Kopplung), oder nur (manuell) aufgemacht wird, wenn die Sicherung erfolgt.

 

[Perry2000]

Wenn es nur ums sichern geht, kannst Du das von Syno zu Syno machen.
Läuft bei mir seit Jahren problemlos.
Die Ziel Syno, welche die Sicherung empfängt bootet ca. 5 Minuten vor der Sicherung und verbindet per VPN auf die Quelle. Nach der Sicherung fährt die Ziel Syno wieder herunter und die Verbindung ist getrennt. So springt auch keine Verschlüsselung oder sowas auf die Sicherung über.

 

[dennip]

Schon mal danke euch beiden.

Verständnisfragen bleiben:
@serv: Wenn ich eine Verbindung Router zu Router aufbaue, dann leite ich ja den gesamten Internetverkehr gleich mit. Das würde ich gerne vermeide,
@Perry: Syno2Syno VPN würde das ja ausschließen. Aber da die Backupzielsyno ja weiterhin an der externen Location für dortige lokale Nutzer erreichbar bleiben soll, wäre sie ja weiterhin "offen" zum Internet.

Korrekt?

 

[mavFG]

wieso leitest du den ganzen Verkehr mit??
Beide Router haben einen unterschiedlichen Adressbereich. Der Zugriff ist jedoch ähnlich wie beim gleichen Netzwerk.
Die Idee von Perry wird nicht funktionieren, da die DS ja laufen sollen.
Das einfachste ist über QuickConnect. Damit kannst du via Hyperbackup, Synchronisation gemeinsamer Ordner oder Cloud Station Share Sync die Daten sichern.
Hyperbackup macht das zusätzlich verschlüsselt. So sichere ich diverse Daten zwischen meiner DS zu Hause und der DS im Garten (35km weiter).
Wenn an beiden Standorten eine Fritzbox im Einsatz ist, dann ist es relativ einfach, nen VPN laufen zu lassen. (Damit habe ich 4 Standorte vernetzt)

 

[Perry2000]

@Perry: Syno2Syno VPN würde das ja ausschließen. Aber da die Backupzielsyno ja weiterhin an der externen Location für dortige lokale Nutzer erreichbar bleiben soll, wäre sie ja weiterhin "offen" zum Internet.

Korrekt?

Die Frage ist was Du auf der Backupzielsyno machst?
Meine ist ausschliesslich fürs Backup und läuft auch nur dann wenn es was zu sichern gibt.
Du kannst aber problemlos auch noch eine https Verbindung nach draussen freigeben. Die Frage ist wieso Du (oder die Nutzer) nicht auch gleich per VPN drauf gehen. Die VPN Verbindung kann ja auch dauerhaft sein wenn beide Synos immer laufen. Nur besteht dann das Risiko das ein schlaues Programm von einer Syno zur anderen springt und Schaden anrichten kann.
Daher läuft meine Sicherungs DS nur nachts wenn keine Daten von Rechnern darauf zugreifen. So minimiere ich die Gefahr.

 

[servilianus]

Bei einer stehenden Lan-Lan-Kopplung (Router-zu-Router) wird der gesamte IP-Verkehr nicht mitübertragen. (es sei denn, man stellt es explizit so ein). Bei FBen, so wie mavFG es beschreibt, ist es in der Tat ganz simpel, sowas zu installieren. So habe ich das gemacht: Eine ständige VPN-Verbindung zwischen einer entfernten FB und meiner Heim-FB, auf die entfernte FB können sich User/Nutzer dann zusätzlich noch, wenn gewünscht, manuell per VPN (Smartphone) einwählen um auf die dortige Syno zu kommen, wenn sie nicht im lokalen Netz sind.

 

[mavFG]

Meine ist ausschliesslich fürs Backup und läuft auch nur dann wenn es was zu sichern gibt.
Daher läuft meine Sicherungs DS nur nachts wenn keine Daten von Rechnern darauf zugreifen. So minimiere ich die Gefahr.

So wie er es schreibt, nutzt er beide DS ganz normal.
Nicht wie du und ich als Backupsyno.
Daher macht es ja aus meiner Sicht mehr Sinn, beide ins QuickConnect zu bringen. VPN wäre auch ok, jedoch haben dann seine Eltern Zugriff auf sein Netzwerk und umgekehrt. Ob das gewünscht ist, weiß ich nicht.

 

[servilianus]

Ich würds in der Tat auch nicht unnötig verkomplizieren, für einen Sicherungsjob: Starkes Passwort bzw. Konto nur für den Sicherungsjob, Datenübertragung verschlüsselt, Sicherungsordner verschlüsselt, Portfreigabe nur für den Hyperbackup-Port 6281...

 

[Perry2000]

Niemand hat Zugriff auf sein Netzwerk. Nur die DS hat Zugriff auf die andere DS.
Zugriff aufs Netzwerk hat man nur mit Router zu Router VPN und Freigabe aufs Netz ;-)
Mit QC sollte das auch gehen. Habe ich nie probiert, da ich nicht unbedingt über "Dritte" meine Daten senden möchte.

 

[mavFG]

Ich rede auch von der VPN Router zu Router
Das Thema DS VPN war eigentlich schon durch, wenn beide DS ständig online sind..

 

[Perry2000]

Ach so. Wir sprechen aneinander vorbei
DS VPN geht aber auch dauerhaft ;-)
Wenn ich eine manuelle Sicherung meiner grossen DS auf die Sicherungs DS mache, dauert das schon mal ein paar Tage. VPN läuft dann halt durch und ich trenne danach die Verbindung manuell wieder. Die normale Sicherung der anderen DS läuft wie gewohnt jede Nacht und wird als 2ter VPN Nutzer aufgebaut.

 

[dennip]

wieso leitest du den ganzen Verkehr mit??

Aus dem Gedankengang: logge ich mich von unterwegs in mein Netzwerk mittels VPN ein, tunnel ich den gesamten Datenverkehr.
Ich vermute, der VPN Server lässt sich so konfigurieren, dass er nur lokale Anfragen übernimmt und alles andere nicht tunnelt?

Die Frage ist was Du auf der Backupzielsyno machst?

Beschreiben wir es so: Zwei Haushalte. Zwei Synos. Beide spielen ihr Backup auf die lokale Syno.
Ziel jetzt: Ein gegenseitiges Offsite Backup im jeweils anderen Haushalt. Und zwar automatisiert.

So wie er es schreibt, nutzt er beide DS ganz normal.
Daher macht es ja aus meiner Sicht mehr Sinn, beide ins QuickConnect zu bringen.
VPN wäre auch ok, jedoch haben dann seine Eltern Zugriff auf sein Netzwerk und umgekehrt. Ob das gewünscht ist, weiß ich nicht.

Das klingt nach der praktikabelsten Lösung.

 

[mavFG]

Aus dem Gedankengang: logge ich mich von unterwegs in mein Netzwerk mittels VPN ein, Tunnel ich den gesamten Datenverkehr.

Sicher, das ist ja Sinn und Zweck eines VPN. Allerdings nur den Datenverkehr, den du zwischen "Unterwegs" und dem Netzwerk brauchst. Gehst du Unterwegs auf eine andere Seite, z.B. Youtube, dann hat das nix mit deinem VPN zu tun.
Wir reden hier NUR von der Fritzbox VPN, nicht von VPN Anbietern.

Was meinst du mit Offsite Backup?
Eine Lokale Syno setzt vorraus, das ihr im beiden Netzwerk seit

Du willst sicher, das die DS 1 per Internet auf der DS 2 ein Backup macht und DS 2 ein Backup auf der DS 1, Achte darauf, das die jeweiligen Backups nicht mit gesichert werden, andernfalls hast du bald ein Speicherproblem.
Mach das ganze mit Quickconnect, wahlweise Nachts, verschlüssel und kompriemiere die Dateien (Einstellungen in HayperBackup und lass die Backup gleich prüfen. Kann man alles automatisch einstellen.) Achte aber darauf, das die Aufgaben NACHEINANDER gemacht werden. Sonnst könnte ein Job abbrechen. Das erstmal dauert etwas, danach werden nur veränderte Dateien geschrieben/gelöscht. Du kanst auch Versionisierungen anlegen und für den gesicherten Ordner noch nen Papierkorb anlegen, falls mal was versehentlich gelöscht wird.
Wichtig: machst du keine Versionierung, dann ist es kein Backup! Löschst du versehntlich eine Datei und bemerkst es erst nach dem Backup, ist sie auch in der Sicherung weg.
Bei Hayper Backup empfehle ich auch den Hyper Backup Desktop, da kannst du sehr schön die gesicherten Datein sehen und gegebenfalls einzeln herstellen

 

[dennip]

Was meinst du mit Offsite Backup?

An einem anderen Ort ("off site").

Du willst sicher, das die DS 1 per Internet auf der DS 2 ein Backup macht und DS 2 ein Backup auf der DS 1

Korrekt. In beiden Fällen liegt auf dem NAS das verschlüsselte TimeMachine Backup, das durch diese Aktion zusätzlich räumlich gesichert werden soll.

 

[thomasmagnum]

Hallo zusammen,

da ich ein ähnlich gelagerten Wunsch habe und vor ca. einem Jahr gescheitert war, hänge ich mich hier mal mit ran und schreibe was ich suche, evtl. können ja Lösungen gefunden werden die mehr gebrauchen können.

Mein Wunsch:
An zwei verschiedenen Standorten stehen zwei unabhängige DS die in der Regel 24x7 laufen. Ich möchte nun geweisse Daten per Hyper Backup oder Ultimate Backup von einer DS auf die andere sichern. Dies soll aber ausschließlich über eine VPN geschehen welches automatisiert kurz vor der Sicherung aufgebaut wird und nach Abschluß der Sicherung wieder automatisch abgebaut wird. Ob dieses VPN via DS aufgebaut wird oder aber direkt zwischen den Routern ist nebensächlich.
Beide Lokationen nutzen eine Fritz!Box als Router. Quick Connect möchte ich nicht einsetzen.
Das manuelle Herstellen einer VPN Verbindung ist kein Problem (weder per DS, noch per Fritz!Box) und auch der Backup Job (aktuell HyperBackup) läuft ohne Probleme. Was ich nun suche ist eine Möglichkeit bespielsweise das VPN von Fritz!Box zu Fritz!Box automatisch per z.B. TR-064 auf- und abzubauen, konnte aber hierzu nichts finden.

Zum VPN Aufbau DS zu DS habe ich unter: >Klick< etwas gefunden, das läuft aber nur nach Zeitplan und nicht über ander Abhängigkeiten (z.B. Backup-Job beendet)

Kann mir hier irgendwer noch weitere Möglichkeiten / Ideeen aufzeigen wie ich die VPN Verbindung automatisch auf- bzw. abbauen kann?

Vielen Dank schonmal vorab für Eure Hilfe!

Gruß, Thomas

 

[dennip]

@thomasmagnus und, fündig geworden?
das wäre im idealfall mein bestes setup.
aktuell hängen beide mit dyndns adressen aneinander.
zugriff auf das syno interface und andere dienste sind nur für das interne netzwerk freigegeben. sprich: außer hyperbackup und vault auf individuellen ports sowie ein vpn server sind keine weitere ports nach außen geöfnet. ideal wäre für mich aber das task-gesteuerte auf- und abbauen einer ds-2-ds vpn verbindung, um die sonst nicht weiter verwendeten systeme nur bei bedarf im netzwerk zu haben.

 

[thomasmagnum]

Hallo dennip,

meine "Idealvorstellung" konnte ich nicht umsetzen, da fehlt mir leider das Wissen.
Ich habe aber eine Lösung gefunden die meinen Ansprüchen gerecht wird.

Da an beiden Standorten eine Fritz.Box vorhanden ist lass ich diese das VPN aufbauen. Das geschieht automatisch sobald auf die entfernre IP zugegeriffen wird. Das Backup kann dann ohne Probleme laufen. EIne Stunde nachdem kein Zugriff mehr in das entfernte Netz erfolgt, baut suich das VPN automatisch wieder ab.Das läuft jetzt seit etwa 6 Wochen ohne Probleme.

Infos zum VPN: https://avm.de/service/fritzbox/fritzbox-7590/wissensdatenbank/publication/show/5_VPN-Verbindung-zwischen-zwei-FRITZ-Box-Netzwerken-einrichten/

Gruß, Thomas

 

[dennip]

Danke. Ist das Aufbau- und Trennungsfeature ein Ding der Fritzbox? oder geht das auch mit fritzbox und syno ds vpn server?
Ich habe in meinem Setup nur eine hier. Evtl. lohnt sich ja die Umstellung.

 

[thomasmagnum]

Ja, die VPN Verbindung wird automatisch von der FritzBox aufgebaut und nach eben einer STunde Inaktivität wieder abgebaut.
Details zum EInrichten findest du oben im Link.

Auf dem VPN Portal von AVM sind auch andere Verbindungen beschrieben, könnte allso auch so gehen. Schau mal hier: https://avm.de/service/vpn/tipps-tricks/
Sofern die Fritzbox die Verbindung aufbaut wird diese scheinbar immer nach einer Stunde Inaktivität abgebaut. Auf der Synology kann man ja ebenfalls IPSec Verbindungen einrichten, könnte also gehen.