Ran an 3-2-1 - nur wie?

sedi

Benutzer
Mitglied seit
21. Jan 2017
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Hallo zusammen,

ich stehe vor der Aufgabe mein Heimnetzwerk so gut es eben geht abzusichern. Selbstverständlich habe ich dazu schon einiges gelesen, natürlich auch hier im Forum, muss aber gestehen, dass mir die Flut an Informationen ein sehr unangenehmes Gefühl der Unwissenheit beschert hat :(
Aus diesem Grunde wende ich mich nun an Euch und hoffe, dass ihr mir da wertvolle Tipps zukommen lassen könnt und ich so idealerweise Schritt für Schritt zu einer befriedigenden Lösung gelange.

Unsere aktuelle Situation:
  • Unser Heimnetz umfasst einige PCs, bestückt mit allem was es so gibt (MacOS, Windows, Linux).
  • Unsere 916+ (effektiver Speicherplatz 5 TB, im folgenden NAS1 genannt) ist das Datengrab.
  • Jede Datensicherung läuft über ein Backupscript, das beim Herunterfahren eines Rechners gestartet wird (auf rsync-Basis)
  • Für den Datenaustausch wurden am NAS1 Freigaben eingerichtet.
  • Von den Synology-Apps wird nur Synology Photos genutzt.
  • Verschlüsselung - äh nö - leider noch nicht :(
  • Ich habe mir vor kurzem eine 723+ zugelegt (4TB effektiv) - NAS2.
Was soll es werden:
  • Alles sollte verschlüsselt werden.
  • Wir sollten so gut es eben geht gegen Ransomware gewappnet sein.
  • Das Widerherstellen der Daten ist zeitunkritisch, wenn es einen Tag dauert dann ist das eben so.
  • Offsite Backup light auf NAS2 (oder vielleicht NAS1?), welches am anderen Ende des Hauses platziert wird (mehr 3-2-1 geht leider nicht!)
  • Wir wollen die Möglichkeit mit Containern/VMs herumzuspielen
Nun meine Fragen:
  • Wie gehe ich am besten vor, damit ich die bestehenden Daten auf NAS1 nachträglich verschlüsselt bekomme?
  • Welches NAS soll in Zukunft Master, welches Slave sein?
  • Ist eine Master-Slave-Einteilung überhaupt sinnvoll oder ist Lastverteilung besser?
  • Wie oft soll auf Slave gesichert werden? Was ist hier sinnvoll?
  • HyperBackup (+ HyperBAckup Vault) oder/und Snapshot Replication?
  • Sind weitere Tools sinnvoll?
Ich weiß, das sind eine Menge Fragen, wird wahrscheinlich für Stirnrunzeln sorgen, aber ich weiß momentan nicht womit ich am besten anfangen soll. Daher schon mal ein großes Danke schön für eure Hilfe und Geduld.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
Alles sollte verschlüsselt werden
Warum? Bitte mal kurz deine Gründe nennen.
Wie gehe ich am besten vor, damit ich die bestehenden Daten auf NAS1 nachträglich verschlüsselt bekomme?
Entweder Backup und dann einen neuen Speicherpool erstellen, btrfs und Verschlüsselung, wenn das DSM das zulässt. Ich würde aber eher große Platten holen, das DSM auf der DS723+ neu einrichten und das Einstellungen und Daten zurückspielen, wenn das geht. Die DS723+ ist schneller, wie die 916+.


Offsite Backup light auf NAS2 (oder vielleicht NAS1
Wenn die im gleichen Raum sind, hat das nix mit Offsite zu tun.
Welches NAS soll in Zukunft Master, welches Slave sein?
Das verstehe ich nicht. Wie bzw. was willst du damit machen? Meist nimmt man ein produktives NAS und eines für die Backups.
Wie oft soll auf Slave gesichert werden? Was ist hier sinnvoll?
Das kommt ja auf die Art der Daten und die Häufigkeit der Änderung an und wie wichtig die Daten sind. Viele hier im Forum sichern 1x täglich auf das Backup NAS.
Wir wollen die Möglichkeit mit Containern/VMs herumzuspielen

Sind weitere Tools sinnvoll?
Naja, logischer Weise dann Container Manager und VMM. Dann aber bitte an RAM und ggf. NVMEs als 2. Pool für die Docker und VMs denken.
 

sedi

Benutzer
Mitglied seit
21. Jan 2017
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Warum? Bitte mal kurz deine Gründe nennen.
Naja, wir hatten in letzter Zeit schon mehrere Einbrüche in der Gegend. Wenn die werten Herren Einbrecher meine Synologys schon einpacken, sollte man es ihnen so schwer wie möglich machen die Daten einzusehen.

Entweder Backup und dann einen neuen Speicherpool erstellen, btrfs und Verschlüsselung, wenn das DSM das zulässt. Ich würde aber eher große Platten holen, das DSM auf der DS723+ neu einrichten und das Einstellungen und Daten zurückspielen, wenn das geht. Die DS723+ ist schneller, wie die 916+.
Ok, nur das ich das richtig verstehe:
- Das DSM der NAS2 (723+) mit Btrfs und Verschlüsselung neu einrichten
- dann die Daten von der alten NAS1 (916+) dorthin kopieren
- die alte NAS1 (916+) dann ebenfalls mit Btrfs/Verschlüsselung neu aufsetzen
- die alte NAS1 (916+) als Sicherung für die neue NAS2 verwenden.

Wenn die im gleichen Raum sind, hat das nix mit Offsite zu tun.
Klar, deswegen habe ich ja angedeutet, dass die NAS2 (723+) in die andere Ecke des Hauses verlegt wird. Mehr 3-2-1 geht dann für uns nicht.

Das verstehe ich nicht. Wie bzw. was willst du damit machen? Meist nimmt man ein produktives NAS und eines für die Backups.

Das kommt ja auf die Art der Daten und die Häufigkeit der Änderung an und wie wichtig die Daten sind. Viele hier im Forum sichern 1x täglich auf das Backup NAS.
Damit hast du mir die Frage ja eigentlich schon beantwortet. Der Slave oder zweites NAS (wahrscheinlich die 916+) oder wie auch immer man das nennen will, wird nur für das Einspielen der Sicherung des ersten NAS (723+) eingeschaltet. Denkbar wäre ja auch, dass man beide 24/7 betreibt, um verschiedene Tools/Programme auf beide aufzuteilen. Ich dachte für mich aber auch, dass die alte Syno (916+) lediglich für die Sicherung der neuen (723+) verwendet werden sollte.

Naja, logischer Weise dann Container Manager und VMM. Dann aber bitte an RAM und ggf. NVMEs als 2. Pool für die Docker und VMs denken
Aufgrund eures Ratschlages habe ich das schon in die Wege geleitet - die NAS2 (723+) wird mit 32 GB RAM und einer 1TB NVME bestückt (die habe ich nämlich noch rumliegen).
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
Naja, wir hatten in letzter Zeit schon mehrere Einbrüche in der Gegend. Wenn die werten Herren Einbrecher meine Synologys schon einpacken, sollte man es ihnen so schwer wie möglich machen die Daten einzusehen.
Dann ist es okay und verständlich.
Ok, nur das ich das richtig verstehe:
So würde ich es tun.
um verschiedene Tools/Programme auf beide aufzuteilen
Würde ICH nicht so machen. Belasse alles auf dem Haupt-NAS, welches schneller ist, also DS723+.
Denkbar wäre ja auch, dass man beide 24/7 betreibt
Muss nicht sein. Viele hier fahren das Backup NAS zeitgesteuert hoch und nach dem Backup wieder runter. Der zusätzliche Stromverbrauch muss eigentlich nicht sein. Wichtig ist: Beide NAS AUSREICHEND absichern!!! ;)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.099
Punkte für Reaktionen
2.067
Punkte
259
Zuerst einmal sehe ich deine Überlegungen positiv, dich mit der Risikominimierung zu befassen. 3-2-1 ist ein Schlagwort, ganz gut, um erste Überlegungen zu strukturieren. 3 Datensätze, 2 auf anderen Datenträgern, 1 Remote.

Fangen wir mal Remote an: Hier eignet sich entweder eine ausgelagerte DS (Friends & Family), oder bei 5TB tatsächlich ein Cloudspeicher. Bei F&F wird ganz gerne auf Gegenseitigkeit gesichert: Jede stellt dem anderen auf seiner DS Speicherplatz und die Internetverbindung zur Verfügung. Oder man stellt eine eigene DS bei jemandem unter.

Remote ist oft schwierig, wenn man größere Datenmengen zurück bewegen will. Daher ein Backup vor Ort. Liegen die Daten auf den Clients, ist schon die DS zu Hause ein erstes Backup. Liegen Daten originär auf der DS (und werden von den Clients abgerufen), dann ist die erste DS kein Backup, sondern muss nach 3-2-1 selbst gesichert werden.

Was sind Bedrohungen ? Deine Einbrecher in Ehren, aber dagegen hilft vermutlich eher klassische Sicherheitstechnik. Für die DS erst mal relevanter sind Datenlöschung, elektrische Einwirkungen (Blitzschlag, Stromausfall), Feuer, je nach Lage Wasser und ein IT-Vorfall (Ransomware).

Gegen Löschungen hilft ein versioniertes Backup. Heißt das Backup wird deutlich größer als die Quelldaten (1,5 - 2- fach). Gegen Elektrik hilft eine USV und Filtersteckdosen, sowie eine Remote-Backup. Gegen Feuer und Wasser gibt es das Remote-Backup.

Gegen Ransomware sollte zuerst ein entsprechendes Sicherheitskonzept umgesetzt werden: Alle User haben nur Userrechte, der Admin wird nur zum Administrieren verwendet, 2FA ist auch im Heimnetzwerk aktiv etc. Infektionen gehen meist von Windows-Rechnern aus, die würde ich daher besonders restriktiv behandeln.

Die DS bietet dann Schutzmechanismen. Einmal „unveränderliche“ Snapshots (die sind für eine gewisse Zeit unveränderlich), und die beiden Backupverfahren HyperBackup und Active Backup for Business. HBU ist Push, das heißt die zu sichernde DS hat die Zugangsdaten zum Sicherungsziel, und sichert dorthin. ABfB ist Pull, die Zugangsdaten für das zu sichernde System liegen auf der SicherungsDS. Das ist die bessere Variante, weil damit von der Arbeits-DS kein Weg zur Backup-DS führt. RSync kann man auch so anlegen.

Was rate ich dir ? Ich würde die 723+ (besser wäre eine 923+, aber egal bei der Datenmenge) mit einem SSD-Volume für aktive Daten und einem HDD-Volume als Datengrab aufsetzen, und als aktive DS nutzen. Alle Volumes sollten beim Aufsetzen verschlüsselt werden. Auf ihr werden Snapshots gefahren.

Je nach Situation wird die bestehende 916+ vor Ort oder Remote als Backupziel aufgesetzt. Das neue Volume gleich verschlüsseln. Als Sicherungsmethode die aussuchen, die dir am besten zusagt. ABfB könnte irgendwann schwierig werden, weil die 916+ aus den Updates rausfällt.

Wenn dann noch ein Remotebackup benötigt wird, würde ich angesichts der überschaubaren Datenmenge auf einen Cloudlösung gehen, oder wie oben empfohlen einen Server mieten.
 

sedi

Benutzer
Mitglied seit
21. Jan 2017
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Vielen Dank für eure Ratschläge. Also ich mach das jetzt genau so, wie von euch vorgeschlagen. Die neue 723+ mit NVME als SSD-Volume für das Containergedöns und einem HDD Volume als Datengrab, alles verschlüsselt versteht sich.

Die alte 916+ wird Backup, natürlich auch verschlüsselt. Mal sehen, ob das irgendwo remote geht, ansonsten wie angedacht am anderen Ende des Hauses.

So bald der 32 GB - Riegel hier aufschlägt, geht es los.

Da ich wirklich nicht viele Daten habe (weniger als 1TB effektiv), und diese auch nicht radikal wachsen, ist eine Cloud-Lösung natürlich denk- und bezahlbar. Hetzner kenne ich von der Arbeit, kann ich nur gutes von erzählen.

Ach ja @Synchrotron , eine USV und einen Überspannungsschutz nutze ich schon ewig.
 

sedi

Benutzer
Mitglied seit
21. Jan 2017
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Die Sachen sind nun angekommen! 32 GB RAM und 2 TB NVME eingebaut! check ;)

Mir ist aufgefallen, dass die 723+ zwei NVME-Slots hat, ich hätte auch noch eine NVME (1 TB) zur Hand, bringt das was?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Wo willst du die hinstecken?
 

sedi

Benutzer
Mitglied seit
21. Jan 2017
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Da sind doch am Boden zwei Öffnungen für Einsteckplätze für NVMEs, wo sollte ich sie denn sonst hinstecken? Steh ich jetzt am Schlauch?
 
Zuletzt bearbeitet von einem Moderator:

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.507
Punkte für Reaktionen
3.519
Punkte
344
Mir ist aufgefallen, dass die 723+ zwei NVME-Slots hat, ich hätte auch noch eine NVME (1 TB) zur Hand, bringt das was?
Kommt darauf an was Du da auf den NVMEs vorhast.
Wenn Dir 2 1TB zur Verfügung stehen, würde ich beide einbauen und als Raid 1 einrichten, falls mal eine der beiden kaputt geht hast Du weniger Arbeit. Da dann alle Apps drauf und Docker, oder VMM instalieren
Das bringt Durveiniges an Performance.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.688
Punkte für Reaktionen
2.090
Punkte
829
Wenn ich den TO richtig verstehe, hat er eine 2TB NVMe-SSD bereits verbaut und möchte nun in den zweiten NVMe-Slot eine 1TB NVMe-SSD einbauen. Das geht durchaus, nur kannst Du die 1TB SSD nicht zur Spiegelung verwenden, sondern müsstest darauf einen neuen Speicherpool und ein neues Volume erstellen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Benie und *kw*

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Ich hab‘s falsch gelesen. ;)
 
  • Like
Reaktionen: Ronny1978 und dil88

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.099
Punkte für Reaktionen
2.067
Punkte
259
Alles schön und gut - dann hat man 2 nicht gespiegelte, per "illegalem" Skript als Volume eingerichtete einzelne SSDs.

Sowas zu lesen lässt mich immer etwas nervös auf dem Stühlchen herumrutschen. Klingt nicht so gut, außer es ist eh nur Datenmüll, was da herumliegt. Also entweder hau ich so 70-80 Öcken raus für noch eine 1TB, oder so 130 für noch eine 2TB. Oder ich nehme die 1 TB, richte ein, und packe die 2TB als 1TB dazu, und mache ein RAID 1 daraus.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
  • Like
Reaktionen: *kw*

sedi

Benutzer
Mitglied seit
21. Jan 2017
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Wenn ich den TO richtig verstehe, hat er eine 2TB NVMe-SSD bereits verbaut und möchte nun in den zweiten NVMe-Slot eine 1TB NVMe-SSD einbauen. Das geht durchaus, nur kannst Du die 1TB SSD nicht zur Spiegelung verwenden, sondern müsstest darauf einen neuen Speicherpool und ein neues Volume erstellen.
Genau so ist es, aber genau genommen habe ich zwei 1TB SSDs. Wenn ich euch also richtig verstehe würden diese sich wunderbar im RAID1 machen. Noch mal ne 2TB zu kaufen will ich eigentlich nicht, hab mein diesjähriges Budget bereits überreizt. :(

Außer ihr sagt, dass das mit nur 1 TB im Spiegelmodus speichertechnisch zu knapp werden würde, dann müsste ich noch mal den Familienrat einberufen...

Ich will auf jeden Fall mal den HomeAssistant drauf laufen lassen und PiHole/AdGuard ä. wäre auch nett, aber wie bereits angedeutet, bin ich da absoluter Neuling.
 
  • Like
Reaktionen: dil88

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.507
Punkte für Reaktionen
3.519
Punkte
344
I'm Normalfall reicht wenn man 2x 1TB im Raid1 installiert.
Da kannst Du schon 2-3 VMs und alle Pakete, die nicht zum DSM gehören, auf die NVMEs installieren. Und einiges an Docker Container passt dann auch noch mit drauf.
 
  • Like
Reaktionen: dil88

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.863
Punkte für Reaktionen
764
Punkte
128
dann müsste ich noch mal den Familienrat einberufen
Nein musst du nicht. @Benie hat da schon recht. 1TB reichen für den Anfang. Ich war dann eher dort, evtl. noch andere Daten (Freigegebene Ordner auszulagern) -> jedoch auch mit externer Sicherung. Bitte sei dir aber bewusst, dass bei einem RAID 1 dann 1TB (von deiner 2TB NVME) "verloren" gehen.
PiHole/AdGuard ä. wäre auch nett
Fang bitte erst mal mit Home Assistant an. Bei PiHole oder AdGuard kann man sich bei Falschkonfiguration auch kleinere Probleme "reinholen", wo man schnell am verzweifeln ist und dann auch ganz schnell der Haussegen "schief hängen" kann. ;). Und noch ein Tipp von meiner Seite: Lesen, Videos schauen, Lesen, Lesen und versuchen zu verstehen. Ggf. dann in den entsprechenden Foren VORHER Fragen stellen, die sich beim Lesen/Anschauen ergeben. Und erst dann anfangen.

Das hat bei mir immer ganz gut funktioniert. Einige fangen erst Mal, haben dann gleich Probleme und können ggf. nicht einmal erklären, was sie eigentlich gemacht haben. Dann fällt auch die Hilfe im Forum unheimlich schwer.

Viel Erfolg.
 

sedi

Benutzer
Mitglied seit
21. Jan 2017
Beiträge
47
Punkte für Reaktionen
3
Punkte
14
Ich verbaue nun doch 2 x 1TB, reicht ja nach eurer Meinung.

Deinen Rat
Lesen, Videos schauen, Lesen, Lesen
versuche ich grundsätzlich zu befolgen. Aber trotzdem danke, dass du mir das noch mal in Erinnerung gerufen hast.
Ich wollte sowieso mit HomeAssistant beginnen - passt also ;)

Alles schön und gut - dann hat man 2 nicht gespiegelte, per "illegalem" Skript als Volume eingerichtete einzelne SSDs.

...
:‑o Was bedeutet hier "illegales" Skript?
 
Zuletzt bearbeitet von einem Moderator:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat