Replikation mit DDNS über das Internet auf NAS zu Hause klappt nicht - Hyper Backup schon.... was mache ich falsch?

Sharknado · 07. Jun 2021

Moin zusammen,

habe zwei 1520+ 1x Betrieb 1x Backup. Beide habe ich im selben LAN einmal komplett konfiguriert und Hyper Backup und Dann noch Replikation durchlaufen lassen. Hat wunderbar geklappt. Die Backup NAS zu Hause ans private LAN geklemmt, auf der Fritzbox die Ports auf die NAS freigegeben, die auch in der Konfiguration von Replikation angegeben werden aber leider gibt es keine Replikation. Ich erhalte den Fehler:

Die in der Fehlermeldung angegebene IP ist die aus dem Betrieb. Portfreigabe in der Fritte ist genau wie für Hyper Backup konfiguriert worden. Ebenso nutze ich den selben DDNS Namen.

Einer ne Idee woran es liegen könnte? Verschlüsselung aus oder an macht keinen Unterschied - Ports dann natürlich für die DSM Anmeldung in der Konfig angepasst. Beide Ports sind in der Fritzbox freigegeben.

Schon einmal vielen Dank im Voraus an Euch!

Gruß

Sharky

PS: folgende Ports sind bereits freigeschaltet:

6281
2****
2****
5566
3261
3260

Anzeige · 07. Jun 2021

Hallo Sharknado,

Bücher und Hardware zum Thema gibt es bei Amazon: Replikation mit DDNS über das Internet auf NAS zu Hause klappt nicht - Hyper Backup schon.... was mache ich falsch?

Fusion · 08. Jun 2021

Wenn du nicht per VPN verbunden bist sollte die IP wohl eher die öffentliche des Routers sein.

Sharknado · 08. Jun 2021

Nein mit VPN bin ich nicht verbunden, dafür möchte ich auch ungern nen VPN Tunnel aufbauen müssen. Ausgeführt wird das Ganze auf der Quell NAS. Viel Einstellen kann man da ja nicht. Quelle ist die 192.* Ziel dann DDNS Name + User + Port. Anschließend kommt diese Fehlermeldung. Muss ich auf der Firewall des Quell Netzes auch Ports weiterleiten? Aktuell habe ich nur auf dem Ziel Router die Ports zur NAS weitergeleitet.

blurrrr · 08. Jun 2021

Sharknado schrieb:
Nein mit VPN bin ich nicht verbunden, dafür möchte ich auch ungern nen VPN Tunnel aufbauen müssen

Allein durch Luft und Liebe wird das aber nicht funktionieren... Wenn Du von Haus A zu Haus B willst, kannst Du entweder das Haus komplett verlassen, oder beide Häuser mit einem Tunnel verbinden und durch diesen von A nach B gelangen.

EDIT: Alternativ kann ich mich auch vor Dich stellen und Dir "Wohnzimmer!!!" ins Gesicht brüllen. Allerdings wirst Du keine Ahnung haben, was ich von Dir will und welches Wohnzimmer in welchem Haus ich meine (um das nochmal zu verdeutlichen) ?

Sharknado · 08. Jun 2021

Danke für Deine Einschäzung.

Dafür die Portweiterleitungen und der DDNS, dachte ich. Im Vorfeld hatte ich das so zumindest verstanden. DDNS einrichten, die Ports aus der Replikations Konfig auf die NAS weiterleiten und fertig. So funktioniert es ja bereits mit Hyper Backup ohne Probleme.

blurrrr · 08. Jun 2021

Sharknado schrieb:
Quelle ist die 192.* Ziel dann DDNS Name + User + Port. Anschließend kommt diese Fehlermeldung. Muss ich auf der Firewall des Quell Netzes auch Ports weiterleiten?

Das sah im Screenshot aber noch anders aus... Also mal ganz grob:

<Quell-NAS1>--<(LAN-IP) Router1 (WAN-IP)>----Internet----<(WAN-IP) Router2 (LAN-IP)>--<Ziel-NAS2>

Ausgehend (ohne VPN) musst Du zur WAN-IP des Ziel-Routers (Router 2). Du erscheinst Du bei Router2 bzw. beim Ziel-NAS mit der WAN-IP des Router 1 (Quell-Netzwerk). Somit müssen 2 Dinge erfüllt sein: 1) Der Ziel-Router muss die benötigen Ports entsprechend auf das Ziel-NAS weiterleiten (Portweiterleitung, IPv4), oder einfach durchlassen (Portfreigabe, IPv6). Auf der anderen Seite muss dieser Zugriff aber auch generell vom NAS zugelassen werden (Thema Firewall, die WAN-IP des Quell-Routers muss auch auf diesen Dienst zugreifen können).

Sharknado schrieb:
Muss ich auf der Firewall des Quell Netzes auch Ports weiterleiten?

Nein, ausgehende Verbindungen (sofern nix anderes konfiguriert wurde) sind i.d.R. immer erlaubt. Es sei denn, Du hast irgendwas in die Richtung "nur Web und Mail" konfiguriert, aber davon gehen wir jetzt einfach mal nicht aus

Sharknado · 08. Jun 2021

Moin,

das Ganze ist genau wie von Dir beschrieben aufgebaut. Was ich nur nicht wusste ist, dass das Ziel-NAS2 auch autark das Quell-NAS1 erreichen musst. Ich bin davon ausgegangen, dass das Quell-NAS1 die Verbindung zum Ziel-NAS2 aufbaut und dann alles untereinander abgestimmt wird, so wie es bei Programmen halt üblich ist.

Durch den Text in der Fehlermeldung und Deinen Denkanstoß - Danke dafür! - habe ich auf dem Router1 den Ports der DS Anmeldung 2xxx + 5566 + 6281 freigegeben, sowie im Replikations Tool nicht die lokale IP des Quell-Nas1, sondern den DDNS Namen des Router1.

Nun klappt alles ganz wunderbar

So wären aber beide DSM Seiten von Quell-NAS1 + Ziel-NAS2 im Web erreichar. Da kommt das Thema VPN wieder auf die Agenda

.

Ich möchte keine Site2Site VPN Verbindung, da das Ziel-NAS2 in einem privaten Haushalt stehen soll. Ich möchte nicht, das jeder der an der vorhandenen Fritzbox auch mit einem Bein im Firmen LAN hängt. Gibt es die Möglichkeit, dass sich "nur" Quell-NAS1 und Ziel-NAS2 via VPN untereinander verbinden oder das ich auf der Ziel-NAS eine 2ltp VPN Verbindung zum Radius in der Firma aufbauen kann, Dann könnte man sich die Portweiterleitungen sparen und die Login Seite der beiden NAS wären nicht frei im Internet erreichar.

blurrrr · 08. Jun 2021

Sharknado schrieb:
oder das ich auf der Ziel-NAS eine 2ltp VPN Verbindung zum Radius in der Firma aufbauen kann, Dann könnte man sich die Portweiterleitungen sparen

An Firewall-Regeln wirst Du dennoch nicht vorbei kommen und ob Du mit den Syno-Boardmitteln zu einem VPN-Server im Office inkl. anhängendem Radius (und damit vermutlich ebenso ein AD/LDAP) kommst, würde ich mal (ganz vorsichtig) so nicht unterstreichen, kommt aber auf die Gegebenheiten ab, vielleicht klappt es ja auch ganz problemlos. Wenn man da so an die hauseigene Implementierung der Dinge seitens Synology denkt, hat man i.d.R. schon einfach "kein Bock" mehr (s. z.B. Thema zertifikatsbasierte Authentifizierung), aber: ich will's Dir auch nicht madig reden, also von daher einfach machen und wenn läuft, läuft, wenn nicht, halt nicht ? Ich drück Dir aber auf jeden Fall schon mal die Daumen! ??

Sharknado · 08. Jun 2021

Danke für Deine Einschätzung

!

Wenn nicht das Thema mit der öffentlich zugännglichen DSM Login Seite wäre, hätte ich es bei den Syno Boardmitteln belassen. Aber sein kompletes AD und die Daten quasi für alle erreichbar zu machen, gefällt mir nicht.

Hyper Backup funktioniert ja zum Glück problemlos mit DDNS und Portweiterleitungen. Darüber kann ich ja auch diverse Dateiversionen wieder herstellen. Bei Replikation wären die Daten halt schon auf der Backup NAS und die Ausfallzeit in der Firma wären geringer, falls die NAS1 Hardware versagt.

Iich werde es heute Abend einmal mit dem VPN von der Backup NAS ins VPN testen. Dann wären ja quasi beide NAS via "LAN" erreichbar und ich brauch keine Portweiterleitung von extern auf die DSM Seite.

Wenn alles nicht vernünftig läuft oder ich Bedenken habe, gibt es halt "nur" ein dezentrales Hyper Backup mit Versionierungen auf die Backup NAS und 1x die Woche vom Backup NAS auf eine externe HDD.

Soletario · 29. Okt 2022

Hallo Sharknado,
ich sitze jetzt genau vor den gleichen Herausforderungen (und dem gleichen Szenario), wie Du vor einem Jahr. Wie hast Du es zuletzt gelöst?
Meine Firmen NAS hat eine feste IP, d.h. ich kann bei meiner Home NAS die firewall darauf beschränken. So weit so gut. Aber damit der replications status von der Home NAS auf die Firmen NAS gebracht wird, scheine ich die DMS mit Port :5001 öffnen zu müssen.
Mir fällt jetzt nur ein, dass ich auf der Home NAS den VPN Server installiere und mit dem Benutzer, der die replikation macht eine VPN Verbindung herzustellen.
Hast Du eine andere Idee umgesetzt?