Die Option fehlt leider bei WireGuard. Hat ursprünglich funktioniert, jetzt wieder nicht. Erschwerend ist, dass die Einrichtung an zwei Orten sehr mühsam ist, weil ich die Tasten an der FB zur Bestätigung nicht bedienen kann. Gibts da eine Möglichkeit, das zu umgehen?
Setup: 2x Fritzbox (7.39) mit Wireguard, 2x DiskStations, Hyperbackup über VPN - wie vorgehen?
- Ersteller klemen
- Erstellt am
Hallo klemen,
Bücher und Hardware zum Thema gibt es bei Amazon: Setup: 2x Fritzbox (7.39) mit Wireguard, 2x DiskStations, Hyperbackup über VPN - wie vorgehen?
Bücher und Hardware zum Thema gibt es bei Amazon: Setup: 2x Fritzbox (7.39) mit Wireguard, 2x DiskStations, Hyperbackup über VPN - wie vorgehen?
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.120
- Punkte
- 214
Und nur noch einmal um Sicherzugehen:
Wenn ich eine WireGuard Verbindung auf der FB hinzufüge, dann kann ich den daraufhin gezeigten QR Code bzw die Config Datei für zB 6 Endgeräte und die zweite FB verwenden, richtig? Die kommen sich nicht in die Quere?
Wenn ich eine WireGuard Verbindung auf der FB hinzufüge, dann kann ich den daraufhin gezeigten QR Code bzw die Config Datei für zB 6 Endgeräte und die zweite FB verwenden, richtig? Die kommen sich nicht in die Quere?
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.120
- Punkte
- 214
- Mitglied seit
- 03. Jan 2022
- Beiträge
- 2.200
- Punkte für Reaktionen
- 1.024
- Punkte
- 224
Doch, die kommen sich in die Quere. Jede einzelne Verbindung hat eine eigene IP, von daher so vorgehen wie @EDvonSchleck schreibt.
Habs diesen Absatz wohl falsch verstanden...
Hier wird auch der Fehler liegen: hab die Config-Datei mit mehreren Geräten verwendet.
Das ist m.W. leider so in den aktuellen Beta-Versionen. Einmal aktiviert, lässt es sich nicht mehr abschalten. Wieso weiß ich auch nicht.
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Was hier völlig ausser Acht gelassen wird, wenn man eine dauerhafte site-2-site Verbindung betreibt nur wegen eines Backup ist, dass die Sicherheit des Backups wieder gefährdet ist. Wer in Netz A rein kommt hat automatisch Zugriff auf Netz B und umgekehrt. Der Supergau für ein Backup-System!
Sauber wäre eine aktive VPN Einwahlverbindung des Backupservers nur für die Dauer der Datensicherung.
In so einem Fall muss es auch nicht unbedingt ein ressourcenfressendes VPN sein, da die Backupverbindung verschlüsselt läuft. Die Verbindung muss dann nur am besten durch Zertifikat und saubere Firewallregeln abgesichert sein.
Sauber wäre eine aktive VPN Einwahlverbindung des Backupservers nur für die Dauer der Datensicherung.
In so einem Fall muss es auch nicht unbedingt ein ressourcenfressendes VPN sein, da die Backupverbindung verschlüsselt läuft. Die Verbindung muss dann nur am besten durch Zertifikat und saubere Firewallregeln abgesichert sein.
Und lässt sich das auch deppensicher einrichten? Habe das ja bereits in meinem Eingangspost in den Raum geworfen, aber bin damit auch ziemlich überfordert. Kann die Synology eine VPN Verbindung aufbauen und sich selbstständig in ein anderes Netz einwählen?
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.120
- Punkte
- 214
Du musst wissen, ob du auch auf andere Geräte im entfernten Netzwerk zugreifen wills. Das kann schon auf Wartungsgründen praktisch sein. Auch ist es möglich, dass auf der entfernten DS nur die lokale DS via Firewall zugreifen kann. Ein starkes Passwort erledigt den Rest.
Leider hast du nichts geschrieben, um welches Netzwerk es sich bei der 2. DS handelt (2. Wohnung, Eltern, Bekannte, Firma etc.) oder ich habe es überlesen.
Leider hast du nichts geschrieben, um welches Netzwerk es sich bei der 2. DS handelt (2. Wohnung, Eltern, Bekannte, Firma etc.) oder ich habe es überlesen.
Ein wenig off-topic aber mal interessehalber hier in die Runde:
ich habe zwischen zwei FritzBox 7590 (jeweils ~60MBit/s Download & ~12MBit/s Upload) einen Durchsatz über das VPN von ca. 10,3MBit/s über das IPSec-VPN. Laut FritzOS-Hardwaremonitor ist die CPU nicht voll ausgelastet. Daher denke ich, dass die 1,7MBit/s durch den IPsec-Overhead flöten gehen.
Hat jemand eine Ahnung, wie nah man an die 12MBit/s per WireGuard herankommen könnte bzw. wird, wenn das FritzOS final wird?
ich habe zwischen zwei FritzBox 7590 (jeweils ~60MBit/s Download & ~12MBit/s Upload) einen Durchsatz über das VPN von ca. 10,3MBit/s über das IPSec-VPN. Laut FritzOS-Hardwaremonitor ist die CPU nicht voll ausgelastet. Daher denke ich, dass die 1,7MBit/s durch den IPsec-Overhead flöten gehen.
Hat jemand eine Ahnung, wie nah man an die 12MBit/s per WireGuard herankommen könnte bzw. wird, wenn das FritzOS final wird?
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.093
- Punkte für Reaktionen
- 570
- Punkte
- 194
Sicher geht das alles zeitgesteuert über das Backupprogramm.
Du musst nur dafür sorgen, dass die IP des zu sichernden LAN dem Backupserver bekannt ist. Die wird dann in Hyperback eingetragen.
Sicherheitstechnisch ideal wäre, wenn beide IPs fix wären, damit man in den Firewall auf beiden Seiten saubere Regeln einstellen kann.
Das alles unbedingt mit einem Zertifikat absichern.
Ohne Zertifikat keine Einwahl
Wenn Einwahl dann nur wenn Sende-/Empfangs-IP stimmig sind.
Jetzt kommen wir zu der eigentliche Crux bei Hyperbackup. Leider kann HB kein pull sondern nur push.
Heisst das zu sichernde LAN muss die Verbindung zum Backup-Server herstellen. Das hebelt die Sicherheit etwas aus. Ideal wäre ein reines Pull ausgelöst durch den Backupserver.
Solltest du bei site-2-site VPN bleiben könntest du mittels Firewall den Verkehr zwischen den beiden LAN nur auf den Port zur Datensicherung und die beiden Server-IPs beschränken.
Du musst nur dafür sorgen, dass die IP des zu sichernden LAN dem Backupserver bekannt ist. Die wird dann in Hyperback eingetragen.
Sicherheitstechnisch ideal wäre, wenn beide IPs fix wären, damit man in den Firewall auf beiden Seiten saubere Regeln einstellen kann.
Das alles unbedingt mit einem Zertifikat absichern.
Ohne Zertifikat keine Einwahl
Wenn Einwahl dann nur wenn Sende-/Empfangs-IP stimmig sind.
Jetzt kommen wir zu der eigentliche Crux bei Hyperbackup. Leider kann HB kein pull sondern nur push.
Heisst das zu sichernde LAN muss die Verbindung zum Backup-Server herstellen. Das hebelt die Sicherheit etwas aus. Ideal wäre ein reines Pull ausgelöst durch den Backupserver.
Solltest du bei site-2-site VPN bleiben könntest du mittels Firewall den Verkehr zwischen den beiden LAN nur auf den Port zur Datensicherung und die beiden Server-IPs beschränken.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.120
- Punkte
- 214
Meinst du wirklich die letzten 1,7Mbit machen einen großen Unterschied? Wenn du mehr haben willst, wechsel in einen anderen Tarif (sofern möglich vom Anschluss), was die Leistung und CPU angeht, wird WireGuard aktuell nicht mit Hardwareunterstützung betrieben. Das macht aber kein Einfluss auf die Geschwindigkeit. Auch bei IPsec wurde die Hardwareunterstützung nachträglich aktiviert. Diese war im Release auch nicht enthalten. Was sich bis zum Release noch alles ändert, kann nur AVM wissen.
Naja, es kommt halt auf den Use-Case an. Ich übertrage über das VPN relativ große Datenmengen. Wenn ich die 12MBit/s ausreizen könnte, würde das bedeuten, dass ich durch die zusätzlichen ~1,7MBit/s ca. 0,5GB pro Stunde mehr an Daten pro Stunde übertragen könnte. Das wäre schon von Vorteil für mich.
Ein Tarif mit mehr Upload kommt leider nicht in Frage, da mein Anschluss an dem "Sendeort" nicht mehr hergibt.
Ein Tarif mit mehr Upload kommt leider nicht in Frage, da mein Anschluss an dem "Sendeort" nicht mehr hergibt.
EDvonSchleck
Gesperrt
- Mitglied seit
- 06. Mrz 2018
- Beiträge
- 4.703
- Punkte für Reaktionen
- 1.120
- Punkte
- 214
Denn wirst du damit leben müssen. Du kannst entweder die Angewohnheit oder wenn möglich den Zugang (VDSL>Kabel) sofern verfügbar noch ändern. Eventuell ist 5G mit unlimited noch eine Option. Einen gewissen Overhead gibt es ja mehr oder weniger. Bei der Geschwindigkeit gegenüber deiner Anbindung ist das vollkommen ok und grenzt ein bisschen an Erbsenzählerei. Ich verstehe sowieso nicht, warum immer irgendwelche Terrybytes pro Tag kopiert werden müssen.
Schade! Ich dachte es erzählt mir jetzt jemand, dass aus meinen 10,3MBit/s mit WireGuard plötzlich 40MBit/s werden 
Guten Morgen,
das klingt jetzt alles wieder recht kompliziert. Also an beiden Orten stehen FritzBoxen (7530 und 7530AX), jeweils mit Laborversion. An beiden Orten besitze ich fixe IP Adressen.
Soweit ich weiß, kann HyperBackup ja bereits ohne VPN mit diesen Mitteln ein Remote Backup erstellen. Soweit ich ebenfalls verstanden habe, muss man hierfür jedoch Ports öffnen. Das wollte ich mit VPN vermeiden.
Falls die Vorschläge hier in diese Richtung gehen, wäre ich froh über eine kurze Erklärung, wie das am Besten mit Firewall einzurichten wäre.
Ursprünglich bin ich mit der Hoffnung ins Rennen gegangen, dass die Synology selbst eine VPN Vernindung aufbauen kann (gekoppelt an terminisierte Hyperbackups). Dann wäre nicht das gesamte Netzwerk getunnelt, sondern nur die Verbindung der zwei Stellen, oder?
Lieben Gruß
Klemen
das klingt jetzt alles wieder recht kompliziert. Also an beiden Orten stehen FritzBoxen (7530 und 7530AX), jeweils mit Laborversion. An beiden Orten besitze ich fixe IP Adressen.
Soweit ich weiß, kann HyperBackup ja bereits ohne VPN mit diesen Mitteln ein Remote Backup erstellen. Soweit ich ebenfalls verstanden habe, muss man hierfür jedoch Ports öffnen. Das wollte ich mit VPN vermeiden.
Falls die Vorschläge hier in diese Richtung gehen, wäre ich froh über eine kurze Erklärung, wie das am Besten mit Firewall einzurichten wäre.
Ursprünglich bin ich mit der Hoffnung ins Rennen gegangen, dass die Synology selbst eine VPN Vernindung aufbauen kann (gekoppelt an terminisierte Hyperbackups). Dann wäre nicht das gesamte Netzwerk getunnelt, sondern nur die Verbindung der zwei Stellen, oder?
Lieben Gruß
Klemen
- Mitglied seit
- 28. Okt 2020
- Beiträge
- 15.028
- Punkte für Reaktionen
- 5.401
- Punkte
- 564
Moin
Option 1:
Site2Site VPN zwischen beiden FritzBoxen (bei IPSec konnte man festlegen, dass nur bestimmte Geräte die VPN-Verbindung nutzen dürfen. keine Ahnung, ob das bei WireGuard auch geht)
Option 2:
Am Backup-Standort eine Portweiterleitung auf die DS (Hyper Backup-Vault Port) einrichten (am besten Port im hohen 5-stelligen Bereich wählen).
Option 3:
Die DS verbindet sich selbst als VPN-Client mit dem VPN-Server der FritzBox. Hierzu unter Systemsteuerung->Netzwerk->Schnittstellen->Hinzufügen->VPN-Verbindung das VPN-Profil anlegen. WireGuard wird allerdings von der DS nativ nicht unterstützt. Hierzu bräuchte man eine 3rd-Party Lösung (Thread)
Option 1:
Site2Site VPN zwischen beiden FritzBoxen (bei IPSec konnte man festlegen, dass nur bestimmte Geräte die VPN-Verbindung nutzen dürfen. keine Ahnung, ob das bei WireGuard auch geht)
Option 2:
Am Backup-Standort eine Portweiterleitung auf die DS (Hyper Backup-Vault Port) einrichten (am besten Port im hohen 5-stelligen Bereich wählen).
Option 3:
Die DS verbindet sich selbst als VPN-Client mit dem VPN-Server der FritzBox. Hierzu unter Systemsteuerung->Netzwerk->Schnittstellen->Hinzufügen->VPN-Verbindung das VPN-Profil anlegen. WireGuard wird allerdings von der DS nativ nicht unterstützt. Hierzu bräuchte man eine 3rd-Party Lösung (Thread)
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
