SnapshotReplication Task auf Destination Server selbst - möglich?

sugarDaddy

Benutzer
Mitglied seit
13. Sep 2021
Beiträge
64
Punkte für Reaktionen
1
Punkte
14
Guten Abend allerseits,

ich nutze bereits einen SnapshotReplication Task um shared-folders meines lokalen NAS (NAS1) auf ein remote NAS (NAS2) zu replizieren, und es funktioniert wunderbar.

Nun versuche ich, auf dem NAS2 selbst einen ReplicationTask einzurichten, um sich vom NAS1 (als Source Server) die selben shared-folders nach lokal (NAS2 als Destination Server) zu replizieren. Das wäre die selbe Sache wie aktuell in grün, nur dass das lokale NAS1 nicht über die credentials verfügt. Weil mir vorschwebt, dass dieses Szenario die Daten auf NAS2 schützt, wenn dieses (im Unterschied zu NAS1) kompromittiert würde.

Ich konnte allerdings in der Konfiguration des Tasks die Settings nicht wie gewünscht einstellen. Als "Source Server" konnte ich NAS1 zwar angeben. Der "Destination Server" müsste er allerdings selber sein. Nur mag er "localhost" nicht akzeptieren.

Wisst ihr, ob sich mein Wunsch erreichen läßt?
Ferner, ob dadurch die Sicherheit erhöht würde? (Unter der Annahme NAS2 wäre per se schwerer zu knacken).

Vielen Dank
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Hast du anstatt localhost einfach Mal 127.0.0.1 oder die LAN IP der DS probiert?
Port 5566 oder was er da nützt offen?
 
  • Like
Reaktionen: sugarDaddy

sugarDaddy

Benutzer
Mitglied seit
13. Sep 2021
Beiträge
64
Punkte für Reaktionen
1
Punkte
14
Yepp, 5566 ist der Port. Und Recht hast Du, die beiden IPs sollte ich noch probieren. Falls es geht bleibt die Frage nach den eigenen credentials. Aber zur Not einfach 'nen User erstellen. Ich probier's und gebe hier Bescheid.
 

sugarDaddy

Benutzer
Mitglied seit
13. Sep 2021
Beiträge
64
Punkte für Reaktionen
1
Punkte
14
Also, ich konnte unter den "Advanced Settings" den "Source Server" und "Destination Server" eintragen. Wobei der Source Server mein NAS1 ist, welches per nas1.synology.me:5001 erreichbar ist. Als Destination Server hat er "localhost", "127.0.0.1" und "192.178.100.100" nicht akzeptiert. nas2.synology.me:5002 hingegen schon.

Schliesse ich den Advanced Settings Dialog, lande ich im vorherigen, wo nun der korrekte Destination Server steht. Bei den credentials habe ich einen Nutzer eingetragen, welchen ich auf beiden NAS identisch eingerichtet habe.

Klicke ich auf "Next" ohne "[ ] Use encrypted connection":
Bekomme ich umgehend "Failed to connect to the destination server. Please make sure you have entered the correct connection settings in Advanced Settings > Destination Server". Also check the network connection for data syncing. Your current settings: IP Address: nas1.synology.me Port: 5002."

Klicke ich auf "Next" mit "[X] Use encrypted connection":
Dann rödelt er für ne halbe Sekunde und zeigt "Failed to authenticate the destination server. Make sure you enter the correct username and pasword".

Zur Info: ich habe die Namen und Ports hier im Post geändert. Habe aber auch keine Fehler bei der Eingabe.

Ich habe ja ehrlich gesagt meine Zweifel, dass SnapshotReplication für diese Art der Nutzung konzipiert ist.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Natürlich ist es das nicht, sonst wäre es irgendwo in einer Anleitung beschrieben. Aber ein Versuch war es wert. 😎
 
  • Like
Reaktionen: sugarDaddy

nas-central.de

Benutzer
Lösungspartner
Mitglied seit
22. Jun 2021
Beiträge
136
Punkte für Reaktionen
30
Punkte
34
Habe ich das richtig verstanden, dass du die Backup-Richtung von Push auf Pop ändern möchtest, um dem Quell-NAS die Kontrolle für das Backup zu entziehen? Das brauchst du nicht, mit einem entsprechenden snapshotting am Ziel hat die Quelle ohnehin keine Kontrolle über das Backup.

Wenn du die Sicherheit verbessern möchtest könntest du als erstes die Port-Weiterleitung abschalten und das Ganze über ein VPN realisieren.
 

sugarDaddy

Benutzer
Mitglied seit
13. Sep 2021
Beiträge
64
Punkte für Reaktionen
1
Punkte
14
Hast Du richtig verstanden. Und stimmt schon, remote habe ich ja auch snapshots. Sicherer wäre es vielleicht dennoch marginal, denn NAS1 hätte keinen Destination Server und keinerlei credentials, und damit nicht mal einen Ansatz zum Nutzen eines etwaigen Exploits. Egal, haken wir das ganze unter "Hat jemand mal probiert...?" ab.

Jepp, das was ich vorhabe wird dann auch per VPN realisiert. NAS2 wählt sich ins Netz von NAS1 ein. NAS1 wird nach NAS2 replizieren. Auf Basis IP bzw. lokalem hostname.
 
Zuletzt bearbeitet:

sugarDaddy

Benutzer
Mitglied seit
13. Sep 2021
Beiträge
64
Punkte für Reaktionen
1
Punkte
14
Habe ich das richtig verstanden, dass du die Backup-Richtung von Push auf Pop ändern möchtest, um dem Quell-NAS die Kontrolle für das Backup zu entziehen? Das brauchst du nicht, mit einem entsprechenden snapshotting am Ziel hat die Quelle ohnehin keine Kontrolle über das Backup.

Wenn du die Sicherheit verbessern möchtest könntest du als erstes die Port-Weiterleitung abschalten und das Ganze über ein VPN realisieren.

Späte Nachfrage ;) Wenn ich von source nach destination SnapshotReplication mache, habe ich vom source-System aus keine Kontrolle über das Backup?

Beim Einrichten von SnapshotReplication muss ich auf dem source-System einen Nutzer aus der "administrators"-Gruppe des destination-Systems angeben. Damit liegen doch aber administrator-Credentials auf source? Selbst wenn SnapshotReplication es mir nicht erlaubt von source aus auf destination frei zu walten, falls ich als Bösewicht an die Daten komme, kann ich mit doch einfach im DSM von destination anmelden und da frei walten?
 

sugarDaddy

Benutzer
Mitglied seit
13. Sep 2021
Beiträge
64
Punkte für Reaktionen
1
Punkte
14
Ok, mittlerweile bin ich etwas schlauer. Zwar muss der user auf der NAS2 zwecks Replication der administrators group angehören. Aber wenn man diesem ab von der Gruppenzugehörigkeit alle weiteren Rechte abspricht, sei die Lösung wohl sicher.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat