Verschlüsselte Datensicherung einer NAS auf 2. NAS via Internet

[nephilim]

Hej zusammen,

ich möchte für meine Synology eine räumlich getrennte Datensicherung machen. Dazu habe ich mir eine neue Synology zugelegt, die dann an einem entfernten Ort mit Internet-Zugang platziert werden soll. Die Datensicherung soll verschlüsselt geschehen.

Ich habe Anleitungen gefunden, die OpenVPN nutzen. Nachteil da, ist, dass sich zum einen die IPs im VPN-Setup ändern können und somit manuell eingegriffen werden muss und dass beide Synologys permanent einen VPN-Tunnel offen haben.

Ich träume von einer automatisierten, verschlüsselten Datensicherung via Internet, bei dem beide Geräte, wenn die Sicherung nicht läuft, "schlafen" dürfen. Mir mangelt es offen gestanden ein wenig an Phantasie, das zu lösen. Habt Ihr Ideen oder eine Anleitung für mich, die mich das realisieren lässt?

Vielen Dank im Voraus...

Herzlichst
//neph

 

[Thorndike]

Die IP Adressen wirst du ja nicht in der Konfiguration der Datensicherung verwenden sondern eine DynDNS Adresse die dann immer gleich bleibt. Somit ist der manuelle Eingriff nicht mehr notwendig. An welchen stellen möchtest du denn die Verschlüsselung haben? Reicht die Übertragung kann man einfach bei der Datensicherung SSH einschalten, wird eine Verschlüsselung der gesicherten Daten verlangt wird es aufwendiger.

 

[frankyst72]

geht doch easy...

Die BackupDS unter Datensicherung & Replikation als Datensicherungziel definieren. Backupjob erstellen. Und Backup laufen lassen. Wichtig ist, dass für das Netz der BackupDS einen DDNS-Namen gibt, den Du im Datensicherungsziel eingibst. Ich persönlich habe nicht den Port 22 im Backup-Netz geöffnet, sondern einen anderen. Dann hakst Du noch 'SSH-Übertragungsverschlüsselung aktivieren' und alles läuft verschlüsselt. Ich nehme auch 'Übertragungskomprimierung aktivieren' und 'Datensicherung in Blöcken' mit, das schont die dünne Internetleitung. Zeitplan erstellen und gut ist.
Wenn Du in der BackupDS ein eigenes Volume für die Sicherung definiert hast, geht es sogar versioniert (vorsicht!, ich weiß immer noch nicht, wie man Daten wieder zurück holt, wenn die UrsprungsDS aufällt).
Ggf. noch irgendwie einstellen, wann die BackupDS wach sein soll (ich habe das nicht gemacht, weil meine DS115j das nicht kann). Fertig.

VPN brauchste nicht dafür.

Stell beide DS in Dein lokales Netz richte alles ein, so dass es funktioniert (Aufwachen, Zeitplan, Backupjob) und lasse das erste Backup laufen, bzw. noch ein paar mehr bis alles passt. Dann trage die BackupDS in das andere Netz, mach das eine Portforwarding am Router und richte das DDNS ein. Passe das Dateisicherungsziel an die neuen Gegebenheiten an. Fertig.

EDIT: noch ein paar Infos
Ich verwende no-ip.com als DDNS-Provider. Ist der einzig mir bekannte Dienst, der nichts kostet. Man muss aber monatlich die Adresse bestätigen, dass man sie noch braucht. Ich habe den DDNS-Dienst auf der DS115j eingerichtet, da der veraltete Router im Backup-Netz kein no-ip.com kennt.
Da ich in der DS115j nur eine Festplatte habe, habe ich kein eigenes Volume zu Datensicherung eingerichtet, d.h. ich habe kein versioniertes Backup, sondern nur den täglichen letzten Stand. Da ich in meinem Netz noch ein versioniertes Backup fahre, brauche ich das entfernte Backup auch nur im absoluten Notfall. Außerdem liegt es dann (nicht versioniert) in Einzeldateien vor, die direkt zugreifbar und auslesbar sind.
Lege Dir auch ein Portforwarding für 5001 an. Dann kannst Du die entfernte Backup DS ganz normal per DSM von Daheim aus bedienen und prüfen, ob alles ok ist.
Den Port 22 habe ich auf einen anderen gelegt (z.B. 24711), weil Port 22 doch stark unter Eindringversuchen leidet (er dient für Secure Shell (SSH), secure logins, file transfers (scp, sftp)). Am Router habe ich eingestellt, dass 24711 auf den Port 22 an der DS geforwarded wird. Somit muss man nichts an der selbst DS ändern.

Was verstehst Du überhaupt unter 'verschlüsseln'? In meiner Lösung ist sichergestellt, dass die Daten auf dem Weg nicht abgegriffen werden können. Wenn Du die Festplattenverschlüsselung meinst, kann ich Dir nicht helfen. Die ist bei mir nicht notwendig, da meine BackupDS in dem vertrauenswürdigen Netz meiner Mutter steht ;-)

 

[nephilim]

Was verstehst Du überhaupt unter 'verschlüsseln'? In meiner Lösung ist sichergestellt, dass die Daten auf dem Weg nicht abgegriffen werden können. Wenn Du die Festplattenverschlüsselung meinst, kann ich Dir nicht helfen. Die ist bei mir nicht notwendig, da meine BackupDS in dem vertrauenswürdigen Netz meiner Mutter steht ;-)

Ja, genau das will ich. Während der Sicherung übers Netz sollen die Daten nicht abgegriffen werden können.

Ich habe nun ein paar Sicherungsläufe im eigenen Netz gemacht. Alle sauber durch, der erste nach entsprechend langer Zeit.

Nun steht auch meine Backup-NAS im elterlichen Haus. Ich kann die Kiste via "https" erreichen. Ausserdem leite ich im Router den Port xxx22 auf Port 22 des Backup-NAS. Auf der Backup-NAS habe ich unter "Sicherungsdienste" den Port 22 gesetzt und "Netzwerk-Sicherungsdienst aktivieren" angehakt.

Dann bin ich auf die Quell-DS. Dort habe ich versucht unter "Datensicherungsziel" den Backup-Server-Namen zu hinterlegen. Egal ob ich einen neuen versuche anzulegen oder ob ich den bestehenden zu verändern versuche, ich bekomme die Meldung: "Keine Rückmeldung vom Zielserver. Bitte versuchen Sie es später erneut." zurück.

Ich verstehe nicht, wo ich den Fehler vermuten soll. Hat jemand eine Idee, wo ich noch ansetzen kann?

Viele Grüße
//nephilim

 

[frankyst72]

Ich kann die Kiste via "https" erreichen.

das klingt vielversprechend

ich kann es im Moment nur nachstellen, da meine DS115j gerade bei mir im Heimaturlaub ist (Am Wochenende, werde ich es noch mal unter Realbedingungen einrichten) Aber so sollte es aussehen:

Quell-DS (bei mir DS1815+):



Hier Port "xxx22" eintragen



Ziel-DS (DS115j):


Und am Ziel-Router die Umleitung von Port "xxx22" auf 22


Das ganze unter Vorbehalt!

 

[nephilim]

Hej,

also ich habe es hinbekommen. Mir fehlte eine Portweiterleitung (Port 6281) auf der Zielseite. Leider bekomme ich - scheinbar durch die Zwangstrennung der ISPs - nicht gebacken, die kompletten Daten (ca. 260GB) via Internet zu übertragen. Und scheinbar muss die Datensicherung im Falle eines Netzwerkfehler o.ä. immer wieder von vorn beginnen. Und so würde das wohl nichts werden. Ich hole die elterliche also wieder heim und mache wieder eine Erstsicherung im eigenen Netz und bringe sie dann wieder fort. Was hilfreicheres fällt mir dazu nicht ein.

Trotzdem vielen lieben Dank. Das eigentliche Thema dieses Threads ist gelöst.

Viele Grüße
//nephilim

 

[Puppetmaster]

Und scheinbar muss die Datensicherung im Falle eines Netzwerkfehler o.ä. immer wieder von vorn beginnen.

Das ist nur scheinbar so. In der Tat prüft rsync, was bereits übertragen wurde und kopiert diese Dateien nicht noch einmal.

Ich hole die elterliche also wieder heim und mache wieder eine Erstsicherung im eigenen Netz und bringe sie dann wieder fort.

Das wäre allerdings auch die bessere Variante.

 

[TACiboy]

...also ich habe es hinbekommen. Mir fehlte eine Portweiterleitung (Port 6281) auf der Zielseite...

Soweit ich weiß wird Port 6281 für die Standard Volumen-Netzwerksicherung (ohne Verschlüsselung) verwendet. Wenn du Transportverschlüsselung via SSH nutzen möchtest, sollte der Datenstrom doch aber über Port 22 (bzw. bei dir xxx22) geroutet werden oder habe ich hier einen Denkfehler?


Viele Grüße,
Christian

 

[nephilim]

Soweit ich weiß wird Port 6281 für die Standard Volumen-Netzwerksicherung (ohne Verschlüsselung) verwendet. Wenn du Transportverschlüsselung via SSH nutzen möchtest, sollte der Datenstrom doch aber über Port 22 (bzw. bei dir xxx22) geroutet werden oder habe ich hier einen Denkfehler?


Viele Grüße,
Christian

Das weiß ich nicht. Mir ist eine Portliste in die Hand gefallen und habe mal durchprobiert, was da so zur Datensicherung zu finden war und mit 6281 hat es dann geklappt. Ich vermute aber, dass es mit einer Einstellung am Zielserver zu tun hat:



Viele Grüße
//nephilim

 

[goetz]

Hallo,
@nephilim
bitte keine Vollzitate und erst recht nicht wenn Du direkt antwortest.
Danke.

Gruß Götz

 

[latti]

Soweit ich weiß wird Port 6281 für die Standard Volumen-Netzwerksicherung (ohne Verschlüsselung) verwendet. Wenn du Transportverschlüsselung via SSH nutzen möchtest, sollte der Datenstrom doch aber über Port 22 (bzw. bei dir xxx22) geroutet werden oder habe ich hier einen Denkfehler?

Kann dies jemand bestätigen, dass Port 6281 unverschlüsselt ist?

Hintergrund:
Ich habe mich die letzten Tage eingelesen in die Sicherung einer DS zu einer anderen über das Internet. VPN habe ich ausgeschlossen, da ich nicht ständig einen Tunnel offen haben kann/will. So stiess ich auf die "SSH-Sicherung", welche heute mit der Hyper Backup App nach wie vor durchgeführt werden kann wenn man bei der Datensicherungsaufgabe "rsync (legacy)" auswählt.

Gerne möchte ich aber die Versionierung/Smart Recycle von der neuen Hyper Backup App, welche ich bei der Einrichtung der Datensicherungsaufgabe durch die Auswahl "Remote Synology NAS" erhalte. Dort stellt sich mir aber die grosse Frage wegen Port 6281. Der Port bleibt unverändert (mit der Möglichkeit manuell einzugreifen), wenn ich die Option Übertragungsverschlüsselung aktiviere. Im Gegensatz dazu wechselt er beim Setup als "rsync (legacy)" automatisch auf den Port 22 um.

Das ganze verwirrt mich etwas, denn wenn ich über Port 6281 verschlüsselt fahre sollte dies doch gleich sicher sein wie über Port 22 verschlüsselt. Ich hoffe ihr versteht mein Anliegen und könnt mir da kurz weiterhelfen.

 

[Puppetmaster]

Der Port ist irrelevant. Wichtig ist, was du beim Backupjob einstellst. Hast du dort die Option der Übertragungsverschüsselung ist das prinzipiell einmal unabhängig vom genutzten Port.

 

[chats]

Wie lautet denn eigentlich der einzutragende Servername?

Wenn ich lediglich den DYN-DNS Namen (incl. Benutzer und Passwort) eintrage dann wird die DS im Internet nicht gefunden.

Lokal hingegen über die direkte Eingabe der IP-Adresse klappt das.

Portfreigaben habe ich testweise auf 22 und 6289 freigeschaltet.

 

[latti]

Danke Puppetmaster. Jetzt ist alles klar. Bin mit diesen Geschichten immer sehr vorsichtig und frage lieber einmal zu viel als zu wenig.

@chats

In meinem Fall habe ich nur die DYN-DNS beim Server (Datensicherumgsziel) eingetragen (in meinem Fall die MyFritz Adresse der Fritzbox) und es hat geklappt.

Hast du dich nur vertippt oder tatsächlich den Port 6289 freigeschaltet. Dieser sollte für Hyper Backup standardmässig die 6281 sein.

 

[chats]

Ich habe in einer Testumgebung 2 DS beide mir der DS Software 5.2 xxxx
Ich habe das meiner Meinung nach auch so konfiguriert wie hier beschrieben.

1. Bezieht sich die Anleitung nur auf HyperBackup?

2. Wie habt ihr das mit den Portfreigaben gemacht. Auf beiden FritzBoxen Port 6281 auf die DS'en weitergeleitet?

Mich interessiert an der Stelle noch keine Verschlüsselung.
Das möchte ich anschließend realisieren.

 

[frankyst72]

Wenn ich lediglich den DYN-DNS Namen (incl. Benutzer und Passwort) eintrage dann wird die DS im Internet nicht gefunden.

Ja, hier gibst Du den DynDNS-Namen an, nichts davor, nichts dahinter z.B. ds.meine_zweite_DS.de

Ihr könnt das ja auch erst mal alles mit dem Standardport 22 probieren. Ich wollte den halt nicht dauerhaft offen lassen.

1. Bezieht sich die Anleitung nur auf HyperBackup?

Zu dem Zeitpunkt als ich das geschrieben habe, war es noch DSM 5.2 und damit Datensicherung & Replikation. Prinzipiell funktioniert das aber genau so auch mit Hyper Backup.

2. Wie habt ihr das mit den Portfreigaben gemacht. Auf beiden FritzBoxen Port 6281 auf die DS'en weitergeleitet?

ja und halt weitergeleitet auf Port 22 der jeweiligen DS

Mich interessiert an der Stelle noch keine Verschlüsselung.

Die Verschlüsselung (der Verbindung) ist auch nur ein Haken, den kannst Du auch später setzten,

 

[chats]

Ich habe nun in der FritzBox nochmals die Ports geändert bzw. kontrolliert.
Ich habe den Port 6281 direkt auf die DS weitergeleitet.
Und als nächsten Schritt den Port 6281 auf den Port 22 weitergeleitet.

Aber der Verbindungstest schreibt mir:
Verbindung fehlgeschlagen. Bitte überprüfen Sie Ihre Netzwerkeinstellungen.

Hat noch wer eine Idee?

 

[anarchy]

Ich habe den Port 6281 direkt auf die DS weitergeleitet.
Und als nächsten Schritt den Port 6281 auf den Port 22 weitergeleitet.

Das verstehe ich nicht, das sollte nur ein Schritt sein...
oder jedoch zwei getrennte, aber nicht mischen!

Du würfelst dir hier bei den Ports etwas zurecht..
entweder du arbeitest mit HyperBackup und Port 6281
oder mit rsync und Port 22
beides zusammengemischt funktioniert nicht

 

[tomtom00]

Hintergrund:
Ich habe mich die letzten Tage eingelesen in die Sicherung einer DS zu einer anderen über das Internet. VPN habe ich ausgeschlossen, da ich nicht ständig einen Tunnel offen haben kann/will.

Man kann VPN Verbindungen auch (via Script) zu bestimmten Uhrzeiten starten/beenden. Läuft bei mir auf zwei DS ohne Probleme.

 

[frankyst72]

funktioniert es denn, wenn beide DS im gleichen Netzwerk stehen? Oder ist das nicht möglich zu testen? Das sollte erst mal funktionieren. Dann kann man sie an getrennten Orten aufstellen und die zusätzlichen Konfigurationen durchführen und testen.

Und zu den Ports. Lt. https://www.synology.com/de-de/know...t_network_ports_are_used_by_Synology_services
- Port 6281 = TimeBackup (Datenvolume)
- Port 22 = Verschlüsselte Netzwerksicherung (und damit meinen die Hyper Backup)

Somit ist er mit Port 22 schon richtig unterwegs. Diese Portummapperei kann einen aber auch durcheinanderbringen. Deswegen hatte ich schon mal vorgeschlagen es direkt mit Port 22 zu machen und wenn das funktioniert, den Port umzulegen, damit nicht Port 22 dauerhaft offen ist,

Nicht unterkriegen lassen, das funktioniert schon!