VPN, Rsync oder Hyper-Backup? - Remotesicherung

mprofil

Benutzer
Mitglied seit
02. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen,

ich möchte eine bestehende DS920+ mit 4x 6TB Raid 6 zu einer Remote-NAS (z.B. DS118 oder 120J, dynamische IP, dyndns) wegsichern.
[Es gibt noch ein USB Backup vor Ort]
Nun stelle ich mir die Frage bzgl. der Sicherheit.

1) Via Hyper-Backup direkt zur Remote-NAS sichern
(Hyper-Backup kann das Backup bzw. die Übertragung ja auch verschlüsseln meine ich)
2) Via Rsync zur Remote-NAS
(Hier dachte ich an SSH-Keys - keine User/PW Anmeldung)
3) Via OpenVPN + Hyper-Backup/Rsync (da Synology noch immer kein Wireguard nativ kann :mad:)[Ort A = FB 7490, Ort B = keien FB]
(DS920+ OpenVPN Server, 1Bay NAS als Client)

Was wäre eurer Meinung nach a) das sicherste und b) das performanteste?
Gibt es "bessere" oder "andere" Lösungen?

Das Initiale Backup würde man natürlich zuerst vor Ort durchführen :cool:

Danke & Gruß,
Matheus
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Leider kann Hyperbackup kein Pull. Dadurch entsteht das Problem, dass der Empfänger immer empfangsbereit sein muss. Das sehe ich auf Grund der dann immer offenen Ports als problematisch an. Daher würde ich zum VPN tendieren, auch wenn es ein Performancekiller ist.
Zuerst also gilt es dem Ziel des Backups die Möglichkeit zu geben zeitgesteuert eine VPN Verbindung vom Ziel zum Source aufzubauen. Umgekehrt um zu verhindern, dass bei Kompromittierung des Source automatisch der Zugriff auf das Ziel besteht.
Danach kannst du über VPN ein normales, zusätzlich durch HB verschlüsseltes Backup durchführen. Ich würde diese Verbindung immer zusätzlich über ein selbsterstelltes Zertifikat absichern (nicht letsEncrypt!).
Via VPN geht HyperbackupVault. Bei Punkt 1+2 musst dur RSYNC nutzen. Wenn du dazu tendierst würde ich klar SSH wie von dir beschrieben auf einem verschobenem Port nutzen.
 
  • Like
Reaktionen: MLG und mprofil

mprofil

Benutzer
Mitglied seit
02. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Mhm - dann eine kurze Verständnisfrage.
Ort A - Syno1 (192.168.1.x)
Ort B - Syno2 (192.168.2.x)

Step1) Syno1 VPN -> Dyndns-Name Syno2
Step2) Syno1 Hyperbackup/Rsync -> Syno2

Wenn jetzt die VPN verbindung besteht - wie lautet genau das Ziel von Hyperbackup ?
- Der Dyndns-Name kann es ja nicht sein -> wäre ja die Public IP
- Wäre es dann 192.168.2.x vom Zielnetz?
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
  • Like
Reaktionen: mprofil

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Genau, du musst für RSYNC den exakten Pfad von Syno2 als IP plus Verzeichnispfad zum Ablageort des Backups angeben.

Blöd ist bei dir, dass du keine festen IPs hast. Das würde es extrem vereinfachen. Dann würde ich nämlich nur SSH mit Zertifikaten nutzen und die Verbindung auf die festen IPs beschränken. Das wäre sicher und schnell.
 
Zuletzt bearbeitet:

mprofil

Benutzer
Mitglied seit
02. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Mhm - um das etwas "sparsamer" zu betreiben wäre folgendes möglich?

Ort A) Syno 1 (192.168.1.100 z.B.) -> OpenVPN-Server
Ort B) Syno 2 (192.168.2.200 z.B.) -> VPN Client

- Syno 2 Zeitgesteuert starten
- Syno 2 Auto VPN Connect
- Syno 2 Rsync Job (Source: Syno1 - 192.168.1.100/Freigabe1 <-- wäre das Format so korrekt?) Destination: Syno2 - 192.168.2.200/Freigabe1
- Syno 2 nach beenden des Rsync Jobs System herunterfahren
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.101
Punkte für Reaktionen
578
Punkte
194
Wenn du Hyperbackup nutzen willst musst du dies auf der Syno1 zeitlich passend starten.
Daran denken im Router den Port für RSYNC weiterzuleiten und auf keinen Fall andere Ports ausser RSYNC durch die beiden Firewalls lassen!
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.693
Punkte für Reaktionen
620
Punkte
134
Ich nutze Option 1 (verschlüsselt) über ein nicht Standardport, die Backup NAS fährt 5 min vorher hoch und 15 min nach Backupende wieder herunter, das ist für mich ein überschaubares Risiko und performanter als über VPN der Fritzbox, was zudem immer an wäre.
 
  • Like
Reaktionen: SunnyStar

mprofil

Benutzer
Mitglied seit
02. Sep 2019
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Ich konnte gestern Nachmittag das mal nachstellen - das hat alles soweit geklappt.
Ort A) Syno1 = DS920+ -> verbindet sich via OpenVPN zu:
Ort B) Syno2 = DS118

Syno1 -> Hyper-Backup zu Syno2 OK
Syno1 -> Hyper-Backup Rsync zu Syno2 OK
Syno1 -> Hyper-Backup Rsync Einzelversion zu Syno2 OK

Gestern stellte sich mir die Frage, ob man durch Hyper-Backup (hbk-File) einen Vorteil hat gegenüber Rsync Einzelversion?
(Abgesehen vom "Smart Cycle" / Wiederherstellungspunkten)
- Gibt es da eine Komprimierung o.ä. ? (Wird das Backup "kleiner" als Rsync Einzelversion?

Danke & Gruß,
Matheus
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wird das Backup "kleiner" als Rsync Einzelversion?
Nein, wird es nicht. Bei der versionierten Sicherung macht Hyper Backup eine Deduplizierung und du kannst mehr Pakete sichern, als bei der Einzelversions-Sicherung. In letzterem Falle werden die Daten nur 1:1 kopiert und nicht in eine Datenbank / Archiv gelegt.
 
  • Like
Reaktionen: mprofil

Rosenbluete

Benutzer
Mitglied seit
02. Mrz 2023
Beiträge
5
Punkte für Reaktionen
1
Punkte
3
Wenn Sicherheit eine Priorität ist, kann eine VPN-Verbindung bevorzugt werden. Wenn es darum geht, Daten zwischen verschiedenen Betriebssystemen zu synchronisieren, kann Rsync eine gute Option sein. Wenn man ein Synology-NAS-Gerät verwendet, kann Hyper-Backup eine nützliche Wahl sein, da es speziell für diese Geräte entwickelt wurde.
 
Zuletzt bearbeitet von einem Moderator:
  • Like
Reaktionen: SunnyStar

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
Die Syno2 sollte den vpn-tznnel auf
Syno1 = DS920+ -> verbindet sich via OpenVPN zu:
So müssen die Login-Daten auf der Quell-NAS vorliegen. Sicherer wäre es, wenn die Ziel-NAS den vpn-Tunnel öffnet. Falls die Quell-NAS doch mal korrumpiert sein sollte, kann sie den Tunnel nicht öffnen und das Backup auf der Ziel-NAS bleibt sicher.
 
  • Like
Reaktionen: SunnyStar

MLG

Benutzer
Mitglied seit
04. Mrz 2024
Beiträge
44
Punkte für Reaktionen
6
Punkte
8
Öhm... sorry wenn ich den Thread hier noch mal ausbuddele ...

Wenn ich es so wie von NSFH in Post #2 beschrieben machen will ...
Leider kann Hyperbackup kein Pull. Dadurch entsteht das Problem, dass der Empfänger immer empfangsbereit sein muss. Das sehe ich auf Grund der dann immer offenen Ports als problematisch an. Daher würde ich zum VPN tendieren, auch wenn es ein Performancekiller ist.
Zuerst also gilt es dem Ziel des Backups die Möglichkeit zu geben zeitgesteuert eine VPN Verbindung vom Ziel zum Source aufzubauen. Umgekehrt um zu verhindern, dass bei Kompromittierung des Source automatisch der Zugriff auf das Ziel besteht.
... wie bekomme ich nun einen Wireguard-Client auf das NAS B?

Dann könnte ich mich von dort elegant zum Standort der NAS A einwählen.

Ich hab dazu nur das hier gefunden und da wird es ziemlich kompliziert: https://www.reddit.com/r/synology/comments/lbnvoa/connect_nas_to_wireguard_vpn_as_a_client/?tl=de
 

MLG

Benutzer
Mitglied seit
04. Mrz 2024
Beiträge
44
Punkte für Reaktionen
6
Punkte
8
Danke. Mach ich (umgehend).

Auf der Gegenseite steht ein Unifi Cloud Gateway Ultra. Der hat nur drei VPN Server eingebaut und der Wireguard ist noch der beste von allen dreien.
 

MLG

Benutzer
Mitglied seit
04. Mrz 2024
Beiträge
44
Punkte für Reaktionen
6
Punkte
8
So... gestern noch installiert. Was soll ich sagen... Mega!!! @Rotbart + den Rest hier: Vielen Dank!

PS: Ich suche gerade noch den Haken der Lösung.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat