VPN-Verbindung zwichen 2 NAS?

[Runk]

Hi,
ich habe eine DS720+ als NAS in meinem Netzwerk eingebunden, das hinter der Fritzbox aufgebaut wurde.

Nun habe ich mir eine gebrauchte DS215j besorgt, auf der ich via Hyperbackup ein regelmäßiges Backup der DS720+ ablegen möchte.

Die Einrichtung des Backups hat wunderbar über die Funktion "Remote NAS" funktioniert. Allerdings befinden sich die beiden NAS physisch im gleichen Netzwerk hinter der Fritzbox.
Um den Backup-Gedanken auch sinnvoll zuende zu denken, würde ich die DS215j gerne in ein anderes Netzwerk bei Freunden hinter einer anderen Fritzbox stecken.

Via VPN würde ich die DS215j aber gerne virtuell in meinem eigenen Netzwerk lassen. Soviel zur leihenhaften Idee.

Nun die Fragen, bei denen ich eure Hilfe bzw. ein paar Richtungsschüsse bräuchte, da ich noch nicht den richtigen Suchbegriff hier im Forum gefunden habe.

1. Auf welchem Gerät ermögliche ich den Einstieg in mein eigenes Netzwerk? Über meine Fritzbox? Über die DS720+ via VPN Server?
2. Was muss ich auf der DS215j einstellen/installieren, damit sie sich über eine VPN-Verbindung in meinem Netzwerk einwählt?

Meine Idee war es auf der DS720+ VPN Server zu installieren und darüber irgendwie die DS215j in mein Netzwerk zu lotzen.
In einem Video habe ich gesehen, dass L2TP/IPSec die zeitgerechteste Variante ist, um sich einzuwählen. Allerdings weiß ich nicht wie der IP-Bereich zu wählen ist.



Ich habe beide NAS in mein Synology-Account eingebunden und jede hat über Synology eine eigene DDNS und eine Quickconnect-Adresse zugewiesen bekommen.

An dieser Stelle bin ich etwas lost, wie füge ich die losen Ideenenden zusammen?

Vielen Dank für eure Hilfe im Voraus...

 

[NSFH]

Wissen deine Freunde, dass du Zugriff auf ihr LAN bekommst, wenn Sie dich in ihr Netzwerk lassen???
Ja die Syno kann VPN aber wer stellt seinen Fileserver mit einem Bein direkt ins Internet? Leichtsinniger geht kaum.
VPN baut man aus Sicherheitsgründen immer zwischen Routern auf, nicht zwischen Servern.

Mit den Fritzboxen könntest du eine Standverbindung herstellen (site2site). Egal welche Seite dann eine Verbindung benötigt, sie steht immer zur Verfügung. Dann kommen auch deine Freunde in dein LAN.
Ich würde ganz einfach in der Fritzbox der Freunde den VPN Zugang (Server) einrichten und mich bedarfsweise in deren LAN einwählen, also nur zur Datensicherung.

 

[ottosykora]

VPN baut man aus Sicherheitsgründen immer zwischen Routern auf, nicht zwischen Servern.

Da müsste die ganze Welt Router verwenden die so was können.
Bitte so was nicht als allgemein gültige Weisheit verbreiten, der Rest der Welt hat solche Router nicht und verwendet unterschiedliche VPN Server.
Und der VPN Server auf der DS hat absolut auch seine Berechtigung. Damit ist nicht ganzer Fileserver im Internet.

 

[geimist]

Ich hatte lange Zeit das gewünschte Szenario im Einsatz. Die Backup-DS stellte im DSM den VPN-Server mit OpenSSL zur Verfügung (nur ein Port ist im Router auf der BackUp-Seite zu öffnen / VPN-Server-IP 10.0.0.1). Die Quell-DS hat die Verbindung zur Ziel-DS hergestellt (Systemsteuerung > Netzwerk > Netzwerk-Schnittstelle). Beiden Routernetzwerke sind so erstmal grundsätzlich für beide Seiten unabhängig.

 

[NSFH]

Da müsste die ganze Welt Router verwenden die so was können.
Bitte so was nicht als allgemein gültige Weisheit verbreiten, der Rest der Welt hat solche Router nicht und verwendet unterschiedliche VPN Server.
Und der VPN Server auf der DS hat absolut auch seine Berechtigung. Damit ist nicht ganzer Fileserver im Internet.

Eigentlich schätze ich deine Beitrräge, aber was du hier schreibst ist schlicht falsch!
Viele denken, die Syno kann alles , dann soll sie es auch tun. Ein kardinaler Denkfehler.
Mit vielen Funktionen stellst du deine Syno direkt ins Internet! Wohin sonst zeigt die ungefilterte Portweiterleitung der Fritz? Direkt auf den Nw-Port des NAS.
Innerhalb des Fileservers, und das ist die Syno für die meisten, wird dann entschieden wie der Direktkontakt aus dem Internet verarbeitet wird.
Du willst mir doch jetzt nicht wirklich erklären wollen, dass hier kein Risiko besteht?

Und ja: Der Standard ist nach wie vor, dass VPN Verbindungen von Routern oder eigenen VPN-Servern betrieben werden.
Das das hier viele einfach ignorieren stimmt, aber das macht es nicht besser und schon lange nicht zu einem quasi Standard, es ist eher eine quasi Unsitte!

In diesem Fall spricht absolut nichts gegen eine VPN Verbindung, die von den Fritz generiert wird. Die ist aus Sicherheitsgründen immer einem Syno VPN-Server vorzuziehen.

 

[ottosykora]

Was ich nur sagen will, die Aussage 'VPN gehört auf den Router' ist etwas national lokal patriotisches.
Das hat keine allgemeine Gültigkeit weil andere Router so was halt nicht so selbstverständlich können und somit werden eben VPN Server auf verschiedenen Komponenten betrieben, inklusive auf sonstigen Servern die einen VPN Wartungszugang brauchen.

Und wenn es jemand auf der DS betriebt, macht es genau was es soll. Nämlich einen Zugang zu der DS ermöglichen. Das ist ja der eigentlich Ziel. Und den bekommt man ob es auf dem Raspi, einem Cisco Server, oder einer FB läuft. Ist ja das eigentliche Ziel.

 

[Jagnix]

Was ich nur sagen will, die Aussage 'VPN gehört auf den Router' ist etwas national lokal patriotisches.

Echt jetzt ?
Sorry aber VPN gehört entweder auf den Router od. eine Firewall/Server die entsprechend gehärtet sind.

Aber betstimmt nicht auf ein NAS.

 

[derek]

Ich sehe es genauso, dass ein VPN-Server nicht direkt ins LAN gehört.
Diese Funktion sollte entweder schon gleich mit in der Firewall/Router genutzt werden.
Oder ein extra VPN-Server wird im Perimeternetzwerk/DMZ betrieben und die Firewall reguliert dann auch noch den Datenverkehr vom VPN-Server ins LAN (z.B. welcher Server/PCs im LAN erreichbar sind und welche Dienste/Ports).
Der Ansatz auch außer Haus ein Backup zu haben und dieses aktuell zuhalten ist ja auch richtig, nur sollte man dabei aber nicht generell die Sicherheit seiner Daten / seines Netzwerkes dabei gefährden.
Einen solcher Hinweis an den Fragesteller ist schon sinnvoll, ob der Hinweis dann auch umgesetzt wird, bzw. die Risikoabwägung bleibt ihr/ihm überlassen.

Auch der Hinweis auf die Situation im Netzwerk der Freunde ist legitim bohrt man ja auch die dortige Sicherheit an.

Auf der Fritzbox der Freunde würde ich für diesen Fall den Gastzugang für den LAN-Port 4 aktivieren (das sollte unter Heimnetz -> Netzwerk in der Fritzbox zufinden sein) und an diesen das Backup-NAS anschließen.
Damit ist das Backup-NAS schonmal getrennt vom internen LAN der Freunde.
Für den Gastzugang der Fritzbox gibt es auch ein Profil das in der Regel nur Mail und Webseiten zulässt. Das ist anzupassen (Internet -> Filter -> Zugangsprofile).
Das Backup-NAS wäre dann als VPN-Client einzurichten, für den Verbindungsaufbau zu deinem NAS in deinem Netzwerk.

Zu der eigentlichen Frage, welcher IP-Adressbereich zu nehmen ist, das bleibt ganz dir überlassen. Das sollte wie vom NAS vorgeschlagen ein IP-Bereich sein, der für private Netzwerke reserviert ist und ansonsten in den beteiligten Netzen noch nicht verwendet wird. Der Bereich mit 10.x.x.x ist ok.

Da Du geschrieben hast, das DynDNS funktioniert, lasse ich Anmerkungen zu DSL-lite an der Stelle weg und gehe davon aus, das dein Internetanschluss über eine eigene erreichbare öffentliche IP-Adresse verfügt.

VG Derek

 

[Runk]

Der Ansatz auch außer Haus ein Backup zu haben und dieses aktuell zuhalten ist ja auch richtig, nur sollte man dabei aber nicht generell die Sicherheit seiner Daten / seines Netzwerkes dabei gefährden.
Einen solcher Hinweis an den Fragesteller ist schon sinnvoll, ob der Hinweis dann auch umgesetzt wird, bzw. die Risikoabwägung bleibt ihr/ihm überlassen.

Bitte sagt mir, wenn meine Idee fahrlässig oder falsch ist... meine Absicht ist, dass ich eine möglichst sichere Verbindung zwischen den beiden NAS herstellen kann.

Von der DS720+ zur DS215j, um regelmäßig das Backup zu erstellen.
Und im Bedarfsfall der umgekehrte Weg, um ein Datenwiederherstellung durchzuführen.

Es ist meines Erachtens nicht nötig, dass die Netzwerke in Ihrer Gesamtheit untereinander kommunizieren. Es geht wirklich nur um die NAS, die ausschließlich für die oben genannten Zwecke kommunizieren sollen.

Wenn es schlankere und sichere Wege gibt, bin ich mehr als offen

VG

 

[Stationary]

Möglichst einfach und hinteichend sicher für Deinen Zweck ist LAN-LAN-Kopplung zwischen zwei Fritzboxen und dahinter jeweils das NAS. In Deinem Szenario würde ich die Kopplung aber vielleicht nur bedarfsweise anschalten. Bei mir steht die Verbindung ständig, ber es sind eben auch zwei Standorte des gleichen Haushalts.

 

[derek]

Mit den Mitteln zwei Fritzboxen und zwei NAS, sehe ich es auch wie "Stationary", ist die VPN-Verbindung zwischen den beiden Fritzboxen gegenüber fremden Zugriff die sicherere Lösung.
Jetzt kommt mein großes "aber", das Vertrauen zwischen dir und den Freunden des anderen Netzwerks muss schon groß sein, da jede Seite dadurch Zugriff auf das andere Netz bekommt. In der Fritzbox kann mann leider keine expliziten Firewall-Regeln aufstellen um das zu verhindern und nur die Kommunikation zwischen den beiden NAS zu erlauben.
Läuft z. B. auf deiner Diskstation der Mediaserver, weil du und deine Familie darüber die Urlaubsvideo euch anschaut, dann können das die Freunde auch, weil der Mediaserver per DLNA keine Benutzeranmeldungen kennt.
Dies muss beiden Seiten klar sein.

Bemerkung am Rande, die IP-Adressbereiche der beiden lokalen Netzwerke müssen unterschiedlich sein, bitte nicht auf beiden Seiten das Fritzbox Standardnetz 192.168.178.x nutzen, sonst finden sich die beiden NAS nicht.

Ich selbst betreibe hinter dem Router meines Kabelanbieters einen separaten Router, den ich als exposed Host eingerichtet habe.
Dieser stellt auch einen VPN-Server bereit über den ich mich von unterwegs einwählen kann. Über dessen Firewall-Regeln begrenze ich dann auch den VPN-Zugriff in mein lokales Netz.
So eine Lösung bedeutet aber eine zusätzliche Anschaffung und ein Stromverbraucher mehr plus Zeit und Einarbeitung in die Funktionalität eines solchen Routers.

VG Derek

 

[Stationary]

nicht auf beiden Seiten das Fritzbox Standardnetz 192.168.178.x nutzen, sonst finden sich die beiden NAS nicht.

Da finden sich nicht nur die beiden NAS nicht, da klappt es schon mit dem Aufbau des VPN durch die beiden Fritzboxen nicht.

Jetzt kommt mein großes "aber",

Da hast Du @derek Recht, bei mir ist das kein Thema, weil ich drei Orte der gleichen Familie/des gleichen Haushaltes miteinander verbinde und jeder auf alles Zugriff haben kann/soll. Ob ich das mit Freunden machen wollte, würde ich mir auch gut überlegen (und wahrscheinlich zu dem Schluß kommen: NEIN).

Bei Fritzboxen ist eine LAN-LAN-Kopplung mit einer am Kabelanschluß trotz DS-Lite kein Problem, wenn die andere Fritzbox am normalen VDSL hängt. Ob zwei Fritzboxen mit Kabelanschluß funktionieren würden, weiß ich nicht, vermute aber mal, daß das aufwändiger ist.

 

[Runk]

Ich habe mir das Thema LAN-LAN-Kopplung bei AVM angeguckt. Meine Idee wäre nun, dass ich die fritzboxen jeweils so konfiguriere, dass nur der 3. LAN-Anschluss für die VPN verbindung zur Verfügung steht. Die DS215j wird bei den Freunden an genau diesem Port angeschlossen. Damit ist das Netzwerk bei den Freunden vor mir "sicher"

Die DS720+ wird mit beiden Anschlüssen an meiner Fritzbox angeschlossen (u.A. auch am 3.Lan-Anschluss). Damit sollten dann die beiden NAS miteinander kommunizieren können und ich sollte meine eigene NAS auch in meinem Netzwerk nutzen können.

Jetzt wäre die Frage, ob die DS720+ die beiden LAN-Anschlüsse voneinander trennt, so, dass hier nichts überspringt?

Idee:
Hyperbackup nur auf den LAN-Anschluss legen, der am VPN-Lan-Anschluss hängt,
den Rest der Anwendungen von diesem Lan-Anschluss fernhalten.

Vielen Dank

 

[the other]

Moinsen,
mag sein, dass ich irre und AVM da was Neues implementiert hat...
AFAIK kannst du das so nicht lösen. Die Fritzboxen haben genau zwei Netzwerke, die sie zur Verfügung stellen: LAN und Gastnetz. Mehr geht nicht. Soll heißen: alle LAN Ports weisen in EIN Netzwerk (Ausnahme: LAN4 kannst du für den Gastnetzwerkbereich schalten). Die Fritzboxen können eben nicht diverse Netzwerkbereiche regeln. Wenn du also Geräte an den LAN-Ports 1-3 anschließt, dann sind die IMMER im selben Netzwerkadressbereich und entweder alle ansprechbar oder gar nicht.
Was du bei deiner Idee benötigen würdest wäre ein Router, der verschiedene Netzwerkbereiche beherrscht und zwischen diesen Routen kann (zB bei der pfsense, dort kannst du LAN-Port 1 ein anderes Netz zuteilen als LAN-Port 2, zusätzlich kannst du da auch VLANs anlegen.)

Wenn du also per VPN site-to-site arbeitest und Fritzboxen nutzt, dann hast du automatisch Zugriff auf alle Clients im Netzwerk (es sei denn, du schützt diese clientbezogen per Firewall, auch das kann aber nicht auf der Fritz eingerichtet werden) oder gar keinen (Einstellung, dass keine Kommunikation zwischen Clients möglich ist).