DSM 6.x und darunter Ziel-NAS für Backup direkt an 2. Netzwerkport von Quell-NAS anschließen

[ToZi]

DS220+ ist die Quelle und DS211j das Ziel meines (Hyper)Backups, beide im lokalen Netz.
Nun würde ich gerne das Ziel direkt über den 2. Netzwerkport meiner Quelle anhängen, damit ich den Switch ausschalten kann, wenn die beiden des Nachts ihre Backups untereinander ausmachen.
Was ich bisher verstanden habe:
1) Quelle: Ich muss den 2. Port mit einer statischen IP-Adresse konfigurieren. Da ich das mit den IP-Adressen noch nie so richtig verstanden habe bitte ich um Erleuchtung was da genau gesetzt werden muss: für IP-Adresse ist "irgendwas" OK, z.B. 10.10.10.10 ? Muss ich überhaupt irgendwas für Subnetzmaske, Gateway und DNS Server eintragen? Schließlich geht es ja nur um eine Punkt-zu-Punkt Verbindung.
2) Ziel: Hier muss ich auch eine statische Adresse eintragen. Ist z.B. 10.10.10.11 OK? Sonst nichts (Subnetz, Gateway, DNS-Server)?
Dann stöpsele ich mein NW-Kabel um und verbinde die beiden direkt. Neustart erforderlich?
Und hier der Grund warum ich das nicht einfach alles ausprobiere sondern lieber vorher frage:
Nun ist ja mein Ziel-NAS nicht mehr vom PC aus im "normalen" Netz zugänglich.
3) Wie kann ich nun wieder auf mein Ziel-NAS vom Browser auf dem PC aus zugreifen - oder webigstens Putty? Kann ich irgendwie "durch das Quell-NAS durchgreifen"? Ich möchte natürlich nicht den Zugang zur DSM-Oberfläche auf dem Ziel verlieren. Ich muss ja wenigstens die Möglichkeit haben dereinst die IP-Adresse zurück zu ändern damit ich das NAS wieder ins normale NW zurückholen kann (mit DHCP).
4) Wie kann ich verifizieren, dass die Verbindung Quelle - Ziel funktioniert? Wie mache ich das Ziel auf der Quelle sichtbar (mit Remote-folder)?

Gehört eher in eine andere Kategorie, aber wenn wir schon dabei sind:
5) Zur Zeit habe ich als Ziel für die Hyper-Backup Jobs einfach den Namen des Ziel-NAS (mit Port 6281) angegeben. Vorausgesetzt der Name des NAS bleibt gleich, funktionieren dann die HB-Jobs unveröändert weiter? Ich möchte natürlich nicht, dass meine Backup-Historie irgendwie kaputt geht oder ich evt. sogar alle Jobs von vorne starten muss.

VIelen Dank im Voraus für jegliche Hilfestellung !

 

[Benares]

Ich würde das nicht machen, du siehst ja wohin das führt. Wegen der paar Watt, die der Switch braucht?
Denk dran, dass du mit dem Ausschalten des Switches wohl auch die DS220+ vom Router trennen würdest und dann z.B. auch keine Namensauflösung mehr funktioniert. Es gibt sicherlich noch mehr Seiteneffekte.

 

[ToZi]

Nun ja, ich brauche für mein NAS sowieso keinen Zugriff von außerhalb des lokalen Netzwerks, also ist die Trennung vom Router kein Problem. Und meinen letzten Port am switch würde es auch wieder frei machen.
Ich dachte nur, dass das nicht so ein exotischer Anwendungsfall sein könnte, das sich nicht jemand schon mal damit befasst hat.
Der Reaktion nach zu urteilen ist das aber wohl doch so ...

 

[Rotbart]

Möglich ist das, Vorteil wäre das dein Backupsystem sicher gegen unerlaubte Zugriffe geschützt ist, d.h nicht sichtbar in deinem Netz, da du nur über das HauptNAS auf die Backupmaschine Zugriff hast. Überwachen, Administrieren kannst du über CMS, wenn du dochmal auf das DSM willst musst du halt das Netzwerkkabel umstecken.Ich habe das bei mir so ähnlich allerdings über Vlan.

 

[NSFH]

Warum soll man den Switch nicht auschalten dürfen wenn sowieso im LAN nix passiert? Nebeneffekte Null da ja nicht gearbeitet wird.

Konfiguriere die 2. Schnittstelle zum Beispiel mit 192.168.111.111 mit der Maske 255.255.255.0 im Server, kein Gateway
und 192.168.111.112 und 255.255.255.0 im Backupserver.

Dann installiere die App CMS von Synology. Damit kannst du vom Hauptserver den Backupserver fernwarten.
https://www.synology.com/de-de/dsm/packages/CMS

Wenn sich die IP dieser Verbindung von der normalen Nw-IP unterscheidet ist das gar nicht mal verkehrt, denn dann sieht ein EIndringling deinen Backupserver nicht wenn die Verbindung über einen Router läuft. Bei deiner Direktverbindung erscheint er sowieso nirgendwo ausser im Masterserver.

Das war es dann schon.

 

[ikorbln]

Hm, ja...alles Machbar. Aber mir scheint der Nutzen für diese Lösung nicht so hoch zu sein. Um einen Port am Switch frei zu bekommen und etwas Strom zu sparen würde ich meine Infrastruktur nicht so "verkomplizieren".

 

[NSFH]

Ich sehe das unter dem Sicherheitsaspekt als höchst sinnvoll an und kompliziert ist an diesem Konstrukt gar nichts.

 

[ToZi]

die App CMS von Synology. Damit kannst du vom Hauptserver den Backupserver fernwarten.

@NSFH Bingo - genau sowas isses was ich gesucht habe ohne dass ich wußte. dass es das gibt!
Vielen Dank auch für die Infos zur 2. NW Schnittstelle!
Das mit der Sicherheit sehe ich auch so. Also warum dann nicht die zweite NW-Schnittstelle verwenden wenn sie schon mal da ist ...

Nun noch eine letzte Frage aus meinem OP bezüglich der bereits laufenden Hyper-Backup Jobs, falls da schon mal jemand durch ist - ansonsten werde ich es halt ausprobieren. Bin nicht grade scharf drauf die ganzen initialen Backups nochmal zu machen (~2-3 Tage):

5) Zur Zeit habe ich als Ziel für die Hyper-Backup Jobs einfach den Namen des Ziel-NAS (mit Port 6281) angegeben. Vorausgesetzt der Name des NAS bleibt gleich, funktionieren dann die HB-Jobs unveröändert weiter? Ich möchte natürlich nicht, dass meine Backup-Historie irgendwie kaputt geht oder ich evt. sogar alle Jobs von vorne starten muss.

 

[Rotbart]

Ja geht weiter, einfach die Zieladresse anpassen.

 

[ToZi]

@Rotbart Danke - an anderer Stelle klemmt's noch etwas:
Ich habe die IP-Adressen für die Schnittstellen wie oben gesetzt, die NASen direkt miteinander verbunden und über versuche nun über CMS die Verbindung herzustellen. Das hat nach mehreren Minuten auch geklappt (vorher ging's ratz-fatz), nur wenn ich nun "zu Server" gehen will bekomme ich eine Fehlermeldung, dass mein Browser (FF) das Fenster sperrt. Das kam vorher auch, dann habe ich mich durchgeklickt und Verbindung bekommen. Nun versucht er aber direkt das Backup-NAS unter https://192.168.111.112:5001/webman/ aufzurufen - was natürlich nicht funktionieren kann, da diese IP Adresse ja im lokalen Netz (in dem das "Haupt-NAS" sitzt) nicht erreichbar ist, sondern nur zwischen den beiden NASen. Ein Klick auf den Link endet also im Timeout.
"Verbindung testen" im CMS bringt zunächst minutenlang "Daten werden aktualisiert", aber am Ende den Status "verbunden".

In den HB-Jobs habe ich anstatt der Servernamens (der unverändert blieb) die IP-Adresse eingetragen, und damit laufen die Jobs auch problemlos wieder an. Super - das wichtigste tut schon mal.

Es bleibt die Frage, wie ich zur Verwaltung wieder auf mein Backup-NAS komme?

 

[ToZi]

Nach etwas Überlegung ist mir nun ziemlich klar, dass ich über einen Browser im lokalen Netzwerk niemals auf ein Gerät zugreifen werden kann, welches in diesem NW gar nicht sichtbar ist (da hinter dem "Haupt-NAS"). Gerade das ist ja der Sicherheitsaspekt an diesem Setup.
Auf das DSM des Backup-NAS sollte ich aber eigentlich unmittelbar vom Haupt-NAS aus zugreifen können - oder? Für einen http(s) Zugrif bräuchte ich dann aber sowas wie einen Browser der auf dem Haupt-NAS läuft. In den angebotenen Paketen habe ich allerdings nix gefunden.
Hat dazu jemand eine Idee oder bin ich auf dem falschen Dampfer?

 

[Benares]

Vielleicht lässt sich ja über den Reverse-Proxy auf der Haupt-DS etwas basteln. Das beträfe dann aber nur den http(s)-Zugriff.
Aber, wie schon in #2 gesagt, ich halte nicht sehr viel von solchen Konstrukten. Als nächstes willst du dann mit Samba zugreifen, die DS aktualisieren ...
Wenn es nur darum geht, einen Switch-Port zu sparen, ist das lächerlich. Einfache Switches mit mehr Ports gibt es schon für kleines Geld.

 

[Rotbart]

Ich hab das bei so:
Backup NAS IP: 192.168.7.97
Subnetzmaske: 255.255.255.0
Gateyway + DNS 192.168.7.1

Arbeits NAS LAN 1: IP 192.169.7.8
Subnetz: 255.255.255.0
Gateway + DNS 192.168.7.1
LAN 2 (Backupanschluss)
IP: 192.168.7.98
Subnetz: 255.255.255.252
Gateway: 192.168.7.97
Damit geht jeder Verkehr zum Backup automatisch über LAN 2, Überwachung, Updates wie gesagt über CMS, auf dem Gerät läuft nur Hyperbackup, Gerät schaltet sich automatisch an und aus, ist nicht vom restlichen Netzwerk erreichbar, so gewollt. Wenn ich doch mal alle paar Jahre mich auf DSM anmelden will, brauch ich nur das Kabel vom LAN 2 auf den Switch umstecken und ich hab vollen Zugriff, da dann das Gerät im normalen Netz ist.Damit ist der Aufwand für mich überschaubar.

 

[NSFH]

Wenn du mit dem Browser über das Haupt NAS auf das Backup NAS willst geht das nur mit einer im Haupt NAS eingetragenen Route.
Aber warum? Dafür ist CMS da und über die Route ist der Sicherheitseffekt des nicht auffindbaren Datensicherungs NAS weg.
Es gibt keinen Grund per HTTPS auf das Backup NAS zugreifen zu müssen!
Beim Einrichten des CMS gibt man die Zieladresse des Backup-NAS ein, da kann man eigentlich nichts falsch machen.
Die Firewall der beiden NAS sollte auch darauf abgestimmt sein.

 

[ToZi]

Die Freude war leider nur von kurzer Dauer, denn nach einem Neustart des Backup-NAS kam keine Verbindung mehr zustande.
@Rotbart Genau so eine Konfiguration hätte ich auch gerne - mit dem Umstöpseln kann ich leben, wenn ich mal an das Backup-NAS dran will.
Allerdings ist die Wahl von IP-Adresse, Subnetzmaske und Gateway immer noch ziemliche Zahlenmystik für mich (ja, ich weiß schon dass es Bitmuster sind aber was kann frei gewählt werden und was muss so sein?), daher versuche ich mal deine Angaben von den Zahlenwerten zu abstrahieren, damit ich es auf mein Netzwerk anpassen kann.
Ich lese folgendes aus deinen Angaben:
Arbeits-NAS:
LAN1: a) die "169" in der IP-Adresse ist wohl ein Tippfehler - sollte 168 sein
b) Subnetzmaske auf "Standardwert" (...255.0)
c) Gateway und DNS Server ist die Adresse von deinem Router im lokalen Netzwerk (...7.1)
LAN2: d) die IP-Adresse (..98) nimmst du aus dem gleichen Subnetz wir dein "Hauptnetz" (7) - aus Sicherheitsgründen wäre es doch aber besser ein anderes Subnetz zu nehmen, oder?
e) Über die "enge" Subnetzmaske (...252) schränkst du den zulässigen Bereich für Verbindungen auf .97, .98 und .99 ein
f) die Gateway Adresse setzt du auf die IP-Adresse des LAN Ports am Backup-NAS (! notwendig?)
Backup-NAS, LAN:
g) wie e), ausgewählt (gemäß e) wurde die 97
h) wie b) ist aber hier egal - die 98 von der anderen Seite passt auf jeden Fall rein
i) wie c) -- warum das? sind die von "hinter" dem Arbeits-NAS überhaupt erreichbar ?
Ich habe das dann mal auf meine Geräte übertragen mit ein paar Änderungen (anderes Subnetz)
d) 66 anstatt 98 (da belegt)
e) wie b) - Standardwert
g) 67 anstatt 97
Allerdings kriege ich damit keine Verbindung (mehr) zu meinem Backup-NAS über CMS ("Das Synology Remote-Produkt konnte nicht mit CMS verbunden werden. Überprüfen Sie die Netzwerk- und Firewall-Einstellungen, ..."). Mit den früheren Angaben von @NSFH (aus post #5, ohne Gateway-Angabe im Arbeits-NAS) hat das immerhin unmittelbar nach der Konfiguration und Umstöpseln funktioniert, aber eben nicht mehr nach dem nächsten Booten des Backup-NAS.
Mangels ping-Möglichkeit auf dem Arbeits-NAS weiß ich auch nicht unter welcher IP-Adresse das Backup-NAS nun antritt. Wenn ich es wieder ins lokale NW hänge dann ist es nach 2 Versuchen immer wieder unter der ursprünglichen IP-Adresse (wie vor der Änderung) ansprechbar, obwohl die DSM im "Systemzustand" widget die manuell gesetzte IP-Adresse anzeigt.
Irgendwie schon alles ziemlich verwirrend...

 

[Rotbart]

a-e: ja
d: das sollte keine Rolle spielen das das Gerät nur vom Hauptnas erreichbar ist, kannst du z.b. mit Ping aus deinem Netzwerk testen
dafür bist du nach dem Umstecken sofort im normalen Netz, das könnte man zwar sicherlich jedesmal mit einer temporären Routingregel auf dem Hauptnas auch erledigen, aber ich finde das so besser.
f: glaub schon, funktioinert jedenfalls, ansonsten würde er den Weg übers Standadgateway versuchen und das funktioniert dann nicht
h-i: nur damit das Gerät sofort im LAN funktioniert wenn ich es am Switch anschliesse
guck mal hier :https://www.livewatch.de/de/tools/subnetz/rechner da kannst du für dein Netz die richtigen einstellungen finden

 

[ToZi]

Neuer Versuch:
Arbeits-NAS: LAN1: unverändert (DHCP), LAN2: IP: 192.170.8.8, Maske: 255.255.255.0, Gateway: 192.170.8.9 (=IP des Backup-NAS)
Backup-NAS: IP: 192.170.8.9, Maske: 255.255.255.0 Gateway: leer
Damit bekomme ich wieder Verbindung über CMS, aber nur im laufenden Betrieb. Nach Reboot ist wieder Ende.
Wenn ich dann das B-NAS an den Switch stecke kann ich nur über den Gerätenamen Verbindung zum DSM bekommen. Wenn ich mir dann die LAN Einstellung anschaue ist plötzlich IP des Routers als Gateway und DNS eingetragen. Als ich das zuvor mal manuell eintragen wollte hat der Dialog sich geweigert das anzunehmen, da Gateway und IP-Adresse nicht im gleichen Subnetz sind.
Gehe ich dann mit dieser Änderung wieder direkt in das A-NAS, dann bekomme ich wieder keine Verbindung.

Ich hätte schon gerne das B-NAS in einem separaten Subnetz, denn solange mein Router als Gateway drinsteht ist es halt nach außen sichtbar.
Eigentlich würde ich erwarten, dass die IP-Adressen der NASen (in einem fremden, aber demselben Subnetz) jeweils kreuzweise als Gateway-IP beim anderen Gerät stehen. Dann müßten sie sich doch vestehen? Aber auch damit bekomme ich nach einem Reboot keine Verbindung mehr.
Wenn ich das B-NAS dann wieder an den switch hänge kriege ich es schon wieder eingefangen, und sei es über den SynoAssistant.

So langsam fällt mir nix mehr ein ...

 

[NSFH]

Wenn dein Backup NAS nach dem Booten eine neue IP hat, läuft sie vermutlich unter DHCP und nicht nicht mit der festen IP.
Es kann einfach nicht sein, dass sich eine IP nach einem Neustart von alleine verändert.
Es ist kontraproduktiv ständig die IPs zu wechseln, denn du hast in Hyperbackup und auch CMS feste IPs eingetragen. Änderst du die laufend findet die Software natürlich nicht mehr ihr Gegenüber.
Gateway im Ziel NAS ist überflüssig, das braucht man nur, wenn man das lokale LAN verlassen will.

 

[ToZi]

Es kann einfach nicht sein, dass sich eine IP nach einem Neustart von alleine verändert.

Das habe ich auch nicht behauptet. Ich bekomme nur nach dem Reboot keine Verbindung mehr über CMS. Laut LAN-Port Einstellungen ist die IP-Adresse am B-NAS unverändert, d.h. DHCP ist NICHT ausgewählt. Was sich durch das Umhängen ins lokale NW (switch) ändert ist, dass hinterher als Gateway und DNS Server meine Router-IP eingetragen ist. Aber das ist vielleicht auch gut so, denn sonst könnte ich das NAS u.U. überhaupt nicht mehr ansprechen. Als Standard-Gateway (unter "Allgemein") ist nach wie vor die Router-IP eingetragen. Ich nehme aber an dass das OK ist.
Vielleicht noch ein Hinweis: IN meinem Router (FritzBox 4790) habe ich dem B-NAS eine feste IP-Adresse zugewiesen. Ich nehme an, dass die immer dann wieder zuschlägt wenn ich das NAS an den switch hänge.

Änderst du die laufend findet die Software natürlich nicht mehr ihr Gegenüber.

Na ja, soviel Grips kannst du mir schon zutrauen, dass ich die IP-Adressen in den HB-Jobs und CMS jeweils gleich halte. Wenn ich das B-NAS im laufenden Betrieb mit fester IP-Adresse direkt verbinde, dann bekomme ich auch in CMS Verbindung und die HB Jobs laufen. Nur eben nicht mehr nach einem Neustart des B-NAS.
Nachdem ich mit meinen Diagnosemöglichkeiten hier am Ende bin wäre es vielleicht hilfreich wenn mir jemend in dieser Hinsicht weiterhelfen könnte:
1) Kann ich vom A-NAS über eine Konsole das Netzwerk auf LAN2 untersuchen? Wenn ja, wie? Ich habe noch keine Möglichkeit gefunden ein Terminal aufzumachen. Ich würde gerne den Zustand "tut" (nach Konfig im Betrieb) mit "tut nicht" (nach reboot) vergleichen.
2) Muß ich evt. woanders noch Einstellungen überprüfen bzw. ändern, z.B. in der Firewall? Irgendwelche Dienste an/ausschalten, etc.?

Vielen Dank an alle, die mir bisher so weit geholfen haben! Aufgrund meiner vielen Jahre im SW Support habe ich eine gewisse Sturheit entwickelt wenn ich an einem Problem nicht weiter komme. Wäre doch gelacht, wenn wir das nicht lösen könnten

 

[NSFH]

Bei so viel Grips kann ich nicht mithalten.
Bleibe dann lieber bei denen mit weniger, da klappt das dann auch auf Anhieb.