Rsync via VPN

    Hallo zusammen,


    ich möchte gerne per VPN Rsync-Backupjobs über das Internet zwischen zwei Standorten durchführen. Folgende Grundlagen habe ich bisher geschaffen:


    Standort QNAP B (FW4.2) (Backup-Ziel)
    -DDNS eingerichtet
    -OpenVPN Server eingerichtet
    -Port 1194 Weiterleitung vom Router an QNAB


    Standort QNAP A (FW4.14) (Datenquelle)
    -OpenVPN Client eingerichtet


    Die VPN Verbindung lässt sich erfolgreich herstellen. Als VPN-User nutze ich vorerst den Admin-Benutzer. Für die Verbindung wird mir eine IP-Adresse 10.8.0.10 zurückgemeldet.


    So weit, so gut!


    Wie richte ich aber nun einen Rsync-Job ein? Ich tippe mal darauf, dass beim Erstellen eines Replikationsauftrags unter "Name oder IP-Adresse des Remote-Servers:" die IP Adresse 10.8.0.10 eingetragen werden muss? Was aber ist mit der Portnummer? Die ist ja für eine Standard Verbindung auf 873, muss ich da jetzt den VPN-Port 1194 eintragen? D.h. dass beim Backup-Ziel der Rsync-Server auch auf Port 1194 lauschen muss?
    Habe zwar bereits die Forensuche bemüht und einige Beiträge zum Thema gefunden, aber keinen, der die richtige Vorgehensweise beschreibt.


    Gruß Dirk

    Hi,
    es muss der rsync-Port angegeben werden.

    Hi Lutz,


    danke für den Hinweis. Mit dem Standard-Rsync-Port 873 bin ich ja gestartet. Erst als das nicht funktionierte bin ich auf abwegige Gedanken gekommen. :shock: Mein eigentlicher Fehler war, dass ich bei RSync die Clienten IP-Adresse (in meinem Fall 10.8.0.10) als Remote-Server eingetragen haben, aber es muss ja die VPN Server IP 10.8.0.1 sein! :idea:
    Jetzt läuft´s.


    Eine Frage zum Netzwerkzugangsschutz. Für einige Protokolle hat man die Möglichkeit bei Fehlanmeldungen IP-Adressen automatisch sperren zu lassen. Für VPN nicht? Hat man überhaupt Möglichkeiten Angriffe zu erkennen, anzuzeigen, zu melden (Email), zu blockieren?


    Jetzt guck ich mir noch an wie ich rsnap über VPN bekomme.


    Gruß Dirk

    Hi,
    VPN-Verbindung wird über einen "Schlüssel" hergestellt, nicht per User und Passwort. Deshalb würde ich mir hier keine großen Gedanken machen.

    Hi,


    ich hab mir vor Jahren mal sowas ähnliches eingerichtet. Damals aber noch nicht über den inzwischen von QNAP eingebauten VPN-Client, sondern über einen eigens gestarteten OpenVPN-Service.


    Mit dem eingebauten OpenVPN-Server hatte ich vor allem Bedenken, wo das Zertifikat und die davon abgeleiteten Schüssel herkamen. Das wollte ich lieber unter Kontrolle haben und extern selbst erstellen.


    Mal ne Frage zum aktuellen Stand:
    Funktionieren die von QNAP bereitgestellten Server/Client bzw. deren Einrichtung inzwischen so, dass man nicht das von QNAP abgelegte CA nutzen muss? Hat man heute das Gefühl, dass nur man selbst Zugang zu den Schlüsseln hat?


    Gruß
    Dirk

    Hallo zusammen!


    Lutz
    Ich glaube auch nicht, dass man die Verbindung bzw. den Schlüssel so einfach "knacken" kann. Ich hätte nur gerne gewusst/protokolliert wenn jemand von außen an meinen Ports fingert. rsnap läuft übrigens nun auch über openVPN :)


    Dirk
    Das man in der QNAP openVPN Variante das Zertifikat nicht selbst generieren kann, könnte ein Sicherheitsrisiko sein. Sehe ich auch so. Ich habe kürzlich mein Testsystem neu aufsetzen müssen. Dadurch ergab sich die Möglichkeit zwei mit demselben QNAP aber durch unterschiedlichen Installationen generierte Zertifikate zu vergleichen. Sie waren nicht gleich, aber auch nicht ganz unterschiedlich (cirka 80% Deckung). Vielleicht sind die Unterschiede aber nur durch Zeit- und Datumsstempel begründet. Eigentlich müsste es ja möglich sein ein neues Zertifikat zu erzwingen, weil ein Schlüssel ja auch unbeabsichtigt in fremde Hände geraten kann oder weil eine bestehende VPN-Verbindung aufgekündigt wird. Vielleicht durch De- und Neuinstallation? Hier https://www.qnap.com/i/de/tuto…show.php?op=showone&cid=3 findet man jedenfalls ein Tutorial als Installationshilfe was zu diesem Thema leider nichts beiträgt.


    Gruß Dirk