rsync: Ordner aus NAS der DMZ sichern - Auftrag von internem LAN-NAS

  • Hallo,


    ich habe folgendes Szenario:

    - eigenes Subnetzt für mein internes LAN. Mehrere QNAS-NAS in Betrieb

    - eigenes Subnetz für meine DMZ. Ein Synology NAS als Bilderserver (Die DMZ hat keine Zugriffsberechtigung in das interne LAN)

    - Gesteuert wird der Netzwerkverkehr über eine pfSense-Firewall


    Die Aufgabe:

    Da aus der DMZ kein Traffic nach innen (LAN) erlaubt ist, möchte ich zyklisch einen Sync-Auftrag eines NAS im LAN auf das NAS in der DMZ erstellen, um meine Bilder das NAS in der DMZ zu sichern. Die Firewall erlaubt den Zugriff aus dem LAN heraus in dei DMZ, umgekehrte Richtung wird geblockt.


    Ich habe hier im Forum sowohl eine Anleitung gefunden, die das rsync von QNAP zu Synology beschreibt und eine genau die andere Richtung (Synology zu QNAP).

    Da ich den Zugriff nur von innen (LAN) in dei DMZ erlaube, ist es also möglich meine internen Bilder auf das DMZ-NAS zu syncen. Das wil ich aber nicht. Ich möchte, dass der Sync-Auftrag von innen gestartet wird, die Bilder aber aus der DMZ auf das interne NAS im LAN gesynct werden. Also fällt der rsync-Auftrag auf dem DMZ-NAS schon einmal weg ( da dieser Traffic geblockt wird).


    Hat jemand eine Idee, wie man solch ein Szenario realisieren kann?


    Gruß

    Thomas

  • TMauritz

    Hat den Titel des Themas von „rsync: Ordner auf NAS in der DMZ sichern - Auftrag von internem LAN-NAS“ zu „rsync: Ordner aus NAS der DMZ sichern - Auftrag von internem LAN-NAS“ geändert.
  • Je nachdem wie das Backup konfiguriert ist kann es sein, dass der Backup-Job nur vom Quell-NAS gestartet werden kann - in Deinem Fall also von der Syno in der DMZ. Damit dies dennoch funktioniert, müsstest Du dann in der Firewall einfach die entsprechenden Ports für rsync für die IP-Adresse der NAS freigeben.


    Ich bin nicht sicher ob eine QNAP (Ziel) unter rsync den Backup-Job auf einer Syno (Quelle) starten kann. Was meinen unsere Syno-Spezialisten Jagnix  rednag ?

  • Hallo Jagi, hallo Mavalok2,


    danke für den Tipp.

    Also die Aufgabe der DMZ ist es doch, jeglichen Zugriff aus der DMZ in das LAN zu unterbinden.

    Das mit FTP würde ggf. funktionieren (FTP-Server auf der Syno in der DMZ installieren und dann vom LAN-NAS per ftp die Daten holen).

    Aber FTP möchte ich eigentlich nicht zusätzlich auf einem Server öffnen, wegen der Sicherheit. Dann könnte ich auf ggf. WebDAV nutzen.


    Ich muss noch einmal darüber nachdenken. Fest steht. Der Zugriff darf nur vom LAN auf die DMZ gehen, nicht umgekehrt.


    Ggf. via ssh, gesichert mit Zertifikat statt mit User/Passwort. Das habe ich schon einmal umgesetzt mit WinSCP und einem Raspberry Pi.

    Hat gut funktioniert.


    Gruß

    Thomas

    Einmal editiert, zuletzt von TMauritz () aus folgendem Grund: Zusatz ssh und Zertifikat hinzugefügt

  • Wie sieht es mit einer ganz normalen Freigabe (CIFS/SMB) aus? Habe ich bis jetzt nie ausprobiert, da ich mit RTRR zwischen QNAP NAS sichere.


    HBS3.png

  • Wie sieht es denn mit der Sicherheit aus bei CIFS/SMB, denn das NAS ist ja aus dem Web her erreichbar?

  • Auch nicht schlimmer als FTP. Das Grundproblem welches Du bei allen Methoden haben wirst ist, dass wenn jemand oder irgendwas Schadsoftware auf der Syno hinterlegt hast Du dies dann auch im LAN. Dazu würdest Du einen Scan zwischen Syno und QNAP benötigen, einen Netzwerk-Scanner oder UTM. Die sind aber eben nicht gratis.

  • Ich hab mir den von Jagnix in #3 verlinkten Thread nochmal intensiv durchgelesen. Ich hab im Moment aber Probleme mit der Umsetzung.

    Ich hab 3 segmentierte vLANS. Und ein in vLAN30 (Virtualisierung) eingebundenes vDSM soll ein Backup auf die QNAP im "normalen" LAN machen. Zwischen den Netzen hängt eine Sophos UTM. Es wäre mir auch lieber, wenn die QNAP initial das Backup holt. Ein Zugriff von LAN -> vLAN wäre besser als anders rum.

  • Ach, ist doch kein Problem Jagnix .

    Kaufst Dir nen vLAN-fähigen Switch, bisschen Hardware für die Sophos und dann hast es schon. QNAP und Syno stehen ja schon bei Dir. :)

  • Der SMB Server auf der Syno sollte kein Problem sein, denn ich denke mal die DMZ ist zwar per Portforwarding aus dem Netz erreichbar, aber hier hast du bestimmt kein SMB frei gegeben.


    Das kann aus dem Internet also nicht angesprochen werden.


    So sollte dann mit einem Sync. Tool die QNAP die Daten aus der Freigabe lesen können.

  • Hi,


    ich der "keep it simple Typ" habe da mal eine Frage


    Kannst du das nicht über eine externe Platte lösen?

    Daten vom NAS(aus der DMZ) auf die Festplatte(Backup erstellen)

    Festplatte prüfen lassen (Virenscanner und Co.)

    Festplatte an das "Produktiv" NAS im Netzwerk und Daten rüber schaufeln lassen


    Ja es ist manuelle Arbeit aber sicherer geht es nicht - zugegeben schick ist es auch nicht - aber ein Weg.


    VG

    Friis

  • Hallo,


    also aus dem internen LAN habe ich im Moment noch alle Berechtigungen in alle Subnetze (wird später gehärtet).


    Friis. Das funktioniert bestimmt, aber ist meiner Meinung nach viel zu aufwändig. Den Scan (Viren, Trojaner etc.) kann ich auch mit den aktuellen Apps des QNAP-NAS machen.


    Meine Frage wäre:

    Welchen Service (SFTP, WebDAV, SSH, RSync etc) kann man so absichern, dsss er auf der Syno in der DMZ läuft und nur aus dem LAN erreichbar ist (also aus dem Web verboten)?. In meiner Firewall kann ich dann genau bestimmen, welche IP (bestimmtes NAS meines LANs und ggf. bestimmter User) diesen Service vom internen LAN über die Firewall auf das DMZ-NAS verwenden darf.


    Gruß

    Thomas

  • auf der Syno in der DMZ läuft und nur aus dem LAN erreichbar ist

    Hmm, bin leider jetzt nicht daheim um das zu testen, aber ich würde das mal wir folgt probieren:


    Beide NAS in ein VLAN legen und per Firewallregeln und NAS(Nutzer, Dienst) das entsprechend konfigurieren. Ich denke das kann man in der Firewall der Syno einstellen - muss ich aber mal sehen.

    Der IP Bereich aus dem VLAN keinen Internetzugriff(in der Firewall) erlauben.

    Nehmen wir FTP nur diese Ports auf der Syno(DMZ) und QNAP(LAN) öffnen.


    Reicht dir Dienstag?


    VG

    Friis

  • Hört sich gut an. Da ich von Mo-Do immer beruflich unterwegs bin, kann ich auch immer nur vpn Fr-So runtüfteln.


    Ist aber ein interessanter Gedanke, ob das mit den VLANs auch funktioniert, wenn die beiden NAs in unterschiedlichen Subnetzen liegen?


    Wie gesagt, da das Syno in der DMZ liegt und vom Internet her erreichbar sein soll, muss ich diese Trennung unbedingt haben.

    Ich könnte ein VLAN in meinem Switch einrichten, in dem ich dann deise beiden NAS hängen. habe aber mit VLANs noch keine Erfahrungen. Die Thematik ist mir aber schon klar.

  • Vergiss die Syno Firewall!


    Er hat ein pfSense als VM oder Appliance, letztes wäre optimal.

    Die pfSense lässt nur bestimmte Anfragen aus gewissen Netzen und den erlaubten Ports durch.

    Also nur https vom WAN und SMB vom LAN fertig.

    Wobei der Zugriff vom LAN auf die DMZ nicht das Problem ist. Die DMZ darf aber nicht ins LAN, schon hast du eine gewisse Härtung.

    pfblockerng kann geoblocking, so brauche ich keine China IPs die in meine DMZ wollen.


    Mit Snort kann man mal spielen aber auf keinen Fall das Blocking einschalten bevor man das Regelwerk feinjustiert hat.

  • Den Scan (Viren, Trojaner etc.) kann ich auch mit den aktuellen Apps des QNAP-NAS machen.

    Der taugt leider nur nicht viel. Im Fall der Fälle würde ich hier nicht darauf vertrauen, dass dieser die Schadsoftware erkennt. Dazu scannt dieser nicht fortlaufend sondern nur nach Zeitplan. Dann kann es schon zu spät sein.