Zweiwege-Sync zweier QNAP-NAS auf zwei Standorten

    Hallo Leute,


    Zu o.a. Thema suche ich Erfahrungen bzw. Leute, die mit mir diese Aufgabe durchdiskutieren wollen.


    Ausgangslage:

    Zwei Standorte mit je einem neuen TVS-672XT

    Beide Standorte haben Kabel-Internet, also fixe IPs.

    Beide Zugänge sind 100/20Mb/s, es bremst also immer ein Upload, somit eine 20Mb/s Verbindung.

    Es wird nie gleichzeitig an beiden Orten gearbeitet, also keine Konflikte.

    Router sind unterschiedlich und haben keine VPN-Server.

    Portforwarding am Router sollte kein Problem sein.


    Fragen bzw. Ideen:

    Welches Protokoll rsync oder RTRR ?

    Wie sieht es mit Sicherheit aus? Hat ein Protokoll davon eine Verschlüsselung?

    Sollen die beiden NAS per VPN L2TP verbunden werden?

    Aber wie funktioniert ein Site-to-site VPN mit dem QVPN Service?


    Vielleicht hat schon jemand eine solche Lösung parat, wäre super.

    Zumindest würde ich gerne mit euch darüber diskutieren und eure Meinung hören.


    Los geht’s, lg

    Karl

    Ich würde das über Router/Firewall per Side-to-Side IPSec Tunnel einrichten.


    Da gibts auch kleine Kisten die das in Hardware verschlüsseln können und damit die volle Bandbreite ermöglichen.


    Nach den ganzen Vorfällen mit infizierten MAS Systemen gehören die nicht ins Internet.


    QVPN kann zwar auch S2S aber hier hatte mal jemand ähnliches versucht und ist dann am Routing in NAS gescheitert.

    Das war zwar alles richtig eingetragen aber wollte doch nicht so ganz wie es sollte.

    Danke für den Tipp. habe auch schon daran gedacht, aber - an beiden Orten laufen über diese Router viele andere Dinge (Alarm, Kameras, KNX, Heizungssteuerung, usw.) von vielen anderen Professionisten, somit auch ein Gewährleistungsthema. Ich wechsle dort nur ungern etwas aus.

    Ich habe das so seit ein paar Jahren im Einsatz.


    An beiden Standorten 200/20.


    Zwischen den Standorten besteht ein Site to Site VPN das auf den Routern eingerichtet sind. (Unifi)


    Eingerichtet ist RTRR, unverschlüsselt da eh VPN. RTRR kann auch verschlüsselt übertragen aber da bricht nach meiner Erfahrung die Geschwindigkeit ein.


    Ich glaube, an einem Site to Site VPN wirst Du nicht vorbei kommen.

    An einem Eingriff am Router kommst Du aber so oder so nicht vorbei. Denn ohne Port-Forwarding funktioniert es auch nicht.

    Danke für die Infos. Werde vorerst RTRR verschlüsselt versuchen, Geschwindigkeit hängt sicher auch von der CPU der NAS ab, mal sehen.

    Portforwarding habe ich schon eingerichtet, ist aber etwas anderes, ob man zu einem bestand etwas hinzufügt oder an zwei Standorten die Router austauscht.


    Übrigens, ich privat habe auch alles UNIFI, bin sehr zufrieden.

    Wie PuraVida schon sagte, die Geschwindigkeit bei Verschlüsselung bricht dramatisch ein.

    Bei mir im LAN von NAS zu NAS um ca. 70%!

    Nicht auf, sondern um 70%!


    Gruss

    Zitat von Santamaria13

    an beiden Orten laufen über diese Router viele andere Dinge (Alarm, Kameras, KNX, Heizungssteuerung, usw.) von vielen anderen Professionisten

    Wenn man die Config sauber vorbereitet, ist das kein Problem.


    Läuft vermutlich eh alles in einem Netz?


    Würde ich bei der Gelegenheit aufteilen.

    Denn einiges gehört einfach nicht zusammen.


    Mein Technik kram hat ein eigenes Netz bekommen, die Fritz die ich als TK nutze verträgt sich nicht mit der PV Anlage, also kam das in ein eigenes Netz und seit dem ist Ruhe, es funktioniert einfach. Sauberes Multicasting ist halt keine Stärke der FritzBox.


    Leider gibt es keine brauchbaren Infos was welches Gerät jetzt welche Protokolle, MC Gruppen usw. benötigt, also reverse Eng. und Log Auswertung.

    Aber anschließend hat man sehr viel Gelernt und man hat ein sauberes Netzwerk stehen, bei dem nur das zusammen läuft was auch zusammen gehört.

    Vom Sicherheitsgewinn ganz zu schweigen.


    Unifi USG und das Pro sind ja ganz nett, aber die verbaute Hardware leider sehr alt und kein Support für Hardware Crypto.

    Hatte auch erst überlebt mir das ins Rack zu schrauben, jetzt ist es ein Rackboden + Netgate SG-1100 geworden.

    Macht viel Spaß das kleine Teil, da sich damit so ziemlich alles realisieren lässt.


    Client IPSec und S2S IPSec mit der Fritz meiner Eltern, gar kein Problem.

    Freue mich, dass ihr Erfahrungen und Ideen teilt :)

    Muß jetzt erstmal die zweite TVS bestellen, bestücken und installieren, dann an Ort und Stelle bringen, usw.


    Derzeitiger Flaschenhals ist definitiv die Bandbreite der Internet Anbindung; Eigner muß neue Verträge schließen.


    Wenns interessante Aspekte gibt, werde ich weiter berichten. :thumbup:

    Zitat von Santamaria13

    Derzeitiger Flaschenhals ist definitiv die Bandbreite der Internet Anbindung; Eigner muß neue Verträge schließen.

    Das ist eigentlich nicht wirklich tragisch. Wobei es natürlich ankommt wie viele Daten Du/Ihr jeden Tag neu produziert. Nachdem nie gleichzeitig an beiden Orten gearbeitet wird kann man den Sync ja auch über Nacht laufen lassen.


    Nur den erstmaligen Sync solltest im selben LAN machen sonst synct das über Wochen und Monate je nach Datenmenge.