Externes Backup per HBS3 (RTRR)

Hallo in die Runde, ich möchte um eure Unterstützung bitten. Dazu ist's wohl ganz gut, zuerst mal die Konfiguration, Erfahrungen, das Ziel und meinen Kenntnisstand zu umreißen:

Seit einiger Zeit nutze ich als Dateiserver in meinem Unternehmen zwei QNAP TS-932X und ein TS-832X (jeweils mit 8 GB RAM) und komme damit inzwischen soweit gut klar. Wir arbeiten im grafischen Gewerbe (Fotografie, Gestaltung, Digitaldruck), 12 Mitarbeiter arbeiten in Teams mit Adobe Software unter MacOS (über AFP) direkt am Server, klappt soweit prima.

Die an sich einfachen Geräte mit dem Annapurna-64-Bit-Prozessor sind als reine Dateiserver angenehm flink, das 10 GBit-Netzwerk ist zumindest kein Nachteil, teuer waren die Dinger auch nicht wirklich. Eingebaut sind zwei 2-TB-SSDs im RAID-1 als "latenzfreies" Arbeitsvolume und zwei einzelne 8-TB-Festplatten für archivierte Daten und als Backupziel, im TS-832X gleich 8 Stück davon als RAID-5. Mit den Anwendungen Speicher & Snapshots, FileStation, QSirch und der Basis-Netzwerkkonfiguration im aktuellen QTS komme ich ganz gut zurecht, bin mit meinen gut 50 Jahren soweit computeraffin, solange es nicht allzusehr in die Tiefe geht.

Das "normale" tägliche Backup ist eine kreuzweise Sicherung der Freigabeordner per HBS3 "Einwegsynchronisierung" mittels RTRR auf das jeweils andere Gerät. Es gibt auch weiter entfernt im Gebäude den dritten QNAP Server TS-832X, der ebenso täglich synchronisiert wird und auf dem Snapshots gemacht werden, um auch eine Historie des Backups zu haben. (Snapshot Replica funktioniert leider nicht wirklich mit Extended Attributes, einer Besonderheit des MacOS.) Das funktioniert alles gut und hat sich bewährt, auch Wiederherstellungsversuche haben tadellos funktioniert.

Aktuell sind zwei QNAP TS-431X2 (8 GB) von meinen ersten QNAP-Versuchen übrig und eines davon möchte ich bei mir zuhause als externes Backupziel verwenden. Im Büro wie zuhause habe ich statische IP-Adressen und verwende LTE als Internetzugang mit Flatrate. LTE funktioniert erstaunlich gut und stabil, reale Geschwindigkeiten sind 15-50 Mbit im Down- wie im Upstream. Im Unternehmen fungiert ein Linux-Rechner als Firewall, Mail-, Web-, FTP- und VPN-Server, daheim gibt es nichts als den LTE-Router von ZTE, der von meinem Internet-Provider zur Verfügung gestellt wurde. Der Linux-Rechner wird von einem Verwandten betreut, der kennt sich soweit gut aus, ist aber etwas eigensinnig und ein NAS-Verweigerer, MacOS-Schlechtredner, Windows-Hasser ... nur Linux ist die Wunderlösung ... daher will ich ihn in dieser eigentlich überschaubaren Angelegenheit nicht unbedingt bemühen, auf die Diskussionen kann ich ganz gut verzichten.

Das Ziel dieses externen Backups ist schlicht und einfach, ein diebstahls-, vandalismus- wie brandschadensicheres externes Backup für den Ernstfall zu haben. Weitere Funktionalität außer der Erreichbarkeit per RTRR ist von extern (also über das Internet) prinzipiell nicht erforderlich.

Nun habe ich zum Testen das eine TS-431X2 daheim in Betrieb genommen, ihm eine feste interne IP (außerhalb des DHCP-Range) zugewiesen, bei myQNAPcloud registriert und den LTE-Router per uPNP konfiguriert. Nachdem ich am Router das Port-Forwarding für die Ports 80, 443 und 8081 noch manuell eingetragen habe ist das Web-Interface des Servers per HTTP erreichbar.

Die App "myQNAPcloud" zeigt bei "Übersicht" und "Web-Konnektivität" das grüne Häkchen. Im Bereich "automatische Router-Konfiguration" allerdings auch "Fehler" bei Port 80 ("Web Server") und Port 443 ("Sichere NAS Web") an. Die Zugriffskontrolle habe ich auf "Privat" und "Nur ich" eingestellt. Bei "Dienste veröffentlichen" habe ich alles, was angehakt (aktiv) ist auch auf "privat" angehakt. -- Wie man hier schon rauslesen kann, hab ich von all dem nicht wirklich viel Ahnung.

Von der Firma aus ist dieser Server nun per RTRR erreichbar und empfängt gerade sein erstes Backup per "Einwegsynchronisierung". Dieses brach anfangs alle paar Stunden mal ab ("broken pipe"), seitdem ich das Tempo auf 1 Mbit/s gedrosselt habe läuft das schon seit Tagen stabil durch. Das Backup wird auch noch eine ganze Weile dauern ... ich werde das Tempo noch schrittweise erhöhen und beobachten, wie sich das dann entwickelt. Wollte mir jetzt sicherheitshalber fürs lange Wochenende aber nicht den ganzen Internet-Zugang vollklotzen, daher erstmal eher sehr moderat eingestellt.

Beim Einloggen von der Firma aus ins heimische NAS per Web-Browser in die NAS Benutzeroberfläche nervte mich der Hinweis "unsichere Verbindung". Daher habe ich -- wohl etwas vorschnell -- ein QNAP-Zertifikat erworben und auch im NAS installiert. Allerdings ist nun nichts anders, wenn ich nun zB vom Mobiltelefon-Browser über "ServerXYZ.myqnapcloud.com" mit "sichere Verbindung" verbinde kommt noch immer der Hinweis zu der "unsicheren Verbindung".-- Hier wird klar: Ich habe keine Ahnung.

Daher suchte ich nun im Web herum, welche Konfigurationsfehler ich da wohl gemacht habe. Und beim Lesen frage ich mich inzwischen auch, ob ich myQNAPcloud überhaupt brauche (weil eh statische IP) und ob es nicht besser wäre, das Port-Forwarding für das an sich nicht zwingend nötige Web-Interface besser wieder rauszunehmen, was ja wohl wieder das SSL-Zertifikat obsolet macht. Vielleicht auch RTRR zur Erhöhung der Sicherheit (Vernebelungsstrategie?) auf einen anderen Port umverlegen?

Danke schon mal fürs Lesen meines elendslangen Beitrags und für eure fachkundige Meinungen und die Unterstützung schon im Voraus!

Hab mal diese Portweiterleitungen rausgenommen und bei der "Automatischen Router-Konfiguration" alles außer RTRR abgewählt.

Das NAS kann ich jetzt nicht mehr übers Web erreichen -- besser?

DSGVO-relevante Daten gibt's eigentlich keine. Aber der Hinweis ist natürlich richtig -- alles was man nicht erklären muss ist einfach besser.

Okay, das muss ich also kompetenter angehen, bring ich aber momentan nicht auf die Reihe.

Dann lass ich das ganze Thema fürs erste und mach 1x die Woche per USB-Festplatte ein "mechanisch abgesichertes" Backup. Muss mal reichen.

EDIT -- Eine Frage noch zum Thema: Bestehen eure Bedenken wegen der schlechten/unglücklichen Konfiguration oder aufgrund der allgemein schwachen "Einbruchssicherheit" des QTS-Systems? In meiner naiven Denkweise könnte ich ja einfach alles komplett "zumauern" und nur dem RTRR von der fixen IP der Backupquelle den Zugriff gestatten.

Fein, es gibt Antwort!

Zur DSGVO: "Eigentlich" heißt, dass ich nichts von personenbezogenen Daten auf diesen Servern weiß. Es sind viele hunderttausend Dateien, ob da jemand mal eine E-Mail mit Kontaktdaten als .EML oder ähnliche Dinge abgelegt hat weiß niemand. Es gibt aber keine Kundendatenbanken, Versandadresslisten, Mitarbeiterkarteien o.ä. wo ein Fremdzugriff kritisch wäre.

Die Gelegenheit auf ein Einbinden meines Bekannten hat sich noch nicht ergeben. Die Sache ist auch: Mein Bekannter ist fast ein Jahrzehnt älter als ich und hat mehr wenige Jahre bis zu seinem Wechsel in den Ruhestand. Ich suche daher schön langsam auch nach Lösungen, die ich mit meinem mittelprächtigen EDV-Verständnis selbst am Laufen halten kann. Das ist mir bei den Kernkompetenzen auch persönlich ein Anliegen. QTS erschien mir bis jetzt als einigermaßen brauchbare Basis. Daher hilft es mir auch nur bedingt, wenn irgendwer irgendwas Tolles zusammenstoppelt und das Wissen dazu wieder bei der Tür mit hinausnimmt. Mir ist klar, dass für gute Lösungen viel Know-how wichtig ist, ab und zu gibt es aber auch einfache "Gold-Standards", die einfach und trotzdem gut zum Ziel führen -- das hoffe ich halt.

Die Hinweise von Crazyhorse und Jagi hab ich im Groben verstanden, aber noch nicht weiterverfolgt. Darf mich gerade mit genug komplexen Materien herumschlagen (Kurzarbeit, Homeoffice für alle Mitarbeiter organisieren und am Laufen halten etc.), das war mir jetzt mal zu fordernd mich da einzulesen.

Für die "feste IP-Adresse" (IP v4) meines heimischen LTE-Zugangs gibt es meines Wissens keinen DNS-Eintrag.

Zum Thema Firewall bin ich recht unwissend. Weiß zwar was das Ziel davon ist, was - wie - wo aber keine Ahnung.

Mit "zumauern" meinte ich:

• der zuhause platzierte Backup-Server ist nur per RTRR ansprechbar, alles andere wird deaktiviert
• der (per uPNP) konfigurierte LTE-Router leitet nur den RTRR-Port 8899 weiter
• es werden vom RTRR-Dienst nur die beiden Firmen-Server von der festen IP-Adresse der Firma akzeptiert

Dann kann nach meinem einfachen Verständnis ja nicht viel Missbrauch passieren -- alles Fremde wird ja konsequent abgewiesen. Mittels untypischer Port-Nummer könnte man das ja nochmal ein kleines bisserl kryptischer machen.

Die Frage ist: Ist dieses "Zumauern" ein frommer Wunsch und praktisch doch nicht sicher oder schützt das allein schon angemessen verlässlich?

VPN für Mitarbeiter ist aktuell kein Thema. Das funktioniert ja für den Zugriff auf den Firmenserver alles mit dem Linux-Rechner wie im Eingangsbeitrag beschrieben. Es gibt ausschließlich MacOS Clients, im Homeoffice mit Tunnelblick, funzt prima.

Die DSGVO ist juristisch nicht zu unterschätzen, aber für diese Art von Daten nicht weiter relevant. Grundsätzlich sind keine "sensiblen Daten" auf diesen Servern gespeichert.

Der LTE-Router ist kein Fritz-Dingsbums sondern (noch schlimmer?) ein ZTE-Gerät.

Das einzige was ich will ist, die beiden QNA- Dateiserver, die im Firmennetz hinter der Firewall des Linux-Rechners sind, auf einen Server in meinem privaten Netz über RTRR zu sichern. Sonst ist keine Funktionalität gewollt.

Wenn der LTE-Router nur Port 8899 per Port Forwarding weiterleitet ist das doch im Prinzip so gut wie eine Firewall. Zumindest in der Theorie -- das ist mein Wissensstand.

1. Ist das das Thema "Man in the middle"?

2. Und macht euch wegen der DSGVO nicht so fertig. Wir fotografieren Schultaschen, Radiergummis, Schreibunterlagen und Collegeblöcke. Auch mal Barbies, Monster Trucks, Osterdeko oder Weihnachtskrempel. Da ist nix mit DSGVO-Thema.