RTRR auf fremdes NAS in anderem Netz mit verschlüsselung

    Hallo.


    Ich hoffe, meine Frage wurde noch nicht komplett diskutiert und ich habe sie nur mangels Kenntnis passender Suchbegriffe nicht gefunden.


    Ich hab die letzte Stunde versucht, mich durch Forensuche und Youtube-Videos zu informieren, aber leider erfolglos.


    Folgendes würde ich gerne machen und wissen, ob das geht.


    Ich besitze derzeit ein TS-251A, 2x WD Red 3TB Raid 1, KEIN Backup. Wenn also mein Haus abbrennt, ist alles verloren.


    Ich möchte ein etwas performanteres Gerät, gerne ein Rack-Gerät für 19“-Schränke, kaufen und mein altes NAS meinem Bruder schenken. Der soll sich dann gerne 2 TB als eigen Datenhalde anlegen, den Rest aber für mich als Backup bereitstellen, gleichzeitig würde ich auf meinem neuen Gerät auch 1 TB für ihn abzwacken.


    Der Datenaustausch muss über das Internet erfolgen. Natürlich, es geht ja gerade darum, meinen Backup-Server in einem anderen Haus stehen zu haben.


    Außerdem, auch wenn ich ihm vertraue: ich will nicht, dass er meine Daten betrachten kann, das Backup muss also so verschlüsselt sein, dass nur mein NAS die Daten auslesen kann.


    Sollte mein NAS dann „abbrennen“ muss ich mir natürlich wieder einen neuen NAS kaufen, der sich dann auf dem NAS meines Bruders autorisieren und die wichtigen Daten zurückholen soll.


    Alle Tutorials und Beschreibungen, die ich bislang fand behandeln das Backup auf einem NAS im gleichen Netzwerk, was für mich völlig sinnlos wäre. Und ich fand nirgends die Info, ob und wie ich die Daten, die ich auf den Backup-Server schiebe, so verschlüsseln kann, dass der Eigentümer des Backup-Servers selbst mit vollen Adminrechten dort nicht reinschauen kann.

    Eine solche Lösung geht über site-2-site VPN.

    Und die Daten verschlüsselst Du am besten auf Deiner Seite.

    So werden sie erstens schon verschlüsselt übertragen und auf der Gegenseite ist kein Zugriff möglich.


    Gruss


    Edit: Verschlüsselung nutze ich nicht, dazu kann ich nichts sagen.

    VPN ist hier die Lösung.


    Was die Rechte anbelangt. Gib deinem Bruder keine Adminrechte so kann er deine Ordner und Dateien nicht einsehen. Die Frage bleibt nun, will dein Bruder, dass du seine Dateien siehst?

    Ich werfe auch nochmal VPN in den Raum :)

    Allerdings muss es nicht zwingend ein Site 2 Site sein. Ich hab mein ext. Backup auf der Arbeit stehen und will gar nicht, dass die beiden Netze verbunden sind (Site 2 Site). Bei mir verbinden sich beide NAS zum VPN meiner Firewall, es wäre aber auch kein Problem das externe NAS zum VPN Server auf dem NAS daheim verbinden zu lassen (ist nur nicht ganz so schick).

    Ich würde hierbei Wireguard verwenden (mache ich auch seit ich QTS 5 nutze), da dies um einiges schneller ist. Verschlüsseln tu ich nicht, ist aber kein Problem, genau das kann Dein Bruder dann auch machen. Um an die Daten zu kommen braucht man dann ein entsprechendes Tool von QNAP sowie das Kennwort.

    Ich kann allerdings nur wärmstens empfehlen nicht nur dieses eine Backup vorzuhalten und noch mindestens ein unverschlüsseltes Backup daheim zu haben.


    Die Einrichtung ist eigentlich einfach... QVPN installieren und damit die Verbindung zum VPN aufbauen, dann in HBS3 die VPN-IP des jeweils anderen NAS als Ziel angeben.

    Hallo


    Also um das mal zusammenzufassen: es geht nur über VPN.

    Ich könnte also auf einem Gerät einen VPN-Server einrichten, dann auf dem anderen Gerät den VpN-Client, der such auf das andere Gerät verbindet und dann können die direkt auf dem Quellgerät die Daten verschlüsseln und rüberschicken.


    dazu folgende Fragen:

    1. kann ich den VPN-Client so programmieren, dass der sich z.B. um 00:58 verbindet, um 1:00 dann Backup des ersten NAS auf das zweite, um 3:00 Backup in die andere Richtung um um 5:00 automatisches öffnen des VPN-Tunnels?


    2. sind diese Backups inkrementell oder versucht das NAS jedes Mal alles rüberzuschicken?

    Zitat von ThorstenL

    Ich könnte also auf einem Gerät einen VPN-Server einrichten [...]

    Exakt.


    Zu 1:

    Nein, der Tunnel wird entweder manuell auf- und abgebaut oder automatisch sobald er getrennt ist. Das VPN steht somit dauerhaft.


    Zu 2:

    Zitat von tiermutter

    Inkrementelles Backup
    Im Gegensatz zum differentiellen Backup werden hier Daten berücksichtigt, die bereits zuvor durch ein inkrementelles Backup gesichert wurden. So kommt es auch bei QNAP zur Anwendung:
    Es werden nur Daten gesichert, die nicht schon zuvor durch das initiale Vollbackup oder ein nachfolgendes inkrementelles Backup gesichert wurden.

    Datensicherung vom QNAP - "Hybrid Backup Sync 3" kurz vorgestellt


    Vorsicht aber mit der Option "Dateiinhalte prüfen". Hierbei werden vorhandene Daten zwar nicht überschrieben, müssen zwecks Abgleich aber übetragen werden und das dauert entsprechend lange...

    Zitat von ThorstenL

    Also um das mal zusammenzufassen: es geht nur über VPN.

    Es geht auch über ssh.

    Mit RTRR kenne ich mich nicht aus, aber mit Rsync läuft das externe Backup bei mir sicher und zuverlässig.

    Leider macht es Qnap unnötig schwer, ssh sicher zu konfigurieren (Anmeldung nur über ssh-Keys ist gemeint).


    Zitat von ThorstenL

    Ich besitze derzeit ein TS-251A, 2x WD Red 3TB Raid 1, KEIN Backup. Wenn also mein Haus abbrennt, ist alles verloren.

    Wenn du kein Backup hast, braucht dein Haus nicht abzubrennen, sondern es genügt schon eigene Dummheit, damit Daten weg sind. Ein Raid ist kein Backup.


    Daher schließe ich mich dieser Empfehlung an:

    Zitat von tiermutter

    Ich kann allerdings nur wärmstens empfehlen nicht nur dieses eine Backup vorzuhalten und noch mindestens ein unverschlüsseltes Backup daheim zu haben.

    Und noch was, wenn du ein verschlüsseltes Backup machst: Teste mal den Katastrophenfall. Kommst du dann noch an deine Daten ran? Denn wenn dein Haus abbrennt, ist nicht nur dein NAS weg, sondern auch dein PC und der aufgeschriebene Schlüssel. Hast du dann noch die nötigen Informationen, um deine Daten wieder zu entschlüsseln? Wie gesagt, mit Test, mach das einmal, um zu sehen, ob es auch funktioniert.

    Hallo zusammen,


    ich mische mir hier mal kurz ein, weil ich sozusagen das gleiche Problem habe, außer das Thema mit der Verschlüsselung etc...


    Falls es hilft hier mal mein bisheriger Weg und vielleicht wird mir ja auch direkt geholfen :)


    Fritz!Box 1 mit NAS1 = Quell NAS

    IP: 192.167.10.2

    Fritz!Box 2 mit NAS2 = Ziel (Backup) NAS

    IP: 192.168.178.200


    Das Backup soll von NAS1 auf NAS2 (auch unterschiedliche Orte) über RTRR und HBS3 gemacht werden.

    - VPN Zugriff von Fritz!Box 1 zu Fritz!Box 2

    - Auf Fritz!Box 2 eine Portfreigabe 8899 des NAS2 eingerichtet

    - VPN Verbindung ist erfolgreich, NAS2 kann von dem Netzwerk der 1. Fritz!Box angepingt werden

    - Auf NAS2 ist der RTRR Server eingerichtet und aktiviert

    - Beim einrichten des Auftrags bekomme ich jedoch jedes Mal diese Fehlermeldung:


    pasted-from-clipboard.png


    Ich verstehe es nicht...


    Das ganze mit QVPN ist wohl eine Lösung, dennoch würde ich gerne verstehen woran es liegt, dass das hier nicht funktioniert.


    Vielen Dank vorab für eure Ratschläge

    Zitat von Meisterlampe91

    - VPN Zugriff von Fritz!Box 1 zu Fritz!Box 2

    - Auf Fritz!Box 2 eine Portfreigabe 8899 des NAS2 eingerichtet

    Warum werden Portweiterleitungen eingerichtet wenn ne VPN Verbindung zwischen zwei Fritzboxen besteht?.. bitte sofort alle Portweiterleitungen abstellen !

    Ich hatte das irgendwo gelesen und wollte es testen, ich stells ab, danke für den Hinweis!


    Edit: Moment, ich habe das falsch erklärt....


    Ich habe von meinem Netz eine VPN zu der Fritz!Box im anderen, nicht zwischen den Boxen.


    Mein Fehler.

    Dann (wenn's geht.. ich hab keine Fritzen hier in Übersee) nen VPN Tunnel zwischen beiden einrichten .. und das zuppt.

    Hm okay, danke dir für die schnelle Antwort!


    Wollte das eigentlich vermeiden, fände es schöner wenn die andere Seite mit meinem Netz nichts zu tun hätte.

    Ich frage mich nur wieso das nicht geht...echt seltsam.


    Wenn nicht noch jemand eine Idee hat werde ich das wohl so machen müssen.


    Danke dir nochmal!

    Zitat von Meisterlampe91

    Wollte das eigentlich vermeiden, fände es schöner wenn die andere Seite mit meinem Netz nichts zu tun hätte.

    Geht mir auch so, daher habe ich die beiden NAS einfach als VPN Client bei mir am Router hängen, allerdings habe ich ebenfalls keine Fritte. Ich mache das mit Wireguard und/oder OpenVPN. Notfalls macht halt eins der NAS den VPN Server und das andere verbindet sich als Client dorthin.

    Beide NAS als Client an nem externen VPN Server ist ok, ich mag halt keine VPN Geschichten am NAS selber (aber wie gesagt NAS als VPN client ist OK)

    Zitat von dolbyman

    ich mag halt keine VPN Geschichten am NAS selber

    Solange der Server auf dem Router laufen kann ist das natürlich vorzuziehen... als Notlösung bevor man doch mit Portfreigaben rummacht finde ich VPN Server auf dem NAS schon recht ok :)

    Man kann das in der Fritz ja sogar einschränken, aber leider nur für das Netz direkt an der Jeweiligen Seite.

    Brauchst halt eine.nRouter/Firewall der hier feines Regelwerk zulässt.


    Läuft das dann so einmal isr das Fritz VPN dann auch stabil mit dem Main Mode am laufen.

    Muss aber einen 65/75er Fritz sein mit AES in Hardware damit es dann nicht mehr durch die Fritz im Durchsatz limitiert wird.