TS 233 auf TS 112 an entfernten Ort sichern

Hinweis: Nach dem 31.12.2025 ist eine Registrierung nicht mehr möglich, nutze die verbleibenden Tage!

    Hallo,


    An Ort A habe ich ein TS 233 hinter einer Fritzbox 6660. Dort lege ich Backups und auf einem separaten volume Daten und Fotos ab.

    Ich möchte alles jede Nacht sichern auf ein altes TS 112 hinter einem Vodafone Kabel Router. (für den Fall, dass Ort A brennt.)

    Eine weitere Sicherung soll monatlich auf eine externe Festplatte an Ort A erfolgen zur Sicherheit.

    Um mit meinem Handy von extern aufs TS 233 zu kommen, werde ich myqnapcloud LINK verwenden was ja zumindest halbwegs sicher sein soll. Aber myqnapcloud LINK unterstützt das alte TS 112 wohl nicht.

    Wie gestaltet ich nun die tägliche Sicherung am besten und sichersten? VPN fällt leider raus, da der Vodafone Kabel Router das nicht unterstützt. Das TS 112 unterstützt meines Wissens auch nicht die richtigen VPN Protokolle, um sich zB mit der Fritzbox 6660 an Ort A zu verbinden.



    Danke vorab für eure Hilfe!

    Unterstützt der Vodafone Router Portweiterleitungen?

    Wenn ja, einfach einen kleinen Raspi nehmen, pivpn mit Wireguard als vpn drauf installieren und glücklich sein.

    Ja unterstützt er, aber das ist mir zu aufwendig. Es muss nicht perfekt sicher sein (auf dem TS 112 liegen nur Backups) und vom Aufwand her noch im Rahmen bleiben.

    Zitat von noco

    Es muss nicht perfekt sicher sein (auf dem TS 112 liegen nur Backups) und vom Aufwand her noch im Rahmen bleiben

    Falscher Ansatz. Entweder Du brauchst das Backup, oder nicht. Dann machst Du es richtig, oder gar nicht. Was hindert die bösen Buben, wenn sie schonmal auf dem TS-112 sind, von dort aus weiter zu suchen?

    Immer wenn's über das Internet gehen soll: VPN. Gibt genug Beiträge hier, wo es schief gelaufen ist...

    Das Backup wird nur gebraucht wenn gleichzeitig bei mir die Hütte abbrennt. Ich halte es für relativ unwahrscheinlich, dass das zusammen mit einem hacker Angriff passiert.

    Ich drück's mal so aus:

    Die bösen Buben interessieren sich zu 99,9999% NICHT für deine Daten, außer um sie zu verschlüsseln und dich zu erpressen.

    Interessanter ist die Kontrolle über zusätzliche Geräte (2x NAS plus weitere Geräte aus beiden LANs), um ihre Botnetze zu vergrößern.


    Also kümmere dich bitte um Sicherheit!

    Einmal editiert, zuletzt von mad99 ()

    Gefällt mir 1

    Ich versuche es mit vertretbarem finanziellen und zeitlichen Aufwand (habe Netzwerk Grundkenntnisse, nicht mehr) so sicher wie möglich zu machen. Daher ja meine Nachfrage.

    Für VPN stünde noch eine alte Fritzbox 7360 SL zur Verfügung. Aber nach einer kurzen Recherche ist deren VPN Performance wohl sehr gering (ca 10 mbit).

    Ich könnte die Fritzbox 6660 als VPN server laufen lassen, aber die VPN Protokolle der Ts-133 passen wohl nicht, kann das sein?

    Wäre es denkbar, das eine qnap als VPN client und das andere als VPN server laufen zu lassen?

    (Ich werde definitiv nicht die zeit haben, ein Raspi für VPN zu konfigurieren)

    Ich verstehe euren Ansatz, möchte jedoch mit den gegebenen Ressourcen das bestmögliche Ergebnis erzielen.


    Ich habe gesehen, dass es für den alten QNAP einen VPN Service im App Store gibt. Sowohl diese als auch QVPN3 auf dem anderen NAS bieten Open VPN an. Wäre das sicher genug oder auch nicht, weil ich einen Port am Router auf den VPN Server weiterleiten muss?

    Du kannst das Backup auch über ssh machen, dann brauchst du überhaupt kein VPN.


    Wenn du ssh sicher einrichtest, dann hast du dieselbe Sicherheit wie beim VPN. Dazu musst du allen Benutzern, die sich per ssh einloggen können, ein Passwort von zehn oder besser mehr zufälligen Zeichen verpassen. Noch besser sind ssh-Keys und Passwortauthentifizierung abschalten, aber das ist bei Qnap leider nicht trivial einzurichten.


    Im Gegensatz zu VPN kann man ssh auch unsicher einrichten (supersicheres Passwort für den eigenen Account und Admin mit Standard-Passwort übersehen), daher etwas aufpassen.


    In HBS kannst du dann bei Rsync und RTRR einen ssh-Tunnel festlegen.

    Zitat von noco

    für den alten QNAP einen VPN Service im App Store gibt.

    Das QNAP VPN war schon mal aufgrund von unsauberer Programmierung selbst Einfallstor für Schadsoftware.

    Selbst für neuere Geräte ist die Version meist überaltert gegenüber den "freien" Versionen.

    Ich würde definitiv davon abraten diese Software zu verwenden.

    Aber "no risk - no fun" ;) .


    Gruss

    Aber das alte NAS hat so schlechte verschlüsselungs Performance, das es halt ne ziemlich lahme Geschichte wird (egal ob SSH oder SSL VPN)

    Zitat von noco

    Das geht aber nicht out of the box, richtig? Gibt es dafür eine Schritt für Schritt Anleitung?

    Eine Anleitung ist mir nicht bekannt.


    Es lässt sich aber alles über das GUI machen:

    1. Auf dem fernen NAS: In qts den ssh-Zugang aktivieren und allen ssh-Benutzern wirklich sichere Passwörter verpassen (Zufällige Zeichen, mindestens zehn Zeichen, Prüfung bei Haveibeenpwned ist sinnvoll). Welche Benutzer ssh verwenden dürfen, steht in /etc/ssh/sshd_config beim Schlüssel AllowUsers. Normalerweise sind das die Benutzer mit Admin-Rechten.

    2. In der fernen Fritzbox eine Portweiterleitung für ssh (das ist Port 22 auf dem NAS) einrichten, dabei aber nach extern nicht Port 22 verwenden sondern eine Portnummer >33.000.

    3. Auf dem lokalen NAS in HBS bei Rsync oder RTRR den ssh-Tunnel und den ssh-Port wählen.

    4. Auf dem fernen NAS in HBS den Rsync- oder RTRR-Server starten.

    Für die Einzelschritte gibt es Anleitungen.

    Wie sehen denn überhaupt die Internetzugänge (Mbit/s) Sende- und Empfangsrichtig bei Ort-A und Ort-B aus? Selbst bei VDSL100Mbit/s hast du im Upstream höchsten 40Mbit/s (4,5-5MB pro Sekunde) zur Verfügung. Reicht dir das? Oder bist du schon voll mit Glasfaser versorgt?

    Zitat von q.tip

    hast du im Upstream höchsten 40Mbit/s (4,5-5MB pro Sekunde) zur Verfügung. Reicht dir das?

    Aus eigener Erfahrung: Reicht. Muss reichen. Man nimmt, was man hat. Das initiale Backup kann dann pro TByte ein paar Tage dauern, aber danach geht es deutlich schneller.

    Ich hoffe, dieser Sachverhalt ist dem TE bekannt. :)

    Ich hoffe auch, dass die Wärmeentwicklung der CPU's in den Routern durch IPsec oder Wireguard über einen längeren Zeitraum nicht zu Problemen führt.

    Wenn das für nen Router zum Problem wird, hat er verdient zu sterben. Es gibt seit weit über 10 Jahren AES in Hardware. Und da sind 40MBit/s nix was signifikant Last erzeugt.

    Zitat von Anthracite

    Aus eigener Erfahrung: Reicht. Muss reichen. Man nimmt, was man hat. Das initiale Backup kann dann pro TByte ein paar Tage dauern, aber danach geht es deutlich schneller.

    Genau so ist es! Nutze die langsamen Leitungen seit mehreren Jahren für off-site Backups. Habe nun eine alte Fritzbox 7360 SL besorgt und werde mal testen wie schnell der VPN damit wird. SSH werde ich auch testen, danke für die Beschreibung!

    Zitat von Anthracite

    In der fernen Fritzbox eine Portweiterleitung für ssh (das ist Port 22 auf dem NAS) einrichten, dabei aber nach extern nicht Port 22 verwenden sondern eine Portnummer >33.000.

    Was genau meinst du damit? Den SSH Port von 22 auf einen hohen Wert ändern und dann auch den Im Router weiterleiten? Was ich nicht verstehe: wieso ist es für SSH okay den Port weiterzuleiten, für die QVPN App aber nicht?