Beiträge von T-B-W

Öha.

Danke dir für deine ausführliche Antwort

Ich werde mir erst einmal das eine oder andere Buch vor die Linse halten,

bevor ich mich da heran traue.
Ich kaufe mir parallel den "Ubiquiti UniFi USG Security Gateway Router" (kostet nur n Hunni)

und spiele damit ein wenig herum.

Auf YouTube (zB. iDomiX) gibt es zu der Einrichtung des Gerätes diverse Videos.

Wenn ich dadurch etwas dazugelernt habe, gehe ich das Ganze mit "richtiger" Hardware an.

Jetzt muss es erst einmal mit den Fritten und dank des Updates Auf Fritz-OS 7.2.x möglichen 3-4MB/s reichen.

Ich verwende die VPN-Verbidung (LAN-LAN-Kopplung) ja "nur" für die Datensicherung per HBS3.

Das läuft soweit okay...

Bhoa mist...

Jetzt habe ich versucht mich etwas in die Thematik einzulesen.

Aber ich bekomme es einfach nicht so richtig auf die Kette

Ich bin mal so frech und hau hier mal meine Vorstellung hinein.

Evtl. geht es ja so, wie ich mir das Ganze vorstelle!?

Ich möchte eine Site-to-Site VPN-Verbindung zwischen dem Home- und dem Office-Netzwerk herstellen.

Hierzu würde ich mir jeweils für Home und Office den "Netgate SG-1100 Security Appliance" zulegen.

Diesen würde ich am liebsten nach den FritzBoxen anhängen, weil ich mit FritzBox einfach super klarkomme und das Netz über die FritzBoxen "verwalten" lassen möchte.

FritzFax, VoIP usw. ist auch auf der FritzBox eingerichtet.

Oder habe ich dann zwangsläufig doppeltes NAT, wenn die SG-1100 hinter der FritzBox hängt?

Bin ich für solche Fragen in diesem Forum überhaupt richtig?

Moin Crazyhorse,

ein Fritz-OS Update hat die Geschwindigkeit der VPN Übertragungen nun verdoppelt.

Trotzdem bin ich dank deiner Anstöße auf der Suche nach geeigneter VPN-Hardware um LAN-LAN-Kopplungen herstellen zu können.

Evtl. werde ich hier ja fündig um herauszufinden, was ich dafür alles benötige.

Ein VPN für den "normalen" Internetzugang bzw. dessen Traffic benötige ich nicht.

Ich schließe diesen Beitrag nun.

Ihr seid mir eine große Hilfe gewesen!

Vielen Dank dafür.

Du hast wieder recht.

Es sind keine Portfreigaben notwendig gewesen.

So... Jetzt sollte alles stimmig sein

Das die VPN-Verbindung zwischen den Fritten so langsam ist, liegt u.U. an dem schwachen Prozessor in der Fritte (jeweils FirtzBox Mod.7590).

Denn der Upload wird durch die FritzBox verschlüsselt.

Deshalb war es mit QVPN auch krass schneller, denn soein NAS hat natürlich viel mehr Prozessorleistung als ne FritzBox.

Soooouuu,

es ist vollbracht.

Mein Home- & Firmennetzwerk ist nun dauerhaft miteinander via VPN verbunden (nur die Kommunikation zwischen den Geräten).

Das hat noch viel mehr Vorteile als nur Sicherheit...

Die Backupaufträge senden ohne SSL-Verschlüsselung, da die beiden NAS ja per VPN verbunden sind.

Ist das so i.O.?

Ein Port musste ich trotzdem öffnen, um per RTRR sichern zu können (Port-8899).

Das ist aus meiner Sicht jedoch keine Sicherheitslücke, da der Port nun nicht mehr "offen" für das Internet ist.

Stimmt das so?

Meine DynDNS-Adressen habe ich aus den Fritten herausgenommen.

Die werden jetzt nicht mehr benötigt, da sämtliche Kommunikation nur noch per VPN geschieht.

Das VPN habe ich mit den MyFritz.net-Adressen hergestellt.

Mit meinen vorherigen DynDNS-Adressen ging es nicht...Das wunderte mich.

Die Verbindung steht per LAN-LAN-Kopplung mit einem sehr starkem Passwort.

Zur Geschwindigkeit habe ich euch noch n paar Screenshots beigefügt.

Ich habe an beiden Anschlüssen ein Speed von ↓ 500,0 Mbit/s und ↑ 100,0 Mbit/s (Glasfaser).

Mit der unsicheren Verbindung waren die Geschwindigkeiten um das 5-6-fache schneller...

Aber da HBS3 zum Glück nur veränderte oder neue Daten sendet, ist dieser Nachteil (noch) erträglich.

Jetzt sollte alles Sicher sein...

Vielen Dank tiermutter, dass Du mich auf den richtigen Weg gebracht hast!

Verbindung_per_VPN_in_die_andere_Richtung.jpgVerbindung_per_VPN_und_ohne_SSL.jpgVerbindung_per_VPN.jpgVerbindung_ohne_VPN_in_die_andere_Richtung.jpgVerbindung_ohne_VPN.jpg

Jop, auch bei QVPN wieder eine Portfreigabe (bzw. gleich drei Ports)...

Das es unsicher ist, war mir nicht bewusst.

Hoffentlich ist die VPN Einrichtungen auf einer FritzBox 7590 für mich machbar.

An dieser Stelle offenbart sich mein eher schlechter Kenntnisstand in Sachen der Sicherheit über Verbindungen.

Das macht mich jetzt wild.

Einerseits scheint die Sonne noch und ich möchte mich draußen im Garten entspannen.

Andererseits möchte ich diese Sicherheitslücken sofort beseitigen.

Nochmal zum Verständnis...

Es sollten (wenn mögl.) keine einzigen Portfreigaben von bzw. für außerhalb freigegeben werden, richtig?

Kommunikation von außerhalb also nur noch über dauerhaft bestehende VPNs von Router zu Router?

Zitat von tiermutter

Direkt heißt über Internet mit portfreigaben?

Definitv keine gute Idee! Gibt etliche Themen dazu, die ich mobil leider nur schwer raussuchen und posten kann..

Jop, mit Portfreigabe

Ich suche mal nach den Themen und werde es dann per VPN umsetzen.

QVPN ist sowieso schon eingerichtet.

Über Protokoll L2TP/IPSec...

Das funzt soweit auch gut, um von wo anders per VNC auf meine ganzen Rechner zuzugreifen.

Das gelingt sogar per Handy!!!

Ich liebe QNAP dafür.

QTS ist einfach super.

Allein deshalb, hat sich die ganze Angelegenheit schon stark gelohnt.

Danke euch:)

Zitat von tiermutter

Wenn ich T-B-W richtig verstanden habe macht er es ja auch so mit den externen HDD. Davon ab habe ich auch sonst schon öfter gelesen, dass so verfahren wird...

Scheint ja Gründe dafür zu geben.

Nein, die externen HDDs werden mit den "Originaldaten" befeuert.

Auf Denen möchte ich die ganzen Versionierungen, so wie sie auf dem Backup-Server vorhanden sind, nicht haben.

Zitat von tiermutter

Klingt auf jeden Fall so, als hättest Du für jedes Ereignis welches einen Datenverlust mit sich bringt ein passendes Backup.

Das mit den externen HDD verstehe ich aber nicht: Auf die Platten werden Daten vom NAS gesichert? Wozu dann ein Windows PC dazwischen?

Die Verbindung Home -> Office ist ein VPN?

Ja, auf die HDDs werden die Daten vom NAS über Windows gesichert.

Das hat jedoch seine Berechtigung, weil ich bei Personal-Backup wesentlich mehr einstellen kann.

So kann ich beispielsweise Ordnergenau sagen, welche Dateiendungen nicht mitgesichert werden sollen.

Dazu gehören z.B. temporäre Daten aus einer Datenbank.

U.v.m.

Zudem sind meine Server, wie bei so vielen Anderen, an einem "verlassenen" Ort aufgestellt.

Sich jeden Tag zu dem Server durchzuschlagen und die Platten wechselhaft an und abzustöpseln wäre nervig.

Die Verbindung von Home zu Office läuft per RTRR (DynDNS) ohne VPN.

Ich bin mir nicht sicher, ob dies so sicher genug ist!?

Die Daten werden unverschlüsselt übertragen...

Meinungen dazu sind sehr willkommen!

Moin Leute,

vielen Dank für die flotten Antworten.

Es ist echt krass, was hier im Forum so los ist.

tiermutter:

Ich vertiefe mich weiter in die Snapshot-Thematik und lasse mich u.U. doch auf Snapshot ein.

Jagnix:

Meine Sicherung geht noch über die 3-2-1 Methode hinaus.

Letztendlich ist meine Anfrage "nur" der Interesse halber gestellt worden.

Ich musste es einfach genauer wissen, um noch besser schlafen zu können.

Falls es interessiert, offeriere ich meine Backupstruktur mal...

NAS-A HAUPTSERVER befindet sich in der Firma [folgend nur noch A genannt]

NAS-B BACKUPSERVER befindet sich ebenfalls in der Firma aber in einem anderen Brandabteil [folgend nur noch B genannt]

NAS-C HOMESERVER befindnet sich bei mir zu Hause (1 Km vom Firmengebäude entfernt) [folgend nur noch C genannt]

A sichert täglich auf B mit Versionierung (20 Versionen), bei A gelöschte Daten werden bei B NICHT gelöscht

A sichert täglich auf C ohne Versionierung, bei A gelöschte Daten werden AUCH bei C gelöscht

C sichert täglich auf A ohne Versionierung, bei C gelöschte Daten werden AUCH bei A gelöscht

C sichert täglich auf B mit Versionierung (20 Versionen), bei C gelöschte Daten werden bei B NICHT gelöscht

Darüber hinaus sichere ich jeden Tag mit vier Ext.-HDD via auf Windows installiertem Programm "Personal-Backup" auf B vorhandene Daten.

Die Festplatten werden rotiert. Das heißt, dass jede Festplatte alle fünf Tage mal einen neuen Backupstand erhält.

Die Backups werden in einem wasserdichten und feuerfesten Schränkchen aufbewahrt (in der Firma).

Die gesamte Datenmenge von A+C bzw. die auf B beträgt gerade einmal 1,2TB.

Die Sicherungen zwischen NAS&NAS oder vom NAS über Windows auf die Ext.-HDD geht innerhalb weniger Minuten vonstatten.

Die Externen Festplatten mache ich einzig und allein aus dem Grund, dass meine Daten mit Ransomware befallen werden könnten.

Daher meine am Anfang des Beitrags gestellte Frage.

Denn dann könnte ich mir die "Arbeit" mit den Ext.-HDDs sparen.

Ich wünsche euch allen einen entspannten Feierabend.

Liebe Grüße

T-B-W

Hallo Leute,

ich bin neu hier.

Schön dass es Menschen wie euch gibt, welche sich in Ihrer Freizeit mit den Problemen Anderer auseinandersetzen.

Dieses Forum hat mir schon oft in der Vergangenheit als unregistrierter Leser weiter geholfen.

Nun ist es jedoch an der Zeit ein eigenes Thema zu öffnen, da ich zu meiner Frage keinen Beitrag finden konnte.

Szenario:

Z.Zt. sichere ich Daten von Haus-A bzw. NAS-A nach Haus-B bzw. NAS-B per HBS3 (RTRR).

Bei HBS3 habe ich die Versionsverwaltung aktiviert und sichere mit 20-Versionen (Zeitplan=täglich).

Frage:

Wenn mein NAS-A von Ransomware befallen wäre und die Infizierten Daten per HBS3 nach NAS-B gesichert werden würden, kann ich dann einfach eine frühere Version einspielen (z.B. die vom Vortag) und alles wäre wie vorher (Stand der Sicherung vom Vortag), weil ich mehrere Versionen habe?

Oder sind dann auch die Versionen von Ransomware befallen?

...Ich habe nämlich gelesen, dass man im Falle eines Ransomware-Angriffs und einer Sicherung per Snapshot ganz einfach die letzte Snapshot-Sicherung einspielen kann und die Ransomware dann eliminiert wäre!?

Ich hoffe darauf, dass die Backups mit HBS3 so wie mit Snapshot sicher vor Ransomware sind, sofern mehrere Versionen der Sicherungen vorhanden sind!

Vorab sei gesagt, dass ich kein Snapshot verwenden möchte!

Die Gründe sind u.A. folgende:

- Weil ich Statische-Volumen verwende (mehr Performance)

- Weil sonst noch mehr Backup-Daten erzeugt werden (zusätzlich zu den ganzen anderen Backups von mir)

- Weil ich mit HBS3 ultra zufrieden bin und gerne nur ein Programm verwenden würde

- Weil es den Administrationsaufwand erhöhen würde

Hoffentlich konnte ich euch meine Frage verständlich formulieren!?

Für die kommenden Antworten oder erforderlichen Fragen bin ich euch sehr dankbar

Mit freundlichem Gruß

T-B-W