NAS Backup verschlüsseln und in Cloud sichern - Empfehlung?

[bieneneber]

Hallo zusammen,

ich suche für mein Setup eine Möglichkeit, Backups außerhalb von Zuhause zu sichern. Ich habe leider nicht die Möglichkeit, physisch getrennt (zB bei der Familie) Daten wegzusichern - unter anderem auch weil ich keine VPN Verbindung zwischen den Netzwerken/Standorten hinbekomme. Daher die Idee, direkt auf einen Cloud-Anbieter zu sichern.
(Manuelle Sicherungsjob aka ich fahre eine HDD von A nach B habe ich nicht in Betracht gezogen)

Derzeit syncen drei Notebooks (OS: Manjaro) und vier RasPis (OS: RaspiOs) wöchentlich auf eine DS218+ (2TB im RAID1; Versionierung steht auf 3 Dateien; DSM6.2); die DS218+ synct wöchentlich auf eine im Haus räumlich getrennte DS211+ (2TB im RAID1; DSM6.2). Die Diskstation sind verschlüsselt.

Die zu sichernde Datenmenge liegt bei derzeit 1,2TB wächst langsam.

Meine Idee eines weiteren Backups räumlich getrennt ist nun die Sicherung auf einem Cloud-Service. Dazu habe ich Fragen bezgl der Realisierung und Erfahrungswerten.

1. die Sicherung soll verschlüsselt in 'der Cloud' liegen - demnach soll es vor dem Upload verschlüsselt werden. Welche Tools sind hier zu empfehlen, die ich insbesondere auf der Synology nutzen kann?
Wenn ich die Synology-Webseite zum C2 mir durchlesen, scheint es irgendeine Verschlüsselung zu geben - aber mir ist nicht klar ob 'nur' der Server verschlüsselt aber die Daten selbst unverschlüsselt sind.

2. Welchen Cloud-Anbieter könnt ihr empfehlen?
Ich rechne mit einer zu speichernden Menge analog zum Platz auf der Diskstation: 2TB. Ich möchte nichts mit anderen Menschen teilen und benötige daher nur einen (maximal 3: Backupuser, Admin und Reserve) Benutzer. Der Fokus liegt für mich auf einen Serverstandort möglichst in Europa, mehrere (räumlich) verteilte Rechenzentren mit interner Backupstrategie und hohe Zuverlässigkeit (bringt mir nichts, wenn die Cloud immer dann offline ist, wenn ich sichern oder wiederherstellen will/muss). DSGVO-Konformität wäre noch ein Plus.
Einem Heise-Artikel nach, werden folgende empfohlen die ich auch subjektiv in Ordnung finde:
luckycloud: 2TB für ~68€/Monat; allerdings habe ich hier im Forum wenig positive Erfahrungen gelesen
leitz.cloud: 2TB für 32€/Monat
pcloud: 2TB für 350€/einmalig
HiDrive Cloud: 3TB für 18€/Monat
darüber hinaus habe ich noch gefunden:
Synology C2: 2TB für ~14€/Monat
Hetzner BX21: 5TB für ~12€/Monat
Gibt es noch andere Anbieter, welcher ich mir nicht bewusst bin?

Wie flexible bin ich bezgl Skalierbarkeit? Ggf benötige ich vlt weniger oder mehr Speicher?

Davon abgesehen, dass ein Full-Backup a) sinnfrei wäre (Fotos ändern sich wohl kaum) und b) von der Datenmenge einfach immens viel wäre, wäre inkrementell höchstwahrscheinlich die bessere Option.

Ich habe gerade angefangen, mir darüber Gedanken zu machen. Daher ist die Strategie evtl nicht optimal. Vielleicht hat jemand ein ähnliches Setup und kann Erfahrungen teilen bzw. Empfehlungen geben.

Vielen Dank vorab.

 

[Falc410]

Du könntest eine weitere Synology zu einem Bekannten stellen und die untereinander syncen - macht ein Kumpel von mir so.
Ansonsten werfe ich mal https://www.backblaze.com/best-online-backup-service.html in den Raum. Ist zwar ein US Anbieter, aber wenn die Daten eh verschlüsselt sind, wo ist das Problem? Die Vergleichen sich auf Ihrer Seite noch mit anderen Anbietern die du dir ebenfalls anschauen kannst.
2TB ist ja ganz schön teuer in DE sehe ich gerade. Selbst bei Apple zahlt man nur 10€ im Monat für 2TB und kann ins iCloud Drive alles werfen was man möchte, Google Drive dürfte ähnlich sein. Azure und AWS (ja die gibts auch mit Storage in FFM) dürften auch deutlich günstiger sein.

 

[NeoExacun]

Hyper Backup verschlüsselt clientseitig. Der Server bekommt nur verschlüsselte Daten zu sehen. Hyperbackup überträgt auch nur Änderungen im Datenstand.

Ich benutze dafür die Hetzner Storageboxen und bin damit vollauf zufrieden.

 

[madmax2010]

Nutze entweder Backblaze B2 als S3 Target oder Die hetzner storagebox via SSH

Als backup tool nutz restic mit AES256:
https://restic.readthedocs.io/en/la...ew_repo.html?highlight=backblaze#backblaze-b2
https://restic.readthedocs.io/en/latest/040_backup.html
nuetzliche sektion: https://restic.readthedocs.io/en/latest/040_backup.html#including-files

 

[DiedMatrix]

Ich stimme auch für backblaze, dann bräuchtest aber eher einen "business" account, keine Ahnung ob man den als Privatperson bekommt bzw was der dann kostet:

https://www.backblaze.com/b2/integrations.html

Nur da kannst direkt vom NAS rein sichern, das andere ist quasi nur pro Client.
Außerdem unterstützen die auch Veeam, was ich für DIE Backup Lösung halte (weil aus dem Enterprise Segment) und das Zeug einfach läuft und für Privatanwender gute verlässliche Backups macht

 

[madmax2010]

Privatperson bekommt bzw was der dann kostet:

Das ist unter Transaktionen (api calls) aufgeschlüsselt. Initial koennen da ein paar cent entstehen, aber eig. reisst man mit taeglichen privaten Backups nicht das limit.

Alles in allem koennte hetzner aber am billigsten sein

 

[G-Red]

Als Sync und Verschlüsselung in einem kannst du dir das rclone.org anschauen (nutze ich persönlich). Wo dann die verschlüsselten Daten liegen ist aus meiner Sicht egal. DSGVO hin oder her, wenn man eine "freundliche" Anfrage an den Betreiber stellt, egal welches Land, wird man deine Daten herausgeben.

EDIT:
Falls du die gesicherten Daten nicht oft abrufen musst, bietet sich einer der Amazon S3 Tarife an, wo auf Basis der Zugriffshäufigkeit und Menge abgerechnet wird.
https://aws.amazon.com/de/s3/pricing/

 

[DiedMatrix]

Das ist unter Transaktionen (api calls) aufgeschlüsselt. Initial koennen da ein paar cent entstehen, aber eig. reisst man mit taeglichen privaten Backups nicht das limit.

Alles in allem koennte hetzner aber am billigsten sein

Was genau meinst du mit Limit? Upload kostet nichts, nur der Download, den man ja nur im Disaster benötigt.
Laut Seite kostet es:

Provider	Storage ($/GB/Month)	Download ($/GB)
Backblaze B2	$0.005	$0.01

 

[Weby]

Wir nutzen Backblaze S3 kompatiblen Storage. Ist wesentlich günstiger als AWS und Azure. Und Backblaze ist ein alter Hase mit RZs in den Niederlanden, sofern man auf eine Location in der EU Wert legt.

 

[madmax2010]

Falls du die gesicherten Daten nicht oft abrufen musst, bietet sich einer der Amazon S3 Tarife an, wo auf Basis der Zugriffshäufigkeit und Menge abgerechnet wird.
https://aws.amazon.com/de/s3/pricing/

Vorsicht - Glacier und co werden verdammt teuer, wenn du auf einmal viel davon heruinterladen willst. Lagern und hoch laden ist dafuer sehr billig.

1000Gb dort zu lagern, kostet in einer EU ZOne ca 130 /Jahr Diese 1000GB wieder herunterzuladen, dauert bei 24h Bereitstellungszeit nochmal 1500 Euro einmalig.
-> https://blender.ca/aws-glacier-calculator/
Hat halbwegs aktuelle Zahlen

Ergänzung (22. Februar 2022)

Was genau meinst du mit Limit? Upload kostet nichts, nur der Download, den man ja nur im Disaster benötigt.

Aus der Pricing uebersicht:

Class “A” transactions - Free
Class “B” transactions - $0.004 per 10,000 with 2,500 free per day.
Class “C” transactions - $0.004 per 1,000 with 2,500 free per day.

Hier die Calls nach Klasse:
https://www.backblaze.com/b2/b2-transactions-price.html
Jedes mal wenn du ein Objekt anfasst, brauchst du halt implizit nen API Call

Cloud Dienste sind ein Haifischbecken. Jede bewegung kostet. an mehreren Stellen.

 

[G-Red]

Vorsicht - Glacier und co werden verdammt teuer, wenn du auf einmal viel davon heruinterladen willst. Lagern und hoch laden ist dafuer sehr billig.

Deswegen auch der Hinweis, wenn nicht so oft die Daten benötigt werden . Aber ja, solche Tarife muss man genau für das eigene Workflow ausrechnen, sonst wirds teuer.

 

[Autokiller677]

Vorsicht - Glacier und co werden verdammt teuer, wenn du auf einmal viel davon heruinterladen willst. Lagern und hoch laden ist dafuer sehr billig.

Bei Amazon ja. Ich bin daher für mein Backup bei Scaleway Glacier gelandet: https://www.scaleway.com/de/c14-cold-storage/

Up / Download, Requests u.ä. kosten nix, es wird rein die benutzte Speichermenge abgerechnet. Bei mir für knapp 2TB 3,x€ / Monat. War mir auch wichtig, weil ich in dem Thema nicht so perfekt drinstecke, dass ich nicht garantieren will bei meinem Skript nicht mal par hunderttausend API Calls rauszuhauen aus versehen.
Und natürlich kann man (wie auch bei Amazon) Warnings & Limits setzen für die maximale Rechnung, die sich für einen Monat ansammeln darf - ich glaub ich hab das auf 5 oder 10€ gesetzt, so wird man nicht böse überrascht.

Das war zumindest letztes Jahr im Sommer, als ich es eingerichtet hab, die mit Abstand günstigste Option die ich finden konnte.
Die Daten liegen in Paris in irgendeinem Bunker (wenn man auf sowas Wert legt), Restore zum Download dauert halt Glacier-typsich ein paar Stunden, ist für ein Backup ja normalerweise kein Problem.

Hochladen mach ich alles per rclone, clientseitig verschlüsselt. Aber auf meinem NAS läuft halt auch Debian.

Da es aber eine Wald und Wiesen S3 API ist, sollte es auch bei Synology was passendes geben um dahin zu schieben.

EDIT: Ich sehe gerade hier (https://blog.scaleway.com/behind-the-scenes-c14-cold-storage/) das der Download 1ct/GB kostet - eventuell hat sich das mal geändert, ich meine eigentlich, dass das letztes Jahr noch nicht so war. Aber letztlich dennoch ein guter Deal - Im Desaster-Fall 10€/TB ist bei Backups im Bereich von ein paar TB ja durchaus zu verkraften. Und weiterhin keine Losten für API Calls.

 

[G-Red]

Bei Amazon ja. Ich bin daher für mein Backup bei Scaleway Glacier gelandet: https://www.scaleway.com/de/c14-cold-storage/

Ja, von scaleway habe ich auch schon mal gehört. Die haben auch recht günstige VPS server und eine API die man für das automatisierte Mieten und Kündigen von Services nutzen kann.

 

[Autokiller677]

eine API die man für das automatisierte Mieten und Kündigen von Services nutzen kann.

Haben mittlerweile soweit ich es mitbekommen hab die meisten. Ich habe auf jeden Fall bei Hetzner & netcup sowas gesehen, ich meine auch bei OVH.

Mein VPS ist aktuell bei Netcup für 2,5€ / Monat, da kommt Scaleway soweit ich sehe nicht ran (https://www.scaleway.com/de/pricing/). Allerdings brauch ich beim VPS auch quasi keine Power, 1 Core und 1GB RAM reichen.

 

[NJay]

Solltest du nicht vielleicht einfach die VPN-Verbindung versuchen? Einen Wireguard VPN einzurichten um zwei NAS zu verbinden ist wirklich einfach. Dafuer braucht es pro Geraet nur wenige Zeilen Config:

Siehe z.B.:

https://sterba.dev/posts/home-vpn-with-wireguard/
https://www.thomas-krenn.com/de/wiki/Ubuntu_Desktop_als_WireGuard_VPN_Client_konfigurieren

 

[Autokiller677]

Stimmt, da wollte ich auch noch drauf eingehen, neben meiner Ausführung zu Glacier oben.

Am VPN sollte es echt nicht scheitern - wenn eh schon zwei NAS vorhanden sind, lässt sich das eigentlich mit Synology-Bordmitteln auch ohne VPN regeln:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

 

[bieneneber]

Vielen Dank für die Rückmeldungen und Erfahrungsberichte.
Mir ist nicht ganz klar, wie ich die vielen Commandline-Tools mit der Verwaltungssoftware DSM nutzen soll bzw. kann. Der Backupweg sollte Notebook/RasPi -> Diskstation -> Cloud sein. Allerdings gab mir dies einen guten Überblick über die Tools.
Backblaze und scaleway klingen interessant, aber irgendwie ist mir die Preisstruktur zu unübersichtlich. Da fahre ich mMn erstmal mit der Hetzner StorageBox besser. Wenn ich mir die unbedingt zu sichernde Datenmenge nochmal anschaue, dann könnten sogar 1TB reichen und würde bei Hetzner 'nur' 3,45€/Monat kosten. Zumal dies relativ einfach ist: fixer Speicher, fixer Preis, unlimitierter Traffic, einfach zu bezahlen, monatlich kündbar. Ich werde es damit versuchen.

Bezgl VPN zwischen den zwei Netzen bekomm ich wahrscheinlich nicht hin, da ich keines der beiden Netze direkt ansprechen (aka IPv4) kann. Mein Netz sitzt hinter einer tripple-NAT FTTC Verbindung (öffentliche IPv4 -> Class A Netz des Anbieters -> Anbieter-Zwangs-Fritte mit Class B -> OpenWRT mit Class C) - das andere Netz hat soweit ich weiss ein DSlite Anschluß. Selbst wenn ich den OpenWRT Router in die DMZ der Fritte stelle, kann ich keine direkte Verbindung aufbauen. Ich benötige entweder eine feste IP auf eine der Seiten (Extra-Kosten) oder benötige einen öffentlich erreichbaren proxy im Internet, mit dem ich die VPN jeweils aufbaue. Dann ist aber nur die jeweilige Verbindung zum proxy sicher.
Daher fällt mMn auch dynDNS raus.

Darüberhinaus liegen zwischen den beiden Standorten ~450km Fahrstrecke und ich bin nur in etwa einmal im Quartal dort. Und auf der 'anderen' Seite ist niemand mit einer Affinität für IT. Großartig ausprobieren ist da leider nicht.

 

[Autokiller677]

Nochmal kurz zur Preisstruktur bei Scaleway, weil ich das da eigentlich als den großen Vorteil ggü. Backblaze / AWS sehe:

Es gibt genau 2 Sachen die Kosten:
Zu speichernde Datenmenge: 0,2ct/GB/Monat
Wenn man es Downloaden muss (also Wiederherstellungsfall): 1ct/GB.
zzgl. MwST.

Keine Kosten für Upload, API-Calls oder irgendwas.

Also ja: Nicht ganz so einfach wie Hetzner mit nur einem Preis. Dafür ~1€ / Monat günstiger bei 1TB und keine großen Preissprünge, wenn man doch mal über 1TB muss.

 

[NJay]

Bezgl VPN zwischen den zwei Netzen bekomm ich wahrscheinlich nicht hin, da ich keines der beiden Netze direkt ansprechen (aka IPv4) kann. Mein Netz sitzt hinter einer tripple-NAT FTTC Verbindung (öffentliche IPv4 -> Class A Netz des Anbieters -> Anbieter-Zwangs-Fritte mit Class B -> OpenWRT mit Class C) - das andere Netz hat soweit ich weiss ein DSlite Anschluß. Selbst wenn ich den OpenWRT Router in die DMZ der Fritte stelle, kann ich keine direkte Verbindung aufbauen. Ich benötige entweder eine feste IP auf eine der Seiten (Extra-Kosten) oder benötige einen öffentlich erreichbaren proxy im Internet, mit dem ich die VPN jeweils aufbaue. Dann ist aber nur die jeweilige Verbindung zum proxy sicher.
Daher fällt mMn auch dynDNS raus.

Die einfachte Loesung ist es, dir bei Hetzner die guenstigste VM zu mieten und den Wireguard-server dort einzurichten und beide Netzwerke darueebr zu verbinden. Da ist es dann egal wie viel NAT im Spiel ist, das ganze klappt. Und sicher ist es natuerlich auch, wenn du moechtest sogar post-quantum-sicher.

 

[calippo]

Gibt es noch andere Anbieter, welcher ich mir nicht bewusst bin?

MS Onedrive vielleicht. 6X1TB im Rahmen von MS365 Familiy kosten zwischen 50-70€ pro Jahr.

Allerdings benötigt man wohl jeweils Accounts bei MS (Vermutlich jeweils mit E-Mail, Namen und ggf. sogar Telefonnummer) und der Speicherplatz ist dann in einzelne 1TB Segmente getrennt, man muss also mehrere Backup-Jobs mit unterschiedlichen Zielen anlegen.

Ich nutze MS365 Single mit 1TB als Backupspeicher in Verbindung mit einem QNAP NAS. Das funktioniert bisher sehr gut und ist mit 30€ pro Jahr (Angebotspreis) auch ok. MS Office gibt es kostenlos dazu, wenn man es braucht, z,B. unter Android.

Die Storagebox mit 1TB ist aber auch sehr interessant wie ich sehe, insbesondere da MS 365 Single Angebote nur sporadisch auftauchen (ich kaufe dann gerne mal 2 Jahre auf ein Mal) und der Normalpreis bei ca. 50€ liegt.

Letztendlich sollte man sich eine gewisse Flexibilität bewahren, das geht mit der Storagebox ja dank monatlicher Kündigung. Offenbar kann man sogar mehrere 1TB Storageboxen parallel mieten und muss nicht direkt auf 5TB springen.