NAS intern (LAN/WLAN) und extern (Internet) als Netzlaufwerk

[Ray Donovan]

Hi,

vorweg ein paar Eckdaten:

Router: Speedport (Telekom)
NAS: Zyxel NAS326 (2x1TB, RAID1)

Aktuell ist es so, dass mit drei Notebooks gearbeitet wird. Auf jedem Notebook gibt es einen Arbeitsordner (nennen wir in WORKDIR), im Endeffekt sind es alles die gleichen, unterscheiden sich aber dann doch alle, weil nicht an allen synchron gearbeitet wird.

Zusätzlich wird von jedem Notebook eine Datensicherung (komplettes System, Acronis True Image) auf der NAS gespeichert. Da der Ordner WORKDIR aber fast 200 GB hat, werden schon mal 600 GB verbraten.

Mal ganz davon abgesehen, dass eine Wiederherstellung eines solch großen Backups ewig dauert, ist es auch einfach nicht sinnvoll aufgebaut. Daher habe ich den Vorschlag gemacht, dass man den WORKDIR als solches auf die NAS auslagert und mit den Notebooks darauf zugreift. Dann sind die Backups der Notebooks deutlich kleiner und ggf. sogar überflüssig (Windows einfach neu aufsetzen). Zudem kann man die NAS auch nochmal auf einer externen Festplatte sichern, falls die NAS abfackelt oder so.

Das klappt intern soweit auch sehr gut (der Ordner WORKDIR auf der NAS wird als Netzlaufwerk unter Windows 10 eingebunden). Die Problematik besteht nun aber darin, dass das ganze auch extern funktionieren muss, da man die Notebooks ja auch mal mitnimmt. Damit beginnt das Dilemma nun.

Im Router und in der NAS habe einen dynamischen DNS Anbieter hinterlegt (noip.com), damit die NAS immer erreichbar ist. Wie man Ports freigibt weiß ich auch.

Allerdings hat man im Zyxel NAS326 nur die Möglichkeit zwischen

• Media Server
• iTunes Server
• FTP und
• WebDAV

zu wählen. FTP ist zu umständlich, da es ja als Netzlaufwerk laufen soll (wie auch intern). Daher ist WebDAV wohl am besten geeignet, aber wie lege ich dafür ein Netzlaufwerk an? Aktuell muss man sich per Browser mit WebDAV verbinden. Das jedoch klappt nicht, da ich zwar nach Zugangsdaten gefragt werde, danach aber nicht weiter komme (forbidden), obwohl die Userdaten stimmen.

Was mache ich falsch?
Habt ihr bessere Lösungsvorschläge?
Wie kann man die Sicherheit des externen Zugangs verbessern, außer dem User ein richtig langes und kompliziertes Passwort zu geben?

Danke.

 

[arktom]

VPN ist für dich sicher am einfachsten und vor allem am sichersten.

 

[Kahlos]

Wenn du keinen VPN nutzen willst/kannst, hier ein Tutorial https://forum.synology.com/enu/viewtopic.php?f=49&t=60639
Ist zwar für Synology, sollte aber auch auf der Zyxel funktionieren.
Wichtig ist, WebDAV mit SSL zu verwenden.

 

[Ray Donovan]

Ich kann auch gerne einen VPN benutzen - nur wo/wie richte ich diesen ein?
Das NAS hat diese Funktion leider nicht und der Router soweit ich weiß auch nicht?

Wenn der VPN auf einem der Notebooks installiert werden würde, müsste dieser ja immer an sein, was ja nicht Sinn der Sache ist.

 

[chrigu]

dann bleibt halt nur die unsichere webDav mit ssl sache… dazu gibt es bestimmt eine Anleitung von zyxel oder in dessen foren.

 

[Ray Donovan]

Also wäre es besser, einfach eine NAS zu nehmen, die einen VPN integriert hat (Synology)?
Liefe das dann trotz VPN auch über WebDAV oder wie geht das dann?

 

[Raijin]

VPN ist bei solchen Szenarien das Mittel der Wahl. Über eine VPN-Verbindung kannst du das NAS dann ganz normal als Netzlaufwerk einbinden wie du es auch vor Ort getan hättest.

Das Zyxel-NAS hat soweit ich weiß in der Tat keine VPN-Funktion und der Speedport sowieso nicht . Da bleibt dir dann nur ein separater VPN-Server. Das kann zum Beispiel ein Raspberry PI mit OpenVPN sein. Die Frage ist am Ende wie der Down- und speziell der Upload der Internetverbindung am NAS-Standort ist, denn das entscheidet letztendlich darüber wie schnell man überhaupt Daten vom/zum NAS bekommt. OpenVPN auf einem PI kann von der Größenordnung her so ca. 30 Mbit/s schaffen. Braucht man mehr, sollte man zu einem potenteren Gerät greifen.

Auf dem PI (o.ä.) läuft dann der VPN-Server, zu dem sich die Notebooks von unterwegs mittels passendem VPN-Client verbinden. Man startet am Notebook also die VPN-Verbindung und kann anschließend das NAS als Netzlaufwerk über das VPN anbinden.

Der Umstieg auf ein Synology-NAS ist natürlich auch eine Option.


Was die Backups angeht: Wenn die Backups zu groß werden, sollte ggfs die Backup-Strategie überarbeitet werden. So ist es zB wenig sinnvoll, laufend Voll-Backups zu machen, die zu 99% übereinstimmen. Es gibt deutlich effizientere Backup-Methoden, die nur die veränderten Daten seit der letzten Sicherung sichern.

 

[Ray Donovan]

@Raijin

Danke! Ich werde dann wohl einen Umstieg auf Synology-NAS vorziehen. Raspberry PI ist eh nicht vorhanden, da kann man auch gleich das NAS ersetzen.

Zu den Backups: Schon klar. Es werden differentielle Backups gemacht (ein vollständiges, die restlichen beinhalten nur die Änderungen), nur ist der WORKDIR halt 200 GB groß und wird halt 3x gesichert + der eigentliche Computer (OS, Programme etc.).

 

[Ray Donovan]

Hi,

NAS besorgt, VPN und DDNS (direkt von Sology) eingerichtet.
Ich habe auf allen Clients OpenVPN installiert und konfiguriert. Ich musste zwar IPv6 deaktivieren, da er, wenn ich den DDNS-Eintrag genommen habe immer mit IPv6 connecten wollte, was aber nicht ging. Mit IPv4 gehts einwandfrei.

Thu May 09 16:32:49 2019 OpenVPN 2.4.7 x86_64-w64-mingw32 [SSL (OpenSSL)] [LZO] [LZ4] [PKCS11] [AEAD] built on Apr 25 2019
Thu May 09 16:32:49 2019 Windows version 6.2 (Windows 8 or greater) 64bit
Thu May 09 16:32:49 2019 library versions: OpenSSL 1.1.0j  20 Nov 2018, LZO 2.10
Thu May 09 16:33:20 2019 WARNING: No server certificate verification method has been enabled.  See http://openvpn.net/howto.html#mitm for more info.
Thu May 09 16:33:20 2019 TCP/UDP: Preserving recently used remote address: [AF_INET]XXX.XXX.XXX.XXX:1194
Thu May 09 16:33:20 2019 UDP link local (bound): [AF_INET][undef]:1194
Thu May 09 16:33:20 2019 UDP link remote: [AF_INET]XXX.XXX.XXX.XXX:1194
Thu May 09 16:33:20 2019 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
Thu May 09 16:33:21 2019 [synology.com] Peer Connection Initiated with [AF_INET]XXX.XXX.XXX.XXX:1194
Thu May 09 16:33:22 2019 open_tun
Thu May 09 16:33:22 2019 TAP-WIN32 device [Ethernet 2] opened: \\.\Global\{XXX}.tap
Thu May 09 16:33:22 2019 Notified TAP-Windows driver to set a DHCP IP/netmask of 10.8.0.10/255.255.255.252 on interface {XXX} [DHCP-serv: 10.8.0.9, lease-time: 31536000]
Thu May 09 16:33:22 2019 Successful ARP Flush on interface [38] {XXX}
Thu May 09 16:33:28 2019 Initialization Sequence Completed

Soweit klappt auch alles, allerdings checke ich etwas nicht ganz.

Wenn man im Büro sitzt, soll ruhig das interne WLAN genutzt werden. In der OpenVPN-Config habe ich allerdings die DDNS eingegeben (also die externe IP). Soweit ich das verstehe, connected er jetzt immer über den VPN/Internet egal ob man im Büro oder draußen ist.

Habe ich einen Denkfehler? Oder was muss ich anders machen?

Desweiteren: Wenn etwas aktuell über das VPN/Notebook etwas auf die NAS geschickt wird, wird das WLAN langsam bzw. teilweise hat man dann kein Internet und kommt nicht mehr ins WLAN. Wenn man die Übertragung pausiert, gehts sofort wieder. Verstehe ich nicht?

 

[Raijin]

Wenn man im Büro sitzt, soll ruhig das interne WLAN genutzt werden. In der OpenVPN-Config habe ich allerdings die DDNS eingegeben (also die externe IP). Soweit ich das verstehe, connected er jetzt immer über den VPN/Internet egal ob man im Büro oder draußen ist.

Also macht er genau das was er tun soll. Woher soll der Laptop bzw. der OpenVPN-Client auch wissen, dass das NAS direkt neben ihm steht? Die VPN-Verbindung startet man daher nur dann, wenn man sie auch braucht -> unterwegs. Im lokalen Netzwerk lässt du VPN einfach disconnected......

 

[Ray Donovan]

Also macht er genau das was er tun soll. Woher soll der Laptop bzw. der OpenVPN-Client auch wissen, dass das NAS direkt neben ihm steht? Die VPN-Verbindung startet man daher nur dann, wenn man sie auch braucht -> unterwegs. Im lokalen Netzwerk lässt du VPN einfach disconnected......

Oh man. Da hatte ich aber einen fetten Denkfehler. Danke!

Dennoch darf es doch nicht sein, wenn zwei Notebooks je mit ca. 2 MB Daten auf die NAS kopieren (egal ob VPN oder nicht), dass das Internet dann abkackt bzw. das WLAN rumspackt? Oder ist das normal?

 

[Raijin]

Naja, das ist von außen schwierig zu beurteilen. Die primäre Eigenschaft von WLAN ist nun mal die Mobilität und weder die Übertragungsrate noch die Zuverlässigkeit. Wenn das WLAN mit Störungen wie Nachbar-WLANs und dergleichen zu kämpfen hat, kann schneller Schicht im Schacht sein als man glaubt. So wie ich deine letzte Aussage aber verstehe ist es ja unabhängig vom VPN und müsste daher vorher auch schon so gewesen sein?

Bedenke auch, dass WLAN niemals die Übertragungsraten erreichen kann, die außen auf der Verpackung des Routers/APs/WLAN-Adapters stehen. Dadurch dass WLAN ein geteiltes Medium nutzt (Luft), geht ein signifikanter Teil der versprochenen Übertragungsrate für Fehlerkorrektur und dergleichen drauf. Selbst unter Laborbedingungen rechnet man daher in etwa mit 50% netto vom brutto. Wenn nun auch noch der WLAN-Adapter im Notebook etwas schwach auf der Antenne ist und zB nur 300 Mbit/s (2,4 GHz) oder gar nur 150 Mbit/s schafft, dann sind das netto im Labor schon mal nur noch 150 respektive 75 Mbit/s - abzüglich Störungen, Entfernung/Dämpfung. Das dann durch 8 geteilt und man hat die MByte/s. Ein weiterer Aspekt ist die Anzahl der WLAN-Geräte, die bedient werden wollen. Ohne MU-MIMO, das sowohl Router als auch Clients unterstützen, wird jedes Endgerät der Reihe nach bedient und die anderen müssen solange warten --> Übertragungsrate sinkt weiter.


Du siehst, WLAN ist ein komplexes Thema und es gibt leider nicht den Haken, den man in den Einstellungen setzt, um das WLAN zu boosten.