ComputerBase Menü
Aktuelles

Synology auf Synology über Internet (Sicherheit?)

L

LeFireblade

Lt. Commander
Registriert
Aug. 2004
Beiträge
1.449
Heyho

Ich sichere seit geraumer Zeit von meinem NAS zu Hause (DS220+ Raid PLUS noch eine 1TB USB Backup-HDD) auf mein altes DS112+ (auch inkl. USB-HDD zum extra extra Backup).

Die Sicherung läuft über HyperBackup direkt auf die 112+ per IPv6

Die Clientseitige Verschlüsselung ist aktiviert aber es werden ganz standardmäßig die Ordnerstrukturen gesichert (kein Extra Verschlüsselungscontainer a la TrueCrypt oder so)

Nun hab ich dazu aber mehrere Fragen

1. Das alte NAS bekommt keine aktuellen Updates mehr (ist ja auch schon gut 10 Jahre alt). Lohnt es sich da auf zB eine günstige DS120j zu wechseln? Außer paar Daten schaufeln muss das Ding ja nichts machen oder können.

2. Ist meine Backupstrategie sinnvoll und auch sicher? Übertragung sollte sicher sein, weil ja eigentlich verschlüsselt. Die Daten auf dem Laufwerk habe ich ja nicht extra verschlüsselt, kommt da also ggf. bei einem Hack oder so jemand ran?

3. Da ich ja direkt per IPv6 drauf gehe kann ja theoretisch jeder andere auch so drauf, kann ich das irgendwie "besser" absichern?

4. Ich würde, wenn die Sache aus eurer Sicht unsicher und ggf. sogar fahrlässig ist, auch auf einen Cloud Dienst wechseln. z.B. Strato, 1&1, Hetzner o.ä.
Da möchte ich aber das der Serverstandort Deutschland ist.

ODER

5. Ist es möglich einen TrueCrypt Container aurecht zu erhalten auf der DS220+ (da möchte ich dann das er Änderung automatisch dem Container hinzufügt) und dann eben nur diesen einen Container per Internet aufs alte 112+ zu schieben?. Oder ist sowas nicht möglich? Bin da nicht soooooo tief in der Materie.
Wenn ich mir das aber nochmal so durchlese und den Container gemountet lasse dann kann ich mir den Container eigentlich auch sparen xP

So, genug Fragen denke ich.

Danke für eure Hilfe! :)

Grüße
Michi
 
Zuletzt bearbeitet:
Kannst du zwischen den 2 Standorten eine gesicherte VPN Verbindung mit aktueller Verschlüsselung einrichten und die beiden Synologys nur intern per VPN kommunizieren lassen?
 
  • Gefällt mir
Reaktionen: Der Lord
Gute Frage.
Fritz Box wäre jeweils eine 6591 Cable vorhanden.

Wie könnte ich das realisieren. Da hab ich echt zu wenig Ahnung :(
 
Alternative: die Fritzboxen bekommen demächst* das Wireguard-Update. Dann sollte sich das darüber am einfachsten realisieren lassen, wenn man nicht so im Thema steckt.

Die Boxen können sich dann bei Bedarf automatisch miteinander per VPN verbinden. Geht zwar jetzt auch schon, aber nicht mit Wireguard und auch nur IPv4-Only. (@Stock86 Cable-Vertrag, sicher nur mit CGNat -> IPv6 -> mag AVM derzeit noch nicht)

* CB berichtet schon regelmäßig darüber. Wann es letztendlich rauskommt, kA. Denke aber ewig wirds nicht mehr dauern.
 
Leider ist die VPN Geschichte so nicht machbar da weder ich noch mein Dad eine "richtige" IPv4 Adresse bekommen. Wir haben beide das tolle IPv6 Tunneling :D

Wireguard sagt mir gar nichts, gleich mal einlesen.

Edit: klingt gut mit Wireguard, mal schauen wann die FB von mir (eine geliehene von VF) das Update bekommt :)
Stand jetzt ist noch 7.29 installiert :/ Mist

Danke an alle!
 
Zwei Fragen zum extra extra Backup:
1. Läuft die ds120j permanent oder schaltest du die manuell oder automatisch zu bestimmten Zeitpunkten ein?
2. Ist das extra extra Backup inkrementell ?
 
Zerotier muss ich mir anschauen, Danke

@zazie
1. Die läuft permanent, hatte sie mal als Zeitfenster eingestellt, ist dann aber nicht hochgefahren.
2. Wenn ichs richtig verstehe ist es inkrementell, jeden Samstag wird abgeglichen und dann die neuen Daten rübergeschoben übers Netz. Zusätzlich dann nochmal Sonntags auf eine USB HDD am Backup NAS.
 
Nein, per Portfreigabe und der direkten im Netzwerk meines Dads zugeteilten IPv6 komm ich von meiner Synology auf die Backup Synology.

QuickConnect wollte und will ich nicht benutzen.

Selbst das WebInterface ist aufrufbar über das Internet. Egal von wo.
Deshalb ja auch in der Hinsicht meine Sicherheitsbedenken.
 
Und woher kennst du die IPv6 deines Dads? Sry, wenn ich so blöd nachhake. 😉
Habt ihr feste IPv6? Bei IPv6 besteht eigentlich kein Grund mehr von der Providerseite aus die IPs wechselnd zuzuteilen, wie bei IPv4 noch. Würde mich aber nicht wundern, wenn das je nach Provider immer noch so ist.
Kein DynDNS/DDNS? Die IPv6 ist seit Jahren fest?
Wenn du https nutzt, sollte von außen auch keiner rein gucken können. Bis jetzt habe ich auch noch nicht gehört, dass man leichter in https gucken könnte, als in ein verschlüsseltes VPN. Ein VPN hat allerdings ganz andere Vorteile, unabhängig von der Verschlüsselung.
 
Nunja, er wohnt 100m entfernt :D (Nein, Kabel von Fenster zu Fenster ist keine Option :D)
Ich komm selbst von meinem Balkon aus per seinem WLAN auf seine FritzBox, da komm ich also einfach an die jeweiligen Adressen ;)

HTTPS, gute Frage ob das eingeschaltet ist :O da war mal was mit irgendwelchen Zertifikaten, hab ich nicht kapiert :D

Feste IPv6 haben wir am Router eigentlich nicht, aber die intern vergebenen IPv6 bleiben größtenteils identisch da ja abgeglichen wird ob eine IPv6 schon vorhanden ist weltweit (sprich der pingt die Adresse an, wenn vorhanden, Spiel von vorne)
Zumindest hab ich das in einem Video mit Erklärung von IPv6 so in Erinnerung :)
 
Danke für die Erklärungen. Ich finde auf dieser Grundlage, du müsstest deine Übungsanlage überdenken.
  • Du hast die Daten verschlüsselt
  • die alte Version (edit: deiner Daten) liegt auf dem extra extra Backup
  • Die DS120j ist permanent am Netz, geschützt durch die Synology-eigene Software - allerdings in einer nicht mehr nachgeführten Version (welche eigentlich? Ich habe eine DS 213j und die hat auch schon viiiele Jahre auf dem Buckel, erhält aber zu ihrer Software-Version 6.x nach wie vor Sicherheitsupdates).
  • Das Backup läuft inkrementell.

So. Das heisst doch, dass du entweder 'Angst' hast, dass die SW der alten NAS einen Angreifer nicht mehr standhält oder dass du während dem Backup Opfer einer 'Man-in-the-Middle'-Attacke wirst.

Ich sorge mich auch um die Sicherheit meiner Daten und habe auch ein extra extra Backup (inkrementell). Aber ich starte den entsprechenden Task manuell und hänge die Maschine fürs extra extra Backup nachher wieder ab. Der Kopiervorgang dauert eine überschaubare Zeit. Dass in dieser Zeit dann entweder ein (professioneller) Hack oder eine man-in-the-middle-Attacke stattfindet, ist zwar theoretisch nicht ausgeschlossen, aber wenig wahrscheinlich.
Das ist ein Risiko, das ich so zu tragen bereit bin.

In deinem Fall willst du mit technischen Massnahmen zusätzliche Sicherheit generieren, die aber am Grundproblem nichts ändern: Deine veraltete ds120j hängt permanent am Netz.
 
Also einfachste und billigste Lösung. Einfach einmal im Monat die 112+ (nicht 120j, die wäre ja nicht alt) hochfahren, Backup, fertig.

Gegebenenfalls würde ich das so machen bis Wireguard nativ auf der FritzBox vernünftig läuft. Ergibt Sinn?

Und zur Sicherheit, ja, genau das, ich will das so sicher wie möglich.
Ich glaube jetzt kaum das jemand genau auf die IPv6 zugreift und mir die Daten da runter angelt aber man muss es ja auch nicht zu einfach machen ;)

Edit: Die alten NAS ausschalten reicht vollkommen oder? Wird ja kaum einer genau auf die IP nen WOL starten, lol, aber man weiß ja nie :D
 
Da laufe ich ins Problem das beide FritzBoxen die gleiche IP Range haben inklusive nach außen eine (pro Box natürlich) nur erreichbare IPv6. Nämlich die von AVM voreingestellte, 192.168.178.xxx. Da müsste ich dann meinen IP Bereich ändern. Ansich machbar. Aber ich denke ich werde dann warten bis Wireguard am Start ist. Das würde ja dann auch von Box zu Box laufen. Wenn ich dann den IP Bereich auch ändern muss bin ich zwar gekniffen und hätte das dann schon früher haben können was ich möchte aber so wärs halt dann :D
 
Zuletzt bearbeitet:
Den IP-Bereich beider Häuser musst du bei VPN eh ändern. Da kannst du dich schonmal drauf einstellen.
Ob du https hast, müsstest du doch irgendwie in der Synology sehen können. Ich habe aktuell keine Diskstation am Laufen, kann da also leider nichts konkret zu sagen.
Wenn du sogar das WLAN empfängst:
https://www.omg.de/search?query=wireless+wire
Oder Airfiber, wie hier im Youtube-Video.
 
Also das Webinterface läuft auf jedenfalls mal über HTTPS laut Safari
2E139F15-8647-4497-91A6-7BE3B451E67F.jpeg
9FF1F5E5-095E-49F5-9A93-E52EAAA38CDA.jpeg


Und Verschlüsselungen sind wohl auch alle aktiv
9E24993D-FA4E-4414-96F2-AE8030F878DC.jpeg

9CFD16C2-2C27-4AD1-B672-94D995B9C53F.jpeg


Ansonsten ist noch ein auto. IP Block bei mehr als 10 Versuchen/5 Minuten drinn

Ich glaub mehr kann ich ohne VPN nicht tun oder?
 
  • Gefällt mir
Reaktionen: Wilhelm14
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Phil1978
synology zu synology rsync im lan ohne ssh?
Antworten
5
Aufrufe
671
oicfar
oicfar
M
Erfahrungsbericht Quasi Bare-Metal-Recovery auf einer Synology DS220+
Antworten
5
Aufrufe
490
Mountainbiker83
M
S
Synology zu Synology Backup - Best practice
Antworten
2
Aufrufe
2.600
SyncKart
S
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
860
Mickey Mouse
Mickey Mouse
S
Backup und allgemeine Sicherheit von meinem Synology NAS
Antworten
11
Aufrufe
2.310
Blende Up
Blende Up

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz