littleadm
Goto Top

Spiegelung von NAS zu NAS

Moin alle zusammen,

ich stehe vor einem kleinem Problem. Wir nutzen NAS1 als Datenserver, auf dem regelmäßig gearbeitet wird. Nun soll NAS2 als Datensicherungsserver fungieren (Beides sind Synology-Geräte). Dazu wollte ich eine Aufgabe via Aufgabenplaner in der Systemsteuerung erstellen, mittels der die entsprechenden Ordner rüber kopiert werden sollen. Dazu musste ich vorerst dafür sorgen, dass über der ssh-verbindung keine Passwortabfrage gestellt wird, da dies automatisch geschehen soll. Hab dafür
ssh-keygen -t rsa
verwendet. Danach habe ich diesen mittels
cat ~/user/.ssh/id_rsa.pub | ssh user@Host 'cat»~/.ssh/authorized_keys'  
den code auf dem NAS2 kopiert und eingetragen.
Jetzt sollte eigentlich die Passwortabfrage wegfallen, stattdessen eine passphrase (sofern angegeben) verlangt werden. Jedoch bleibt das aus. Ich habe mal mittels
ssh user@host -vv
ausgelesen, was genau er dort tut. Hier das Ergebnis:

OpenSSH_6.8p1-hpn14v6, OpenSSL 1.0.2n-fips  7 Dec 2017
debug2: ssh_connect: needpriv 0
debug1: Connecting to nas02-host [192.168.XX.XX] port 22.
debug1: Connection established.
debug1: key_load_public: No such file or directory
debug1: identity file /var/services/homes/rsync/.ssh/id_rsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/services/homes/rsync/.ssh/id_rsa-cert type -1
debug1: identity file /var/services/homes/rsync/.ssh/id_dsa type 2
debug1: key_load_public: No such file or directory
debug1: identity file /var/services/homes/rsync/.ssh/id_dsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/services/homes/rsync/.ssh/id_ecdsa type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/services/homes/rsync/.ssh/id_ecdsa-cert type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/services/homes/rsync/.ssh/id_ed25519 type -1
debug1: key_load_public: No such file or directory
debug1: identity file /var/services/homes/rsync/.ssh/id_ed25519-cert type -1
debug1: Enabling compatibility mode for protocol 2.0
debug1: Local version string SSH-2.0-OpenSSH_6.8p1-hpn14v6
debug1: Remote protocol version 2.0, remote software version OpenSSH_6.8p1-hpn14v6
debug1: match: OpenSSH_6.8p1-hpn14v6 pat OpenSSH* compat 0x04000000
debug2: fd 3 setting O_NONBLOCK
debug1: SSH2_MSG_KEXINIT sent
debug1: SSH2_MSG_KEXINIT received
debug1: AUTH STATE IS 0
debug2: kex_parse_kexinit: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1
debug2: kex_parse_kexinit: ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ssh-rsa-cert-v00@openssh.com,ssh-dss-cert-v00@openssh.com,ssh-ed25519,ssh-rsa,ssh-dss
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com,arcfour256,arcfour128,aes128-cbc,3des-cbc,blowfish-cbc,cast128-cbc,aes192-cbc,aes256-cbc,arcfour,rijndael-cbc@lysator.liu.se
debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1,hmac-md5-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1,hmac-md5-etm@openssh.com,hmac-ripemd160-etm@openssh.com,hmac-sha1-96-etm@openssh.com,hmac-md5-96-etm@openssh.com,hmac-md5,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit: none,zlib@openssh.com,zlib
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug2: kex_parse_kexinit: curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1
debug2: kex_parse_kexinit: ssh-rsa,ssh-dss,ecdsa-sha2-nistp256,ssh-ed25519
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
debug2: kex_parse_kexinit: aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com,chacha20-poly1305@openssh.com
debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: kex_parse_kexinit: umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit: none,zlib@openssh.com
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit:
debug2: kex_parse_kexinit: first_kex_follows 0
debug2: kex_parse_kexinit: reserved 0
debug1: REQUESTED ENC.NAME is 'aes128-ctr'  
debug1: kex: server->client aes128-ctr umac-64-etm@openssh.com none
debug1: REQUESTED ENC.NAME is 'aes128-ctr'  
debug1: kex: client->server aes128-ctr umac-64-etm@openssh.com none
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
debug1: Server host key: ecdsa-sha2-nistp256 SHA256:isi3bTq1d8GyW7HzWoT1KBNo/V+F7eXhWUJYbUdqYj4
debug1: Host 'nas02HOST' is known and matches the ECDSA host key.  
debug1: Found key in /var/services/homes/rsync/.ssh/known_hosts:1
debug2: set_newkeys: mode 1
debug1: SSH2_MSG_NEWKEYS sent
debug1: expecting SSH2_MSG_NEWKEYS
debug2: set_newkeys: mode 0
debug1: SSH2_MSG_NEWKEYS received
debug1: SSH2_MSG_SERVICE_REQUEST sent
debug2: service_accept: ssh-userauth
debug1: SSH2_MSG_SERVICE_ACCEPT received
debug2: key: /var/services/homes/rsync/.ssh/id_rsa ((nil)),
debug2: key: /var/services/homes/rsync/.ssh/id_dsa (0x7fbe4c9395b0),
debug2: key: /var/services/homes/rsync/.ssh/id_ecdsa ((nil)),
debug2: key: /var/services/homes/rsync/.ssh/id_ed25519 ((nil)),
debug1: Authentications that can continue: publickey,password
debug1: Next authentication method: publickey
debug1: Trying private key: /var/services/homes/rsync/.ssh/id_rsa
debug1: Offering DSA public key: /var/services/homes/rsync/.ssh/id_dsa
debug2: we sent a publickey packet, wait for reply
debug1: Authentications that can continue: publickey,password
debug1: Trying private key: /var/services/homes/rsync/.ssh/id_ecdsa
debug1: Trying private key: /var/services/homes/rsync/.ssh/id_ed25519
debug2: we did not send a packet, disable method
debug1: Next authentication method: password

Wenn ich das richtig verstehe, dann findet er zwar den Key, aber akzeptiert diesen nicht... Kann mir jemand weiterhelfen?
Vielen Dank schon einmal im vorraus face-smile

Content-Key: 361577

Url: https://administrator.de/contentid/361577

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 18.01.2018 um 11:56:25 Uhr
Goto Top
Moin,

ist denn
~/user/.ssh/id_rsa.pub 
==
/var/services/homes/rsync/.ssh/id_rsa 
?

Und was steht dann am "anderen Ende" im Log?

lg,
Slainte
Mitglied: littleAdm
littleAdm 18.01.2018 aktualisiert um 12:09:50 Uhr
Goto Top
Hab ich nicht richtig aufgepasst ... Ja das ist das gleiche.

Den anderen log kann ich wo auslesen?

[Edit] Ich arbeite mittels PuttY auf der NAS1, daher kommt der log [/Edit]
Mitglied: Tezzla
Tezzla 18.01.2018 um 12:12:45 Uhr
Goto Top
Moin,

was spricht gegen Boardmittel von Synology?

Viele Grüße
T
Mitglied: Pedant
Pedant 18.01.2018 um 12:22:21 Uhr
Goto Top
Hallo littleAdm,

kennst Du das hier:
http://www.synology-wiki.de/index.php/Ssh_mit_Zertifikaten_absichern
http://www.synology-forum.de/forum.html

Muss es denn überhaupt über eine ssh-Verbindung gehen?

Du könntest doch auch am Nas1 einen Backupuser einrichten, der Leserechte an der Quelle hat und denselben user auf Nas2 einrichten der Schreibrechte am Ziel hat.
Dann nimmst Du eines der Backuptools wie z.B. "Active Backup" und lässt Ordner zu Ordner spiegeln.

Wenn es über eine "sichere" Leitung gehen soll, dann könntest Du die beiden Nas über eine der vielen Netzwerkschnittstellen direkt verbinden. Die Daten werden dann zwar unverschlüssel übertragen, aber über eine dedizierte Leitung, in einem eigenen Netzwerk (z.B. 192.168.10.0./24) , die keiner abhören kann.

Lan ----- NAS1
 |         |
 |         |
 +------- NAS2

Gruß Frank
Mitglied: littleAdm
littleAdm 18.01.2018 aktualisiert um 12:32:40 Uhr
Goto Top
@ Tezzla: Ehrlich gesagt habe ich dieses Paket bei der durchsuchung der möglichen Pakete wohl übersehen ... Ich schaue mir diese mal an, da die übrigen Pakete nicht zweckmäßig für uns waren. Wenn diese es sind um so besser. Rein aus Neugierde und Wissensdurst würde ich dennoch gerne feststellen warum es fehlschlug.

@ Pedant: Beide NAS-Geräte haben den selben user mit entsprechenden Rechten bekommen. Wir möchten möglichst, dass die beiden Geräte unabhängig von anderen Geräten, die eine Übertragung steuern, laufen können. Darum war die Idee ein script zu schreiben, dieses auf NAS1 abzulegen und via Aufgabenplaner zu bestimmten zeiten abzurufen, so dass die neu hinzugewonnenen Daten dann auf die zweite NAS übertragen werden.
Mitglied: littleAdm
littleAdm 18.01.2018 um 12:37:29 Uhr
Goto Top
[Edit] Was ich vielleicht noch hinzufügen sollte: Wir möchten die Sicherung so haben, dass wenn NAS1 ausfallen sollte, wir einfach auf die NAS2 umstellen können, so dass weiter gearbeitet werden kann, während wir das Problem mit der NAS1 lösen [/Edit]
Mitglied: littleAdm
littleAdm 18.01.2018 um 12:50:46 Uhr
Goto Top
@ Tezzla:
Hab jetzt einmal eine Datensicherung mittels Boardmittel der Synology durchgespielt. Daran stören uns mehrere Faktoren: Die Sicherung findet nur einmal am Tag statt (bei unserer Variante könnten wir in regelmäßigen Abständen überprüfen lassen ob Daten geändert oder hinzu gekommen sind und diese dann sichern). Zu dem wird im Zielverzeichnis eine Sicherung erstellt, mit der nicht sofort weiter gearbeitet werden kann, sollte die Haupt-NAS ausfallen ...
Mitglied: Pjordorf
Pjordorf 18.01.2018 aktualisiert um 14:01:35 Uhr
Goto Top
Hallo,

Zitat von @littleAdm:
Zu dem wird im Zielverzeichnis eine Sicherung erstellt, mit der nicht sofort weiter gearbeitet werden kann, sollte die Haupt-NAS ausfallen ...
Das ist bei einem Backup oder Datensicherung so üblich das eigene Datenformate genutzt werden. Beim Kopieren von einzeilne Elemente/Dateien bleiben die Namen meistens erhalten, stellt aber nicht wirklich eine Datensicherung da. Ich würd sagen works as designed. Was du brauchst ist z.B. ein Cluster und das nicht nur von den Rechnenden Einheiten, sondern auch von deinen Daten face-smile

Gruß,
Peter
Mitglied: littleAdm
littleAdm 18.01.2018 um 14:54:32 Uhr
Goto Top
@ Pjordorf: Ja ok, hab ich an der Stelle eine falsche äußerung getätigt. Aber denke der Titel "Spiegelung" sagt da schon was ich eigentlich möchte ;) -> Spiegelung der Daten 1:1 von einer NAS zur anderen, ausschließlich in eine Richtung in regelmäßigen Abständen. Abgleich der Daten (was wurde geändert) und kein Löschen von Daten auf dem Zielpfad, so dass Dateien, oder Ordner die in der Quelle gelöscht wurden auf dem Ziel bestehen bleiben, für behebung von "versehentlich" gelöschten Daten!

Denke das fässt es so ziemlich zusammen.
Mitglied: Pjordorf
Pjordorf 18.01.2018 um 16:48:35 Uhr
Goto Top
Hallo,

Zitat von @littleAdm:
Aber denke der Titel "Spiegelung" sagt da schon was ich eigentlich möchte ;)
Warum beschwerst du dich dann das wenn du ein Backup (Sicherungswerkzeug) nutzt du an die Daten erstmal nicht direkt dran kommst (Eigenes datenformat). Du hast dann dein Begriff Spiegelung in (Daten)Sicherung verwandelt, oder? face-smile

Gruß,
Peter
Mitglied: littleAdm
littleAdm 18.01.2018 um 17:23:18 Uhr
Goto Top
Zitat von @Pjordorf:
Warum beschwerst du dich dann das wenn du ein Backup (Sicherungswerkzeug) nutzt du an die Daten erstmal nicht direkt dran kommst (Eigenes datenformat).

Ich wurde von Tezzla gefragt warum ich nicht jenes Programm verwenden würde. Ich hatte daraufhin geprüft ob dieses Progrämchen unsere Anforderungen erfüllt. Tut es nicht wegen dem erwähnten eigenem Format! Ich bin damit nur darauf eingegangen warum ich nicht Boardmittel der Synology verwenden kann.
Demzufolge habe ich in diesem Zusammenhang von einer Datensicherung gesprochen. Was ich aber möchte ist eine Spiegelung. Wie ich die hinbekomme weiß ich auch. Was mir nur fehlt ist der nötige Hinweis, was ich noch ändern muss, damit meine ssh-verbindung so klappt, dass keine passwortabfrage kommt. Denn alle Hinweise die ich im netz gefunden habe funktionieren nicht (mehr?!). Soweit ich aus diesem Beitrag heraus gelesen habe, liegt dies am neustem DSM-Update (6.0) der Synology. Ich hatte mit Hilfe von diesen Beiträgen mein Vorhaben begonnen, was soweit auch klappte, bis auf dass die letztliche PW-Abfrage dennoch gestellt wird. Denn die Datenspiegelung selbst hätte ich soweit im Griff...
Mitglied: Pjordorf
Lösung Pjordorf 18.01.2018 aktualisiert um 19:41:30 Uhr
Goto Top
Hallo,

Zitat von @littleAdm:
neustem DSM-Update (6.0) der Synology.
Mal http://karlcode.owtelse.com/blog/2015/06/27/passwordless-ssh-on-synolog ... gelesen? Da soll es mit DSM 6.0 gelaufen haben.

Gruß,
Peter
Mitglied: littleAdm
littleAdm 19.01.2018 um 15:30:55 Uhr
Goto Top
Zitat von @Pjordorf:
Mal http://karlcode.owtelse.com/blog/2015/06/27/passwordless-ssh-on-synolog ... gelesen? Da soll es mit DSM 6.0 gelaufen haben.

Ich danke dir für diesen Hinweis. Dieser Beitrag hat mir doch tatsächlich zum Erfolg verholfen! Jetzt funktioniert doch alles face-smile

Vielen Dank an alle, die mir hier geholfen haben, ihr seid klasse!

Liebe Grüße