VPN-Tunnel zwischen zwei Routern für Backups

Mitglied: Mean1312

Mean1312 (Level 1) - Jetzt verbinden

28.03.2016 um 15:37 Uhr, 1290 Aufrufe, 14 Kommentare

Hallo zusammen,

ich habe mir einen Microserver von HP zugelegt, den ich mit FreeNAS als NAS verwende um u.a. Fotos, wichtige eingescannte Dokumente,... zentral zu speichern.

Nun will ich die Datensicherheit erhöhen - was bisher auf meinen PCs/Laptops immer zu kurz kam. Hierzu möchte ich regelmäßig Backups auf das NAS meines Bruders machen und ihm umgekehrt auch die Möglichkeit bieten seine Backups auf meinem NAS abzulegen.

Wegen ~ 100 KM zwischen unseren Wohnorten müssen wir das über das Internet machen. Ich habe hierfür auf meinen Router EA 4500 von LinkSys OpenWRT installiert und VPN konfiguriert. Mein Bruder hat den LinkSys Wrt54G2 ohne Original-Firmware.

So viel zur Vorgeschichte, nun zu meinen Fragen:

a) kann ich den Router meines Bruders irgendwie dazu zwingen für eine best. IP (die seines NAS) immer eine VPN-Verbindung aufzubauen oder noch besser, für eine best. IP immer dann eine VPN-Verbindung aufzubauen, wenn er auf meine DynDNS-Subdomain zugreift?

b) kann ich verhindern, dass er aus seinem Netzwerk auf Inhalte meines Netzwerks zugreift, außer auf die verschlüsselten Inhalte auf dem NAS, die sein NAS backuppen soll oder wäre das dann eher etwas für Firewall-Regeln? Bzw. auf dem NAS (da liegen neben den zu backupenden Daten auch Musik, Filme,... die nicht gebackuped werden) nicht auf alle Inhalte - das wäre dann wohl eher etwas für Dateiberechtigungen auf dem NAS?!

c) etwas komplizierter dürfte es in dem Fall sein, in dem ich auf das NAS meines Bruders zugreife und seine Daten sichere, da er ja kein VPN am Laufen hat. Da müsste er die Verbindung aufbauen und dann entweder die Daten zu mir schieben?! Ebenfalls soll / will auch ich nur auf die Daten zugreifen dürfen, die ich sichern soll.

d) wäre ein dauerhafter Tunnel zwischen unseren NAS ein Sicherheitsrisiko und könnte man es so einrichten, dass nur best. Zugriffe vom NAS über das VPN gehen, alle anderen wie z.B. auf Software-Updates für das NAS, Runterladen für Musik über Spotify (k.A. ob er die aufs NAS ziehen kann/will) am Tunnel vorbeigeht?

Ich hoffe ich habe niemanden mit dem vielen Text abgeschreckt. Wenn ich eine Bitte für die Antwort äußern dürfte, dann, ob ihr mir vielleicht mit ein paar Sätzen antworten könnten unter Verwendung von Schlagwörtern, die ich googlen kann. Ohne größeres Wissen zu den Themen etwas zu finden ist nämlich nicht soooo trivial.

Vielen Dank, frohe Ostern und viele Grüße,

Felix
Mitglied: horstvogel
28.03.2016, aktualisiert um 16:23 Uhr
Hallo Felix,
wie man so schön sagt "quick and dirty".

2 Fritzboxen über die Weboberfläche eine Lan-Lan Verbindung herstellen und fertig ist das in 5 Minuten. hier sagen das sich nur die Geräte an Lan... verbinden sollen und fertig ist.

openwrt/DD-WRT kann von Hause aus nicht openvpn.... sondern nur PPTP. Das ist ja nicht mehr sicher. Bzw. gibt es nicht für jeden Router eine Firmware die OpenVPN enthält.


2016-03-28 16_11_34-store - Klicke auf das Bild, um es zu vergrößern

der Horst
Bitte warten ..
Mitglied: michi1983
28.03.2016, aktualisiert um 16:38 Uhr
Zitat von @horstvogel:
openwrt/DD-WRT kann von Hause aus nicht openvpn.... sondern nur PPTP.
Woher hast du bitte diese Information?
Bitte warten ..
Mitglied: horstvogel
28.03.2016, aktualisiert um 17:05 Uhr
Hallo Michi,
z.B. für einen TP-Link WR841N Ver. 10.0 gibt es nur eine ohne OpenVPN Server. Der Speicher für die Firmware mit 4 MB gibt nicht mehr her.
der Horst


2016-03-28 17_02_31-dd-wrt (build 29346) - pptp - internet explorer - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Dobby
28.03.2016 um 18:14 Uhr
Hallo,

als Alternative sollte man einmal nachdenken ob man nicht einfach alle Daten der PCs und Laptops
einfach auf ein externes USB 3.0 Laufwerk sichert und dann eben alles dort sicher aufbewahrt werden
kann. Ich kenne Eure Internetleitungen und deren Geschwindigkeit jetzt nicht so wirklich aber das sollte
man wenn es um mehrere GBs geht oder man eine Drosselung seitens das ISPs hat nicht machen. Und
wenn schon dann mittels eines VPN Servers der alles aus der Software und Hardware herausholt. Aber
für das Geld wie gesagt sollte man einmal über eine vor Ort Backuplösung nachdenken die ihren Namen
auch verdient. Und wenn es schon OpenWRT sein muss oder soll würde ich mal an einen Router denken
der eine VPN Hardware Beschleunigung mitbringt damit es dann auch richtig "flutscht"!

OpenWRT Eigenbau:
IPSec VPN mit Hardwarebeschleunigung für den Heimgebrauch.
MikroTik RB493G ohne Lizenz gebraucht kaufen
Soekris VPN1411 miniPCI Karte

Hardware mit OpenWRT Unterstützung:
IPSec VPN mit teilweiser Hardwareunterstützung.
Firefly - OpenWRT router - Alternative Hardware für OpenWRT - Small
Turris Omnia Router und Modem für OpenWRT - OpenSource Hardware -Middle
SolidRun ClearFog Pro OpenWRT "Super" Router -Big

Gruß
Dobby

Bitte warten ..
Mitglied: Mean1312
28.03.2016 um 18:59 Uhr
Hallo zusammen,

vielen Dank für eure zahlreichen Antworten.

Die Router-Hardware steht eigentlich und da wir beide für unsere bisherigen Zwecke damit sehr zufrieden sind würde ich zumindest nur sehr ungern wechseln.

Zum Thema Backup, VPN, Geschwindigkeit:
Klar kann man's auf eine HDD über USB backuppen, aber das hilft eben nur gegen technischen Ausfall beim NAS. Wenn die Bude abbrennt ist das sicher nicht das größte Problem, aber es ist eines, da dann alles weg ist. Besonders Dokumente die vll. nicht anerkannt sind, da nur gescannt, hätte ich ein besseres Gefühl, wenn ich sie als Kopie nochmal hätte.

Bei einem nächtlichen Full-Backup sähe ich die INet-Geschwindigkeit als Problem. Auch das erste Backup kann wohl dauern, aber danach denke ich, wenn es z.B. über Rsync laufen würde sollte es doch recht rasch gehen. Man macht ja nicht jeden Tag 1.000 Bilder. Das passiert vll. im Urlaub einmal im Jahr.

Lange habe ich das VPN (meiner Meinung ist es nicht PPTP, sondern IPSec) noch nicht eingerichtet, aber ich finde es recht fix und auch beim Surfen, Youtuben war es Performant. Große Datenmengen habe ich noch nicht verschoben, würde ich aber mal probieren.

Viele Grüße,

Felix
Bitte warten ..
Mitglied: michi1983
28.03.2016 um 19:46 Uhr
Zitat von @horstvogel:

Hallo Michi,
z.B. für einen TP-Link WR841N Ver. 10.0 gibt es nur eine ohne OpenVPN Server. Der Speicher für die Firmware mit 4 MB gibt nicht mehr her.
der Horst



Das liegt dann aber am Router und nicht an der Software.
OpenWRT sowie DD-WRT haben OpenVPN standardmäßig an Board.
Bitte warten ..
Mitglied: horstvogel
28.03.2016 um 20:48 Uhr
Hallo Michi,
nichts anderes habe ich doch geschrieben?

Bzw. gibt es nicht für jeden Router eine Firmware die OpenVPN enthält.


siehe oben
Bitte warten ..
Mitglied: Cornitus
28.03.2016 um 23:04 Uhr
Hallo Felix,

was habt ihr denn für eine tatsächliche Geschwindigkeit?

Meistens hilft es nach VPN und den Routern zu googln dann gibt es häufig (je nach Geräteverbreitung, wahrscheinlich) Anleitungen zum Aufbau einer VPN Verbindung. Wenn so etwas möglich ist dann gibt es zumeist auch die Option ob der der Tunnel bei Bedarf aufgebaut wird oder immer besteht. Bei ersterem geschieht das dann, wenn ein Paket an die Zieladresse geschickt werden soll. Zum Beispiel wenn du das Ziel am Ende des VPN Tunnels anpingst. Es ist meistens auch egal ob feste oder dynamische IP, es geht meist auch per dyndns oder dergleichen. Ob es ein Sicherheitsrisiko ist kann man wohl schlecht sagen aber ich bin jetzt mal so Naiv und behaupte als Normalsterblicher gut geschützt zu sein :) face-smile. Bei einer VPN Verbindung wird eine Verbindung in ein bestimmtes Zielnetzwerk aufgebaut das dann erreichbar ist, als wäre man direkt damit verbunden. Wenn dein Bruder seinen Rechner bei dir an den Router anstecken würde, dann wäre das der gleiche Effekt. Dein Bruder kann auf das Zugreifen was du freigibst bzw. konfigurierst.

Grüße!
Bitte warten ..
Mitglied: michi1983
28.03.2016 um 23:13 Uhr
Zitat von @horstvogel:

Hallo Michi,
nichts anderes habe ich doch geschrieben?
Siehe mein 1. Kommentar. Da steht ein Zitat von dir.
Das hast du Wort für Wort so geschrieben, und auf diese Aussage zielte meine Frage ab, denn das stimmt schlichtweg nicht. Das wollte ich nur klarstellen :-) face-smile
Und jetzt zurück zum Thema.
Bitte warten ..
Mitglied: orcape
29.03.2016 um 05:34 Uhr
Hi Mean1312,
Du kannst auf beiden Routern eine alternative Firmware flashen um VPN zu nutzen. Der EA4500 kann laut Routerdatenbank allerdings kein DD-WRT, ich kann Dir nicht sagen, was OpenWRT "tunnelmäßig" anzubieten hat. Der WRT54 kann zumindest problemlos OpenVPN. Auf dem NAS lässt sich alles andere per Sicherheitsrichtlinien klären, was Du da Deinem Bruder an Zugriff anbietest, lässt sich einstellen. Mal abgesehen von Deinen DSL-Geschwindigkeiten, ob Du allerdings mit den Tunnelgeschwindigkeiten (WRT54 250MHz CPU) so wirklich glücklich wirst, wage ich doch zu bezweifeln. Mal eine Datei rüberschieben, ok. Aber ein komplettes Backup, ich denke da musst Du Router mäßig schon etwas "aufrüsten" um glücklich zu werden.
Gruß orcape
Bitte warten ..
Mitglied: Dobby
29.03.2016 um 13:30 Uhr
Klar kann man's auf eine HDD über USB backuppen, aber das hilft eben nur gegen technischen
Ausfall beim NAS.
Sehe ich anders, denn wenn man die Daten auf dem PC und Laptop hat und sie dann noch einmal
auf ein NAS sichert hat man sie schon zweimal vorhanden und wenn man dann das NAS auf ein
USB 3.0 RDX Laufwerk sichert hat man sie schon dreimal vorhanden. Und die Sicherung auf ein
RDX Medium finde ich irgend wie besser und origineller als auf eine USB HDD oder ein langsame
Internetverbindung auf das NAS 100 Kilometer weit weg, denn das zurück sichern von RDX auf NAS
und NAS auf den PC oder das Laptop sollte gefühlte 1000 Mal schneller von statten gehen.

Feuer & Wasserfest für die RDX Medien
Feuer & Wasserfest für RDX Medien und Dokumente

Zur OpenWRT Hardware habe ich weiter oben schon etwas geschrieben, das sollte reichen um auf die
eine oder die andere Art und Weise ein ordentliches Backup hinzubekommen.

Mit potenter Hardware und/oder einer 100/200/300/400 MBit/s Leitung würde ich sagen das kann
man gut und gerne riskieren nur mit 16 MBit/s und einer Sicherung von Heim-NAS zu Heim-NAS
finde ich zwar gut von der Überlegung her, nur ein Backup ist eben schon etwas wichtiges und das
sollte dann eben auch "flutschen" und passen.

Zu OpenWRT, bei einigen Routern ist OpenVPN nicht mit dabei und bei einigen ist es mit dabei
so habe ich das auch in Erinnerung.

Gruß
Dobby

Bitte warten ..
Mitglied: michi1983
29.03.2016 um 13:34 Uhr
Zitat von @Dobby:
Zu OpenWRT, bei einigen Routern ist OpenVPN nicht mit dabei und bei einigen ist es mit dabei
so habe ich das auch in Erinnerung.
Ihr habt ja beide Recht, ich habe nie etwas anderes behauptet.
Ich habe lediglich die Aussage von @horstvogel
openwrt/DD-WRT kann von Hause aus nicht openvpn.... sondern nur PPTP.
kritisiert, weil diese Aussage nicht stimmt.
Bitte warten ..
Mitglied: Mean1312
29.03.2016 um 14:06 Uhr
Sorry. Das RDX hatte ich überlesen und wusste ich nicht, was das ist, bis zu deinem Link.

Ich denke, ich/wir werden es mal probieren, wie lange es dauern würde. Ist ja nichts für die Ewigkeit, was wir uns ans Bein binden.

Wenn es zu langsam ist kann man immer noch die RDX-Variante wählen oder evtl. auch einen Mix aus beidem.

Könntet ihr für den Testlauf vll. trotzdem nochmal auf die Punkte a), b),... eingehen?

Vielen Dank und viele Grüße,

Felix
Bitte warten ..
Mitglied: orcape
29.03.2016 um 17:43 Uhr
Sowohl a, wie b, sind eine Sache der Tunnelkonfiguration, des Routings und der Rechte auf dem NAS. Wenn Dein Bruder dich in sein Netzwerk lässt und Du somit der "Admin" des dann verbundenen Netzwerks bist, lässt sich alles machen. Du musst nur wissen wie es funktioniert.:-) face-smile
Gruß orcape
Bitte warten ..
Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Festplatte aus defekten Notebook ausgebaut - wird nicht erkannt - Wie gelange ich an meine Daten?
gelöst 1nCoreVor 1 TagFrageFestplatten, SSD, Raid15 Kommentare

Hallo liebe Community, nach 7 Jahren hat mein XMG Notebook seinen Geist aufgegeben In dem Notebook waren zwei Festplatten verbaut (eine für System und ...

Erkennung und -Abwehr
Wie geschickt sich Malware verstecken kann - Ein Beispiel aus der Praxis eines Security Experts
colinardoVor 22 StundenTippErkennung und -Abwehr5 Kommentare

Servus Kollegen und Mitstreiter, da ja in letzter Zeit die Exchange-Lücken die Admin-Landschaft ziemlich aufgewirbelt haben und dabei auch immer mal wieder "sogenannte" Admins ...

Internet
Woher holt sich Android die Kontaktdaten von unbekannten Rufnummern?
gelöst anteNopeVor 1 TagFrageInternet8 Kommentare

Hallo zusammen, seit einiger Zeit merke ich, dass mir mein Android Gerät Namen und Informationen zu mir unbekannten Teilnehmern präsentiert. Soll heißen eine nicht ...

Windows Netzwerk
MS Lizenzierung - externe Scandienstleistung
monstermaniaVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo Allerseits, ich habe da mal eine Frage an die MS Lizenzspeziallisten. Eine externe Firma soll Scandienstleistungen für uns erledigen. Dazu ist angedacht, dass ...

Exchange Server
Exchange Update CU19 auf CU20 Fehler - Eine weitere Version dieses Produkts ist bereits installiert
gelöst StefanKittelVor 1 TagFrageExchange Server6 Kommentare

Hallo, ich habe hier einen Exchange 2016 mit CU19 (15.1.2176.2). Darauf wollte ich nun CU20 installiert. Download Es erscheint Eine weitere Version dieses Produkts ...

Windows Server
Hat Microsoft die WindowsServerSicherung oder diskpart zerpatcht?
anteNopeVor 17 StundenFrageWindows Server3 Kommentare

Hallo, kann es eventuell sein, dass Microsoft mit seinen letzten Updates die WindowsServerSicherung bzw. diskpart zerschossen hat? Es häufen sich bei mir seit gestern ...

Windows 10
Windows 10 Updates im Abgesicherten Modus nicht möglich!
gelöst Yuuto.LucasVor 1 TagFrageWindows 1016 Kommentare

Hallo, ich habe aktuell ein Problem bei einem Kunden Rechner. Bei diesem gibt es Probleme mit dem Soundkarten Treiber hdaudio.inf wegen dem der PC ...

Windows 10
Lokales Profil wird beim Herunterfahren gelöscht!
Yuuto.LucasVor 1 TagFrageWindows 1011 Kommentare

Hallo, ich habe aktuell folgendes Problem. An einem Kundenrechner ist aktuell ein Lokales Profil eingerichtet (vorher ein Server Profil bei dem das gleiche Problem ...