14
VPN-Tunnel zwischen zwei Routern für Backups
Hallo zusammen,
ich habe mir einen Microserver von HP zugelegt, den ich mit FreeNAS als NAS verwende um u.a. Fotos, wichtige eingescannte Dokumente,... zentral zu speichern.
Nun will ich die Datensicherheit erhöhen - was bisher auf meinen PCs/Laptops immer zu kurz kam. Hierzu möchte ich regelmäßig Backups auf das NAS meines Bruders machen und ihm umgekehrt auch die Möglichkeit bieten seine Backups auf meinem NAS abzulegen.
Wegen ~ 100 KM zwischen unseren Wohnorten müssen wir das über das Internet machen. Ich habe hierfür auf meinen Router EA 4500 von LinkSys OpenWRT installiert und VPN konfiguriert. Mein Bruder hat den LinkSys Wrt54G2 ohne Original-Firmware.
So viel zur Vorgeschichte, nun zu meinen Fragen:
a) kann ich den Router meines Bruders irgendwie dazu zwingen für eine best. IP (die seines NAS) immer eine VPN-Verbindung aufzubauen oder noch besser, für eine best. IP immer dann eine VPN-Verbindung aufzubauen, wenn er auf meine DynDNS-Subdomain zugreift?
b) kann ich verhindern, dass er aus seinem Netzwerk auf Inhalte meines Netzwerks zugreift, außer auf die verschlüsselten Inhalte auf dem NAS, die sein NAS backuppen soll oder wäre das dann eher etwas für Firewall-Regeln? Bzw. auf dem NAS (da liegen neben den zu backupenden Daten auch Musik, Filme,... die nicht gebackuped werden) nicht auf alle Inhalte - das wäre dann wohl eher etwas für Dateiberechtigungen auf dem NAS?!
c) etwas komplizierter dürfte es in dem Fall sein, in dem ich auf das NAS meines Bruders zugreife und seine Daten sichere, da er ja kein VPN am Laufen hat. Da müsste er die Verbindung aufbauen und dann entweder die Daten zu mir schieben?! Ebenfalls soll / will auch ich nur auf die Daten zugreifen dürfen, die ich sichern soll.
d) wäre ein dauerhafter Tunnel zwischen unseren NAS ein Sicherheitsrisiko und könnte man es so einrichten, dass nur best. Zugriffe vom NAS über das VPN gehen, alle anderen wie z.B. auf Software-Updates für das NAS, Runterladen für Musik über Spotify (k.A. ob er die aufs NAS ziehen kann/will) am Tunnel vorbeigeht?
Ich hoffe ich habe niemanden mit dem vielen Text abgeschreckt. Wenn ich eine Bitte für die Antwort äußern dürfte, dann, ob ihr mir vielleicht mit ein paar Sätzen antworten könnten unter Verwendung von Schlagwörtern, die ich googlen kann. Ohne größeres Wissen zu den Themen etwas zu finden ist nämlich nicht soooo trivial.
Vielen Dank, frohe Ostern und viele Grüße,
Felix
ich habe mir einen Microserver von HP zugelegt, den ich mit FreeNAS als NAS verwende um u.a. Fotos, wichtige eingescannte Dokumente,... zentral zu speichern.
Nun will ich die Datensicherheit erhöhen - was bisher auf meinen PCs/Laptops immer zu kurz kam. Hierzu möchte ich regelmäßig Backups auf das NAS meines Bruders machen und ihm umgekehrt auch die Möglichkeit bieten seine Backups auf meinem NAS abzulegen.
Wegen ~ 100 KM zwischen unseren Wohnorten müssen wir das über das Internet machen. Ich habe hierfür auf meinen Router EA 4500 von LinkSys OpenWRT installiert und VPN konfiguriert. Mein Bruder hat den LinkSys Wrt54G2 ohne Original-Firmware.
So viel zur Vorgeschichte, nun zu meinen Fragen:
a) kann ich den Router meines Bruders irgendwie dazu zwingen für eine best. IP (die seines NAS) immer eine VPN-Verbindung aufzubauen oder noch besser, für eine best. IP immer dann eine VPN-Verbindung aufzubauen, wenn er auf meine DynDNS-Subdomain zugreift?
b) kann ich verhindern, dass er aus seinem Netzwerk auf Inhalte meines Netzwerks zugreift, außer auf die verschlüsselten Inhalte auf dem NAS, die sein NAS backuppen soll oder wäre das dann eher etwas für Firewall-Regeln? Bzw. auf dem NAS (da liegen neben den zu backupenden Daten auch Musik, Filme,... die nicht gebackuped werden) nicht auf alle Inhalte - das wäre dann wohl eher etwas für Dateiberechtigungen auf dem NAS?!
c) etwas komplizierter dürfte es in dem Fall sein, in dem ich auf das NAS meines Bruders zugreife und seine Daten sichere, da er ja kein VPN am Laufen hat. Da müsste er die Verbindung aufbauen und dann entweder die Daten zu mir schieben?! Ebenfalls soll / will auch ich nur auf die Daten zugreifen dürfen, die ich sichern soll.
d) wäre ein dauerhafter Tunnel zwischen unseren NAS ein Sicherheitsrisiko und könnte man es so einrichten, dass nur best. Zugriffe vom NAS über das VPN gehen, alle anderen wie z.B. auf Software-Updates für das NAS, Runterladen für Musik über Spotify (k.A. ob er die aufs NAS ziehen kann/will) am Tunnel vorbeigeht?
Ich hoffe ich habe niemanden mit dem vielen Text abgeschreckt. Wenn ich eine Bitte für die Antwort äußern dürfte, dann, ob ihr mir vielleicht mit ein paar Sätzen antworten könnten unter Verwendung von Schlagwörtern, die ich googlen kann. Ohne größeres Wissen zu den Themen etwas zu finden ist nämlich nicht soooo trivial.
Vielen Dank, frohe Ostern und viele Grüße,
Felix
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300264
Url: https://administrator.de/contentid/300264
Ausgedruckt am: 23.11.2024 um 19:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo Felix,
wie man so schön sagt "quick and dirty".
2 Fritzboxen über die Weboberfläche eine Lan-Lan Verbindung herstellen und fertig ist das in 5 Minuten. hier sagen das sich nur die Geräte an Lan... verbinden sollen und fertig ist.
openwrt/DD-WRT kann von Hause aus nicht openvpn.... sondern nur PPTP. Das ist ja nicht mehr sicher. Bzw. gibt es nicht für jeden Router eine Firmware die OpenVPN enthält.
der Horst
wie man so schön sagt "quick and dirty".
2 Fritzboxen über die Weboberfläche eine Lan-Lan Verbindung herstellen und fertig ist das in 5 Minuten. hier sagen das sich nur die Geräte an Lan... verbinden sollen und fertig ist.
openwrt/DD-WRT kann von Hause aus nicht openvpn.... sondern nur PPTP. Das ist ja nicht mehr sicher. Bzw. gibt es nicht für jeden Router eine Firmware die OpenVPN enthält.
der Horst
Woher hast du bitte diese Information?
Hallo Michi,
z.B. für einen TP-Link WR841N Ver. 10.0 gibt es nur eine ohne OpenVPN Server. Der Speicher für die Firmware mit 4 MB gibt nicht mehr her.
der Horst
z.B. für einen TP-Link WR841N Ver. 10.0 gibt es nur eine ohne OpenVPN Server. Der Speicher für die Firmware mit 4 MB gibt nicht mehr her.
der Horst
Hallo,
als Alternative sollte man einmal nachdenken ob man nicht einfach alle Daten der PCs und Laptops
einfach auf ein externes USB 3.0 Laufwerk sichert und dann eben alles dort sicher aufbewahrt werden
kann. Ich kenne Eure Internetleitungen und deren Geschwindigkeit jetzt nicht so wirklich aber das sollte
man wenn es um mehrere GBs geht oder man eine Drosselung seitens das ISPs hat nicht machen. Und
wenn schon dann mittels eines VPN Servers der alles aus der Software und Hardware herausholt. Aber
für das Geld wie gesagt sollte man einmal über eine vor Ort Backuplösung nachdenken die ihren Namen
auch verdient. Und wenn es schon OpenWRT sein muss oder soll würde ich mal an einen Router denken
der eine VPN Hardware Beschleunigung mitbringt damit es dann auch richtig "flutscht"!
OpenWRT Eigenbau:
IPSec VPN mit Hardwarebeschleunigung für den Heimgebrauch.
MikroTik RB493G ohne Lizenz gebraucht kaufen
Soekris VPN1411 miniPCI Karte
Hardware mit OpenWRT Unterstützung:
IPSec VPN mit teilweiser Hardwareunterstützung.
Firefly - OpenWRT router - Alternative Hardware für OpenWRT - Small
Turris Omnia Router und Modem für OpenWRT - OpenSource Hardware -Middle
SolidRun ClearFog Pro OpenWRT "Super" Router -Big
Gruß
Dobby
als Alternative sollte man einmal nachdenken ob man nicht einfach alle Daten der PCs und Laptops
einfach auf ein externes USB 3.0 Laufwerk sichert und dann eben alles dort sicher aufbewahrt werden
kann. Ich kenne Eure Internetleitungen und deren Geschwindigkeit jetzt nicht so wirklich aber das sollte
man wenn es um mehrere GBs geht oder man eine Drosselung seitens das ISPs hat nicht machen. Und
wenn schon dann mittels eines VPN Servers der alles aus der Software und Hardware herausholt. Aber
für das Geld wie gesagt sollte man einmal über eine vor Ort Backuplösung nachdenken die ihren Namen
auch verdient. Und wenn es schon OpenWRT sein muss oder soll würde ich mal an einen Router denken
der eine VPN Hardware Beschleunigung mitbringt damit es dann auch richtig "flutscht"!
OpenWRT Eigenbau:
IPSec VPN mit Hardwarebeschleunigung für den Heimgebrauch.
MikroTik RB493G ohne Lizenz gebraucht kaufen
Soekris VPN1411 miniPCI Karte
Hardware mit OpenWRT Unterstützung:
IPSec VPN mit teilweiser Hardwareunterstützung.
Firefly - OpenWRT router - Alternative Hardware für OpenWRT - Small
Turris Omnia Router und Modem für OpenWRT - OpenSource Hardware -Middle
SolidRun ClearFog Pro OpenWRT "Super" Router -Big
Gruß
Dobby
Hallo zusammen,
vielen Dank für eure zahlreichen Antworten.
Die Router-Hardware steht eigentlich und da wir beide für unsere bisherigen Zwecke damit sehr zufrieden sind würde ich zumindest nur sehr ungern wechseln.
Zum Thema Backup, VPN, Geschwindigkeit:
Klar kann man's auf eine HDD über USB backuppen, aber das hilft eben nur gegen technischen Ausfall beim NAS. Wenn die Bude abbrennt ist das sicher nicht das größte Problem, aber es ist eines, da dann alles weg ist. Besonders Dokumente die vll. nicht anerkannt sind, da nur gescannt, hätte ich ein besseres Gefühl, wenn ich sie als Kopie nochmal hätte.
Bei einem nächtlichen Full-Backup sähe ich die INet-Geschwindigkeit als Problem. Auch das erste Backup kann wohl dauern, aber danach denke ich, wenn es z.B. über Rsync laufen würde sollte es doch recht rasch gehen. Man macht ja nicht jeden Tag 1.000 Bilder. Das passiert vll. im Urlaub einmal im Jahr.
Lange habe ich das VPN (meiner Meinung ist es nicht PPTP, sondern IPSec) noch nicht eingerichtet, aber ich finde es recht fix und auch beim Surfen, Youtuben war es Performant. Große Datenmengen habe ich noch nicht verschoben, würde ich aber mal probieren.
Viele Grüße,
Felix
vielen Dank für eure zahlreichen Antworten.
Die Router-Hardware steht eigentlich und da wir beide für unsere bisherigen Zwecke damit sehr zufrieden sind würde ich zumindest nur sehr ungern wechseln.
Zum Thema Backup, VPN, Geschwindigkeit:
Klar kann man's auf eine HDD über USB backuppen, aber das hilft eben nur gegen technischen Ausfall beim NAS. Wenn die Bude abbrennt ist das sicher nicht das größte Problem, aber es ist eines, da dann alles weg ist. Besonders Dokumente die vll. nicht anerkannt sind, da nur gescannt, hätte ich ein besseres Gefühl, wenn ich sie als Kopie nochmal hätte.
Bei einem nächtlichen Full-Backup sähe ich die INet-Geschwindigkeit als Problem. Auch das erste Backup kann wohl dauern, aber danach denke ich, wenn es z.B. über Rsync laufen würde sollte es doch recht rasch gehen. Man macht ja nicht jeden Tag 1.000 Bilder. Das passiert vll. im Urlaub einmal im Jahr.
Lange habe ich das VPN (meiner Meinung ist es nicht PPTP, sondern IPSec) noch nicht eingerichtet, aber ich finde es recht fix und auch beim Surfen, Youtuben war es Performant. Große Datenmengen habe ich noch nicht verschoben, würde ich aber mal probieren.
Viele Grüße,
Felix
Zitat von @horstvogel:
Hallo Michi,
z.B. für einen TP-Link WR841N Ver. 10.0 gibt es nur eine ohne OpenVPN Server. Der Speicher für die Firmware mit 4 MB gibt nicht mehr her.
der Horst
Das liegt dann aber am Router und nicht an der Software.Hallo Michi,
z.B. für einen TP-Link WR841N Ver. 10.0 gibt es nur eine ohne OpenVPN Server. Der Speicher für die Firmware mit 4 MB gibt nicht mehr her.
der Horst
OpenWRT sowie DD-WRT haben OpenVPN standardmäßig an Board.
Hallo Michi,
nichts anderes habe ich doch geschrieben?
Bzw. gibt es nicht für jeden Router eine Firmware die OpenVPN enthält.
siehe oben
nichts anderes habe ich doch geschrieben?
Bzw. gibt es nicht für jeden Router eine Firmware die OpenVPN enthält.
siehe oben
Hallo Felix,
was habt ihr denn für eine tatsächliche Geschwindigkeit?
Meistens hilft es nach VPN und den Routern zu googln dann gibt es häufig (je nach Geräteverbreitung, wahrscheinlich) Anleitungen zum Aufbau einer VPN Verbindung. Wenn so etwas möglich ist dann gibt es zumeist auch die Option ob der der Tunnel bei Bedarf aufgebaut wird oder immer besteht. Bei ersterem geschieht das dann, wenn ein Paket an die Zieladresse geschickt werden soll. Zum Beispiel wenn du das Ziel am Ende des VPN Tunnels anpingst. Es ist meistens auch egal ob feste oder dynamische IP, es geht meist auch per dyndns oder dergleichen. Ob es ein Sicherheitsrisiko ist kann man wohl schlecht sagen aber ich bin jetzt mal so Naiv und behaupte als Normalsterblicher gut geschützt zu sein
. Bei einer VPN Verbindung wird eine Verbindung in ein bestimmtes Zielnetzwerk aufgebaut das dann erreichbar ist, als wäre man direkt damit verbunden. Wenn dein Bruder seinen Rechner bei dir an den Router anstecken würde, dann wäre das der gleiche Effekt. Dein Bruder kann auf das Zugreifen was du freigibst bzw. konfigurierst.
Grüße!
was habt ihr denn für eine tatsächliche Geschwindigkeit?
Meistens hilft es nach VPN und den Routern zu googln dann gibt es häufig (je nach Geräteverbreitung, wahrscheinlich) Anleitungen zum Aufbau einer VPN Verbindung. Wenn so etwas möglich ist dann gibt es zumeist auch die Option ob der der Tunnel bei Bedarf aufgebaut wird oder immer besteht. Bei ersterem geschieht das dann, wenn ein Paket an die Zieladresse geschickt werden soll. Zum Beispiel wenn du das Ziel am Ende des VPN Tunnels anpingst. Es ist meistens auch egal ob feste oder dynamische IP, es geht meist auch per dyndns oder dergleichen. Ob es ein Sicherheitsrisiko ist kann man wohl schlecht sagen aber ich bin jetzt mal so Naiv und behaupte als Normalsterblicher gut geschützt zu sein
. Bei einer VPN Verbindung wird eine Verbindung in ein bestimmtes Zielnetzwerk aufgebaut das dann erreichbar ist, als wäre man direkt damit verbunden. Wenn dein Bruder seinen Rechner bei dir an den Router anstecken würde, dann wäre das der gleiche Effekt. Dein Bruder kann auf das Zugreifen was du freigibst bzw. konfigurierst.Grüße!
Siehe mein 1. Kommentar. Da steht ein Zitat von dir.
Das hast du Wort für Wort so geschrieben, und auf diese Aussage zielte meine Frage ab, denn das stimmt schlichtweg nicht. Das wollte ich nur klarstellen
Und jetzt zurück zum Thema.
Das hast du Wort für Wort so geschrieben, und auf diese Aussage zielte meine Frage ab, denn das stimmt schlichtweg nicht. Das wollte ich nur klarstellen
Und jetzt zurück zum Thema.
Hi Mean1312,
Du kannst auf beiden Routern eine alternative Firmware flashen um VPN zu nutzen. Der EA4500 kann laut Routerdatenbank allerdings kein DD-WRT, ich kann Dir nicht sagen, was OpenWRT "tunnelmäßig" anzubieten hat. Der WRT54 kann zumindest problemlos OpenVPN. Auf dem NAS lässt sich alles andere per Sicherheitsrichtlinien klären, was Du da Deinem Bruder an Zugriff anbietest, lässt sich einstellen. Mal abgesehen von Deinen DSL-Geschwindigkeiten, ob Du allerdings mit den Tunnelgeschwindigkeiten (WRT54 250MHz CPU) so wirklich glücklich wirst, wage ich doch zu bezweifeln. Mal eine Datei rüberschieben, ok. Aber ein komplettes Backup, ich denke da musst Du Router mäßig schon etwas "aufrüsten" um glücklich zu werden.
Gruß orcape
Du kannst auf beiden Routern eine alternative Firmware flashen um VPN zu nutzen. Der EA4500 kann laut Routerdatenbank allerdings kein DD-WRT, ich kann Dir nicht sagen, was OpenWRT "tunnelmäßig" anzubieten hat. Der WRT54 kann zumindest problemlos OpenVPN. Auf dem NAS lässt sich alles andere per Sicherheitsrichtlinien klären, was Du da Deinem Bruder an Zugriff anbietest, lässt sich einstellen. Mal abgesehen von Deinen DSL-Geschwindigkeiten, ob Du allerdings mit den Tunnelgeschwindigkeiten (WRT54 250MHz CPU) so wirklich glücklich wirst, wage ich doch zu bezweifeln. Mal eine Datei rüberschieben, ok. Aber ein komplettes Backup, ich denke da musst Du Router mäßig schon etwas "aufrüsten" um glücklich zu werden.
Gruß orcape
Klar kann man's auf eine HDD über USB backuppen, aber das hilft eben nur gegen technischen
Ausfall beim NAS.
Sehe ich anders, denn wenn man die Daten auf dem PC und Laptop hat und sie dann noch einmalAusfall beim NAS.
auf ein NAS sichert hat man sie schon zweimal vorhanden und wenn man dann das NAS auf ein
USB 3.0 RDX Laufwerk sichert hat man sie schon dreimal vorhanden. Und die Sicherung auf ein
RDX Medium finde ich irgend wie besser und origineller als auf eine USB HDD oder ein langsame
Internetverbindung auf das NAS 100 Kilometer weit weg, denn das zurück sichern von RDX auf NAS
und NAS auf den PC oder das Laptop sollte gefühlte 1000 Mal schneller von statten gehen.
Feuer & Wasserfest für die RDX Medien
Feuer & Wasserfest für RDX Medien und Dokumente
Zur OpenWRT Hardware habe ich weiter oben schon etwas geschrieben, das sollte reichen um auf die
eine oder die andere Art und Weise ein ordentliches Backup hinzubekommen.
Mit potenter Hardware und/oder einer 100/200/300/400 MBit/s Leitung würde ich sagen das kann
man gut und gerne riskieren nur mit 16 MBit/s und einer Sicherung von Heim-NAS zu Heim-NAS
finde ich zwar gut von der Überlegung her, nur ein Backup ist eben schon etwas wichtiges und das
sollte dann eben auch "flutschen" und passen.
Zu OpenWRT, bei einigen Routern ist OpenVPN nicht mit dabei und bei einigen ist es mit dabei
so habe ich das auch in Erinnerung.
Gruß
Dobby
Zitat von @108012:
Zu OpenWRT, bei einigen Routern ist OpenVPN nicht mit dabei und bei einigen ist es mit dabei
so habe ich das auch in Erinnerung.
Ihr habt ja beide Recht, ich habe nie etwas anderes behauptet.Zu OpenWRT, bei einigen Routern ist OpenVPN nicht mit dabei und bei einigen ist es mit dabei
so habe ich das auch in Erinnerung.
Ich habe lediglich die Aussage von @horstvogel
openwrt/DD-WRT kann von Hause aus nicht openvpn.... sondern nur PPTP.
kritisiert, weil diese Aussage nicht stimmt.
Sorry. Das RDX hatte ich überlesen und wusste ich nicht, was das ist, bis zu deinem Link.
Ich denke, ich/wir werden es mal probieren, wie lange es dauern würde. Ist ja nichts für die Ewigkeit, was wir uns ans Bein binden.
Wenn es zu langsam ist kann man immer noch die RDX-Variante wählen oder evtl. auch einen Mix aus beidem.
Könntet ihr für den Testlauf vll. trotzdem nochmal auf die Punkte a), b),... eingehen?
Vielen Dank und viele Grüße,
Felix
Ich denke, ich/wir werden es mal probieren, wie lange es dauern würde. Ist ja nichts für die Ewigkeit, was wir uns ans Bein binden.
Wenn es zu langsam ist kann man immer noch die RDX-Variante wählen oder evtl. auch einen Mix aus beidem.
Könntet ihr für den Testlauf vll. trotzdem nochmal auf die Punkte a), b),... eingehen?
Vielen Dank und viele Grüße,
Felix
Sowohl a, wie b, sind eine Sache der Tunnelkonfiguration, des Routings und der Rechte auf dem NAS. Wenn Dein Bruder dich in sein Netzwerk lässt und Du somit der "Admin" des dann verbundenen Netzwerks bist, lässt sich alles machen. Du musst nur wissen wie es funktioniert.
Gruß orcape
Gruß orcape
