[Kaufberatung] NAS System mit Sync

S

Steakschen

Experte
Thread Starter
Mitglied seit
30.01.2014
Beiträge
47
Hallo zusammen,

ich bin auf der Suche nach einem umfangreichen NAS System zu bezahlbaren Preisen.
Ich hab theoretisch schon mehrere grob angeschaut hätte aber gerne ein paar Meinungen.

Zur Situation:
Ich habe zwei Standorte die mit normalen Telekom Router ausgestattet sind, ergo kein direktes VPN machbar.
Ich bräuchte eine bzw. 2 NAS die sich regelmäßig Synchronisieren, bzw richter sichern.

Dazu is es wichtig, dass diese dazu eine sichere / verschlüsselte Verbindung aufbauen (Firmendaten).
Als Backupsoftware wird Acronis eingesetzt was aber nichts mit den 2NAS direkt zu tun hat.

Des Weitern wäre ein Schreibschutz für verschiedene Bereiche sinnvoll. Im Zuge der Verbreitung von Kyrpto-Trojanern wäre eine Funktion, die mir die Wochenbackups vor Zugriff schützt sehr sinnvoll.

Vielleicht hat sich ja schon jemand schlau gemacht und so eine Lösung im Einsatz.


Das NAS zu Hause könnte noch wenn möglich Smart-Features haben wie Plesk-Server sowie ne own-cloud, (aber das sollten ja mittlerweile alle haben)

Danke und Gruß
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Steakschen schrieb:
Hallo zusammen,

ich bin auf der Suche nach einem umfangreichen NAS System zu bezahlbaren Preisen.
Ich hab theoretisch schon mehrere grob angeschaut hätte aber gerne ein paar Meinungen.

Zur Situation:
Ich habe zwei Standorte die mit normalen Telekom Router ausgestattet sind, ergo kein direktes VPN machbar.
Zum Vergrößern anklicken....
Welche sind das genau?
Wenn diese noch "Exposed Host" bzw. "virtual-DMZ" unterstützen geht das sehr wohl!
Einfach VPN Gateways dahinter installieren und als exposed Host/DMZ Definieren. das LAN hängt dann hinter dem VPN Gateways

Oder Die Telekom Router auf Modem Betrieb umstellen und dann VPN Gateways dahinter.

Als Problemlos haben sich die Netgear Prosafe VPN Gateways entpuppt (habe ich ich mehrfach in genau dieser Konstellation im Einsatz.) Mindestens ein Router muss auf "exposed host"/DMZ oder Modembetrieb gestellt sein, damit das dahinterliegenede VPN Gateway direkt aus dem Internet erreichbar ist.
Mit Draytek VPN Gateways soll das auch gehen (habe ich noch nicht eingesetzt) - diese wären performanter im VPN Durchsatz.
Mit den Preiswerten LinkSys/Cisco geht das nur wenn mindestens eine Gegenstelle eine Feste IP hat!

Ich bräuchte eine bzw. 2 NAS die sich regelmäßig Synchronisieren, bzw richter sichern.
Zum Vergrößern anklicken....
2x HP Microserver mit einer NAS Distri nach Wahl

Dazu is es wichtig, dass diese dazu eine sichere / verschlüsselte Verbindung aufbauen (Firmendaten).
Zum Vergrößern anklicken....
Das machen die VPN Gateways[/QUOTE]

Als Backupsoftware wird Acronis eingesetzt was aber nichts mit den 2NAS direkt zu tun hat.
Zum Vergrößern anklicken....
Du meinst vom Client auf's NAS?
Welche Bandbreite haben deine beiden Standorte?
Interessant ist die Uploadgeschwindigkieit, denn die begrenzt die Datenübertragung zwischen den beiden NASen, wenn du da nicht wenigstens 10 MBit hast, vergiss das Ganze gleich.

Des Weitern wäre ein Schreibschutz für verschiedene Bereiche sinnvoll. Im Zuge der Verbreitung von Kyrpto-Trojanern wäre eine Funktion, die mir die Wochenbackups vor Zugriff schützt sehr sinnvoll.
Zum Vergrößern anklicken....
1. Separaten Backupuser, nur dieser hat Schreibzugriff auf#S NAS
2. ZFS Snapshots nutzen (selbts wenn da Datein verschüsselt werden, sind die Originaldaten im Snapshot)

Vielleicht hat sich ja schon jemand schlau gemacht und so eine Lösung im Einsatz.
Zum Vergrößern anklicken....
Ja

Das NAS zu Hause könnte noch wenn möglich Smart-Features haben wie Plesk-Server sowie ne own-cloud, (aber das sollten ja mittlerweile alle haben)
Zum Vergrößern anklicken....
einfach mal die verschieden NAS Distris auf Features "abklopfen"

FreeNAS
NAS4Free
OMV
etc.


Danke und Gruß
Zum Vergrößern anklicken....
Bitte
 
Zuletzt bearbeitet:
Warum ist kein direktes VPN möglich?
Auf beiden Seiten eine pfSense und dann mit IPSec oder OpenVPN verbinden und fertig ist der Lack?
Eine Portweiterleitung sollte ja auch bei den Telekom Routern machbar sein.

-teddy
 
magicteddy schrieb:
Warum ist kein direktes VPN möglich?
Auf beiden Seiten eine pfSense und dann mit IPSec oder OpenVPN verbinden und fertig ist der Lack?
Eine Portweiterleitung sollte ja auch bei den Telekom Routern machbar sein.

-teddy
Zum Vergrößern anklicken....

Das Problem ist nicht die Portweiterleitung sondern die Protokollweiterleitung (Encapsulating Security Payload (ESP) - Protokoll Nr 50) - zumindest bei einigen IPSEC Implementierungen / Appliances.

Wie das bei Open-VPN gelöst ist, weiss ich nicht.
 
Zuletzt bearbeitet:
ESP kann man in den Routern nicht konfigurieren. Bin auch an einen Speedport Hybrid gebunden, der kann Portforwarding für TCP und UDP und das war's. OpenVPN funktioniert aber wunderbar von außen rein. Der OpenVPN läuft auf einer Olimex LIME2 Platine, die einfach per LAN am Speedport hängt. Habe eine Portweiterleitung konfiguriert und das klappt (erstaunlicherweise) 1a.
 
VirtuGuy schrieb:
Es gibt auch diverse Lösungen die den Weg über einen Relay finden, somit wird nicht zwingend ein VPN benötigt. Es gibt auch Ports für die üblichen Markengeräte (Qnap,..), oder halt ein Eigenbau.

https://www.resilio.com/

https://syncthing.net/
Zum Vergrößern anklicken....

Kann man Privat sicherlich machen, halte ich im Professionellen Umfeld ohne VPN für nicht haltbar.
Ohne VPN muss man mit Portweiterleitungen arbeiten = Loch durch die Firewalls!
Loch in Firewall gilt per'se als unsicherer.
 
Sehe da jetzt nicht den Riesenunterschied. Der Port ist offen - so oder so. Dann hängt es nur noch primär davon ab, wie sicher der service ist - egal wo der jetzt rennt.
 
Fusseltuch schrieb:
ESP kann man in den Routern nicht konfigurieren. Bin auch an einen Speedport Hybrid gebunden, der kann Portforwarding für TCP und UDP und das war's. OpenVPN funktioniert aber wunderbar von außen rein. Der OpenVPN läuft auf einer Olimex LIME2 Platine, die einfach per LAN am Speedport hängt. Habe eine Portweiterleitung konfiguriert und das klappt (erstaunlicherweise) 1a.
Zum Vergrößern anklicken....
OpenVPN verzichtet offenbar auf ESP und löst daas anders (oder tunnelt ESP über ein anders Protokoll).

Was mich an dem Olimex LIME2 stört, ist daß nur ein LAN-Port vorhanden ist.
Auch das gilt per'se als unsicherer als die richtige Lösung mit mind. 2 LAN-Ports.
Aber auch dafür gibt es diverse kleine Lösungen.

- - - Updated - - -

besterino schrieb:
Sehe da jetzt nicht den Riesenunterschied. Der Port ist offen - so oder so. Dann hängt es nur noch primär davon ab, wie sicher der service ist - egal wo der jetzt rennt.
Zum Vergrößern anklicken....
Bei LAN2LAN-VPN ist kein Port ins LAN Offen!!!!
Der IPSEC-VPN-Tunnel zwischen den VPN-Gateways gilt (zumindest noch) als nicht angreifbar!
 
Zuletzt bearbeitet:
Na, und wo geht der ganze VPN Traffic drüber? Auch über Ports (glaub 50, 51, 500?) und wenn der Service dafür verwundbar ist, dann ist das Wurscht ob das die Firewall macht oder eine Kiste dahinter.
 
könntest dir einfach zwei kleine Qnaps hinstellen die über das Qnap-Cloudlink sich syncen und verbunden sind.
Dazu braucht es keine Portfreigabe, arbeitet über SSL und zuverlässig. Security Updates und alles bekommst du automatisch und musst nach dem einrichten dich eigentlich um nichts mehr kümmern. z.b. 2x ne TS-251 mit jeweils 2x 1TB platten reicht vermutlich.
Solltest du doch VPN irgendwann brauchen bringen die Kisten noch jeden Menge andere möglichkeiten mit, auch openvpn usw.
Sind eigentlich leicht konfigurierbare AllinOne Server als nur noch eine Nas.
Solltest du dir zumindest mal anschauen, je nachdem wieviel Zeit und Arbeit du in selbstbau und jede App-Thematik stecken willst/kannst.
Und wegen dem Preis allein darfst du nicht die Hardware dieser boxen alleine betrachten, du zahlst auch für ziemlich gute softwarelösungen darin ;)
 
Zuletzt bearbeitet:
Digi-Quick schrieb:
Kann man Privat sicherlich machen, halte ich im Professionellen Umfeld ohne VPN für nicht haltbar.
Ohne VPN muss man mit Portweiterleitungen arbeiten = Loch durch die Firewalls!
Loch in Firewall gilt per'se als unsicherer.
Zum Vergrößern anklicken....

Wenn man einen Relayserver verwendet, wird kein Port-Forward benötigt.
 
Relayserver = mitm (man in the middle)
Da kann mir der Anbieter zigtausendmal versichern, daß er nicht mitschnüffelt oder speichert

Achja zum Thema Qnap und Konsorten:
Das Spielzeug hat in meine Augen in einem Firmenumfeld nichts zu suchen, muß letztendlich jeder selbst entscheiden!
- ECC erst ab 4-stelligen Preisen
- Kein Schutz vor Datenrost (selbst mit BTRFS nicht, da das entsprechende Feature nicht aktiv ist)
- Die Leistung bricht bei kleinen Dateien gnadenlos ein.

Anmerkung: Auch ich hatte vor einigen Jahren eine QNAP bei einem Kunden stehen - für die "Online" Datensicherung von 4 Servern.
Ich konnte also die Leistung direkt vergleichen, die Backups brauchten mit einem Selbstbau weniger als die Hälfte an Zeit - via GBit-LAN.

- - - Updated - - -

besterino schrieb:
Na, und wo geht der ganze VPN Traffic drüber? Auch über Ports (glaub 50, 51, 500?) und wenn der Service dafür verwundbar ist, dann ist das Wurscht ob das die Firewall macht oder eine Kiste dahinter.
Zum Vergrößern anklicken....

Wie oben bereits erwähnt gilt ein IPSEC-VPN-Tunnel als nicht angreifbar, ein PPTP-Tunnel gilt als kompromittierbar.
Über ein VPN Gateway kommst du nur mit einem bestehendem VPN Tunnel ins LAN.
Hinter dem VPN Tunnel sollte darüberhinaus noch eine vernünftige Firewall "auf der Lauer liegen" (kann durchaus auf dem geleichen Gerät liegen.). Eine vernünftige FW wäre mindestens eine SPI-FW (statful packet inspection).
(Die Aussage ist - dank Snowden - natürlich mit einer gewissen Skepsis zu betrachten.)
 
Zuletzt bearbeitet:
Mir geht es nicht um das VPN sondern den SERVICE - also das Vieh, das dafür zuständig ist, den Tunnel aufzubauen bzw. zu betreiben.

Der ist zwischendurch (bis zum Patch) nämlich durchaus immer mal verwundbar (auch bei so Maschinchen von Cisco wie auch unter Linux, MS usw.) für diverse Geschichten. Einfach mal IPSec vulnerability googlen - brauchste keinen Snowden dafür. JEDER Service ist im Zweifel verwundbar und darauf wollte ich hinaus. Dabei ist es eben Wurst ob der auf der FW selbst oder einer Maschine (erreichbar per Portforwarding) dahinter lüppt.

Ist aber auch gut, jeder macht es wie er will und im Business sollte man Sicherheit nicht im do-IT-yourself Modus betreiben und schon gar nicht mit "Training on the job" lernen. Dazu gehört dann eben neben einem sauberen Konzept auch die nachhaltige Pflege (inkl. Patchmanagement) und sauberes Monitoring (inkl. Logs). Und wenn die VPN-Strecke wirklich wichtig ist inkl. Redundanzkonzept bis hin zu Knoten-/Kantendisjunkt.

Für Homeuse aber natürlich eher nicht sooooo wichtig. Da ist eher ein offline-Backup der zielführende Weg. :)

Sorry fürs ausschweifen, wohl eher offtopic. Halte mich nun auch geschlossen - wer will hat den Punkt verstanden, wer nicht, auch egal. :d
 
Digi-Quick schrieb:
Relayserver = mitm (man in the middle)
Da kann mir der Anbieter zigtausendmal versichern, daß er nicht mitschnüffelt oder speichert
Zum Vergrößern anklicken....

Der Relay dient zum "finden" der Gegenstelle, vergleichbar wie der Aufbau eines VPN Tunnel via DynDNS Service. Soweit ich es verstanden habe, hat er keine statische/öffentliche IP. Bei fixen IP Adressen ist man auf keinen Relay angewiesen.
 
VirtuGuy schrieb:
Der Relay dient zum "finden" der Gegenstelle, vergleichbar wie der Aufbau eines VPN Tunnel via DynDNS Service. Soweit ich es verstanden habe, hat er keine statische/öffentliche IP. Bei fixen IP Adressen ist man auf keinen Relay angewiesen.
Zum Vergrößern anklicken....

exakt, ein relayserver ist keine Man in the middle stelle.
Oder sind für dich sämtliche free dns-dienste ja auch MitM ?
 
VirtuGuy schrieb:
Es gibt auch diverse Lösungen die den Weg über einen Relay finden, somit wird nicht zwingend ein VPN benötigt. Es gibt auch Ports für die üblichen Markengeräte (Qnap,..), oder halt ein Eigenbau.

https://www.resilio.com/

https://syncthing.net/
Zum Vergrößern anklicken....

würde beide Lösungen ohne Bedenken verwenden. Resilio auch im gewerblichen Umfeld. Syncthing hab ich mich zu wenig mit beschäftigt, Resilio verschlüsselt mit aes-128
 
Vielen Dank für die ausführlichen Antworten. (vorallem Digi-Quack)

In der Tat habe ich primär mit einer Lösung über Qnap CloudSync nachgedacht aber dazu echt wenig Sicherheitsinfos gefunden.

Die Router sind normale "Home" Geräte W732B oder so, also leider ohne VPN Möglichkeit, wenn ichs sauber haben will muss ich wirklich über eigene VPN Gateways nachdenken, was aber ggf. den Preisrahmen der Firma sprengt. (Und ja ich weiß das gute, sichere IT Geld kostet)

Ich schau mir alle Vorschläge mal an und melde mich :)
Danke und Gruß

ps.
Qnap hat wohl auch ne Resilio App
https://www.qnap.com/de-de/app_cent...n_1_name=TS-NASX86&jump_win=1&qts=4.2.2&seq=7
 
Zuletzt bearbeitet:
Anmelden, um zu antworten.

Ähnliche Themen

P
[Kaufberatung] Budget-NAS für Backup, Foto-Selfhost und Firewall+VLAN - EpycEmbedded vs AM4 vs gebrauchte Workstation?
Antworten
14
Aufrufe
3K
Pete_5
P
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh