Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

Att göra backup till annan ort

1
Skriv svar
Permalänk
Medlem

Att göra backup till annan ort

Jag gör backuper till en intern disk i min dator, till min NAS i hemmet, och även till en NAS på annan ort.
Nu har jag däremot ändrat min backuplösning och använder borg backup, vilket innebär att jag måste få tillgång till NAS:en som står på annan ort genom ssh för att kunna göra backupen.

Båda mina NAS:ar är från Synology och frågan är - vad behöver jag göra för att säkert kunna komma åt NAS:en på distans?
Hittills har jag bara använt Synologys "QuickConnect"-länk när jag anslutit mot enheten på distans, men då kommer man bara åt webbgränssnittet och nu nu behöver jag alltså komma åt den mer direkt. Hur får jag tag på IP-numret till NAS:en, kan jag ställa in den så att den är fast, eller hur hanterar jag det bäst? Behöver jag ställa in en VPN-server för säkerhet, eller kan jag köra direkt med SSH mot enheten?

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av Tommy:

Hur får jag tag på IP-numret till NAS:en, kan jag ställa in den så att den är fast, eller hur hanterar jag det bäst?

Gå till inlägget

Kan hända att du behöver öppna lämpliga portar i routern där NAS:en står.

Citat:

Behöver jag ställa in en VPN-server för säkerhet, eller kan jag köra direkt med SSH mot enheten?

Är ingen säkerhetsexpert, men tror inte det är tänkt att man ska behöva VPN för att köra SSH säkert.

Planerar också att använda Borg på samma sätt, men har inte lyckats få igång min Raspberry Pi 3.

Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Alling:

Kan hända att du behöver öppna lämpliga portar i routern där NAS:en står.

Gå till inlägget

Ja just det, det läste jag redan någonstans, tror att det var precis som du säger.

Skrivet av Alling:

Är ingen säkerhetsexpert, men tror inte det är tänkt att man ska behöva VPN för att köra SSH säkert.

Planerar också att använda Borg på samma sätt, men har inte lyckats få igång min Raspberry Pi 3.

Gå till inlägget

Är lite osäker på det hur man ska ställa in allt, såg att någon menade på att bara köra SSH inte är att rekommendera, särskilt inte med standardport 22 eftersom det är lätt för illvilliga att hitta dom. Men det är ju därför frågan är här, någon vet säkert bättre än mig som inte har koll

Redigera
Citera flera Citera
Permalänk
Medlem

@Tommy:

SSH är inga problem att använda, det anses säkert givet att du använder det rätt. VPN kan vara smidigare i ditt fall om du vill använda olika programvaror. Jag vet inte exakt vad du vill göra och är definitivt inte en NAS experts. Ska du köra VPN rekommenderar jag att du använder dig av OpenVPN.

Nedanstående diskussion förklarar ganska väl vad du behöver göra för att säkra en SSH server.
https://askubuntu.com/questions/2271/how-to-harden-an-ssh-server

För OpenVPN rekommenderar jag att du följer deras guide: https://openvpn.net/index.php/open-source/documentation/howto.html

Vill du kan du sedan kan du byta portnummer som SSH/VPN servern lyssnar på för att förhindra diverse attacker.

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av Tommy:

Är lite osäker på det hur man ska ställa in allt, såg att någon menade på att bara köra SSH inte är att rekommendera, särskilt inte med standardport 22 eftersom det är lätt för illvilliga att hitta dom. Men det är ju därför frågan är här, någon vet säkert bättre än mig som inte har koll

Gå till inlägget

Man kan köra SSH på en annan port än 22 för att slippa simpla de simplaste port scan-botarna. Men det viktiga för säkerheten är, såvitt jag vet, att använda public key för autentisering, och inte vanligt hederligt lösenord.

Utdrag ur min NixOS-konfiguration:

services.openssh = {
  enable = true;
  ports = [ 123 ];
  permitRootLogin = "no";
  passwordAuthentication = false;
};
Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tommy:

Ja just det, det läste jag redan någonstans, tror att det var precis som du säger.

Är lite osäker på det hur man ska ställa in allt, såg att någon menade på att bara köra SSH inte är att rekommendera, särskilt inte med standardport 22 eftersom det är lätt för illvilliga att hitta dom. Men det är ju därför frågan är här, någon vet säkert bättre än mig som inte har koll

Gå till inlägget

Kör SSH med nycklar istället för lösenord. Sedan kan du byta bort standardporten för att slippa alla bottar som skräpar ner loggfilerna.

Redigera
Citera flera Citera
Permalänk
Medlem

@jocke92 @Alling
Då är jag nog på rätt väg, jag har ställt in nycklar för inloggning tidigare under dagen.
Men har ni någon koll på hur jag gör med IP-numret till NAS:en som står på annan plats?
Jag har som sagt bara använt Synologys QuickConnect, så jag har inte riktigt koll på hur jag ska hitta addressen till enheten när den väl står utanför mitt LAN?

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Tommy:

@jocke92 @Alling
Då är jag nog på rätt väg, jag har ställt in nycklar för inloggning tidigare under dagen.
Men har ni någon koll på hur jag gör med IP-numret till NAS:en som står på annan plats?
Jag har som sagt bara använt Synologys QuickConnect, så jag har inte riktigt koll på hur jag ska hitta addressen till enheten när den väl står utanför mitt LAN?

Gå till inlägget

Du använder den publika IP-adressen på det ställe NASEN står. En fördel är att aktivera en dyndns-tjänst. (https://www.synology.com/sv-se/knowledgebase/DSM/help/DSM/Adm...) då kommer du åt den när man får ny IP-adress av ISP

Redigera
Citera flera Citera
Permalänk
99:e percentilen
Skrivet av jocke92:

Du använder den publika IP-adressen på det ställe NASEN står. En fördel är att aktivera en dyndns-tjänst. (https://www.synology.com/sv-se/knowledgebase/DSM/help/DSM/Adm...) då kommer du åt den när man får ny IP-adress av ISP

Gå till inlägget

Så gör jag med min RPi som står på annan plats.

Tror inte @Tommy kommer undan att öppna en port eller två i routern som NAS:en står bakom om det ska funka.

Visa signatur

Skrivet med hjälp av Better SweClockers

Redigera
Citera flera Citera
Permalänk
Medlem

Jag har pulat vidare med det här en del, och det verkar bli bra med dom förslagen ni har gett.

En sak har jag däremot kvar i funderingarna; jag kör borg som root (körs som en systemd-service) på min stationära när den ska skicka backup till servrarna, hur kan jag då säkra upp inloggningen på offsite-NASen så att när jag loggar in med root@home-användaren så kan man inte göra något annat än att köra borg?

Eller övertänker jag det här, är det tillräckligt säkert om jag har ssh-nycklar och bara loggar in med dom och kör mina backups över nätet så?

Redigera
Citera flera Citera
Permalänk
Medlem

En fråga. Är det dina bredband och nätverk på båda platserna?
I sådana fall, kan inte en VPN-tunnel mellan dina två sajter vara en idé?
Då kan du skippa allt med exponering mot nätet, portar osv...

Visa signatur

Teknikkonsult inom el, fiber, nätverk, antenn.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Andreas Epradius:

En fråga. Är det dina bredband och nätverk på båda platserna?
I sådana fall, kan inte en VPN-tunnel mellan dina två sajter vara en idé?
Då kan du skippa allt med exponering mot nätet, portar osv...

Gå till inlägget

Ja alltså ena NAS:en står hemma hos mig, och off-siten hos mina föräldrar.
Så jag har fullt tillgång att ställa in allt som jag vill, men då är följdfrågan; behövs VPN, och i så fall; hur skapar man en VPN-tunnel mellan två platser som i mitt fall?

Redigera
Citera flera Citera
Permalänk
Medlem

Att skapa en VPN-tunnel går till på olika sätt beroende på vilken router man använder. Så där behöver du googla dig fram till hur du ska ställa in det. Om nu ingen här på forumet har samma router/routrar som du använder.

Sen beroende på om du kan byta ut de befintliga mot nya, så finns Ubiquiti's USG. De enklaste kostar strax över 1000 kronor styck och är lätta att skapa en tunnel mellan. När man plockar in dem i controllern så är det några "knapptryck" så har man en tunnel mellan sina nät.

När du väl har en tunnel på ett eller annat sätt mellan dina platser, så kommer du åt alla dina enheter precis som om ni var på samma nätverk. Alltså inget krångel med att öppna portar etc.

Visa signatur

Teknikkonsult inom el, fiber, nätverk, antenn.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Andreas Epradius:

Att skapa en VPN-tunnel går till på olika sätt beroende på vilken router man använder. Så där behöver du googla dig fram till hur du ska ställa in det. Om nu ingen här på forumet har samma router/routrar som du använder.

Sen beroende på om du kan byta ut de befintliga mot nya, så finns Ubiquiti's USG. De enklaste kostar strax över 1000 kronor styck och är lätta att skapa en tunnel mellan. När man plockar in dem i controllern så är det några "knapptryck" så har man en tunnel mellan sina nät.

När du väl har en tunnel på ett eller annat sätt mellan dina platser, så kommer du åt alla dina enheter precis som om ni var på samma nätverk. Alltså inget krångel med att öppna portar etc.

Gå till inlägget

Det är Asus RT-AC66U på båda platser i det här fallet, jag kommer inte att köpa några nya enheter för det här ändamålet.
Menar du att man skapar VPN server på ena stället (off-site i det här fallet) och sen ansluter med den andra routern som t.ex. OpenVPN client mot servern som den första routern kör?

Redigera
Citera flera Citera
Permalänk
Medlem

Många enheter klarar att köra "VPN-tunnel", det är inte samma som server<->klient.

I mitt egna privata exempel har jag tunnel mellan hemmet, sommarstugan och en lokal.

Hemma = 192.168.1.x
Sommarstugan 192.168.2.x
Lokal = 192.168.3.x

Så hemifrån kommer jag åt t.ex. kamera i garage på landet med ip 192.168.2.36 och skrivare i lokalen på 192.168.3.45. Alltså inget meck med öppna upp portar, och annat meck.

Vet inte om denna Asus klarar det. Det borde den göra. Verkar vara många som använder den och tycker den är bra. Jag har en själv, men var inte nöjd med prestandan, så jag har den i en låda i förrådet och orkar inte koppla in den o kolla

Visa signatur

Teknikkonsult inom el, fiber, nätverk, antenn.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Andreas Epradius:

Många enheter klarar att köra "VPN-tunnel", det är inte samma som server<->klient.

I mitt egna privata exempel har jag tunnel mellan hemmet, sommarstugan och en lokal.

Hemma = 192.168.1.x
Sommarstugan 192.168.2.x
Lokal = 192.168.3.x

Så hemifrån kommer jag åt t.ex. kamera i garage på landet med ip 192.168.2.36 och skrivare i lokalen på 192.168.3.45. Alltså inget meck med öppna upp portar, och annat meck.

Vet inte om denna Asus klarar det. Det borde den göra. Verkar vara många som använder den och tycker den är bra. Jag har en själv, men var inte nöjd med prestandan, så jag har den i en låda i förrådet och orkar inte koppla in den o kolla

Gå till inlägget

Hmm, jag hittar då inte igen någon "VPN Tunnel" funktion i gränssnittet, tror att man måste köra server/client.
Hittade en guide på nätet för att skapa en sån anslutning, men om du känner till någon riktigt bra så tar jag gärna emot länktips

Redigera
Citera flera Citera
Permalänk
Medlem

Bara prova o köra en sådan variant, så ser du om det fungerar fullt ut som du vill. Egentligen ska det inte vara några problem att du kör ditt hem som klient och remote som server. Det är väl bara från ditt håll du vill initiera kommunikationen. Det hade varit sämre om du ville ha att andra sidan ska kunna nå dig när som helst, då finns risken att anslutningen gått ner och servern initierar ju inte uppkoppling mot klienten. Så prova Server-klient.

Visa signatur

Teknikkonsult inom el, fiber, nätverk, antenn.

Redigera
Citera flera Citera
Permalänk
Medlem

Nu har jag kommit vidare med detta och startat en VPN-server på routern hos päronen, och VPN-client på min egen router hemma. Jag har ställt in nätverket med två subnät:

192.168.1.0/24 = Mitt hemnätverk
192.168.2.0/24 = Off-site

Nu till det sista klurandet; jag kan från min stationära dator pinga routern som är off-site dvs. "ping 192.168.2.1" svarar, likaså servern som står off-site. När jag däremot loggar in på min lokala NAS via ssh och kör "ping 192.168.2.1" så får jag connection timed out. Varför kan det vara så att en enhet ansluten till samma lokala router kan ansluta, medan en annan inte kan det?

Visuellt för tydlighet:

Lokalt:
Router 192.168.1.1 VPN-klient mot 192.168.2.1 igång
MinPC 192.168.1.110 ping mot 192.168.2.1 OK
NAS1 192.168.1.100 ping mot 192.168.2.1 svarar inte --> varför?

Off-site
Router 192.168.2.1 VPN-Server igång
NAS2 192.168.2.100 ping mot 192.168.1.1 svarar inte (bör väl inte göra det heller, min lokala NAS kör inte VPN-server?)

Jag har ställt in alla enheter på nätverket med fasta ip-nummer så DHCP överlappar inte, och jag har dubbelkollat det via GUI:t till routern samt nmap.

Redigera
Citera flera Citera
Permalänk
Medlem

bäst är att du gör backup mot lokal NAS, sen låter du den göra backup eller synka till offsite NAS.

Själv kör jag backuper med Acronis varje natt, till min nas. Denna mapp är sen synkad mot annan nas via folder sync.

funkar även med iscsi, men då får du köra med hyper backup på din lokala NAS mot hyper backup server på din andra nas.

Kräver lite portöppningar på mottagande NAS offsite, annars får dom ingen kontakt med varandra.

Köra direkt backup Offsite är nog inte rekomenderat, då det kan ta för lång tid.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av boibo:

bäst är att du gör backup mot lokal NAS, sen låter du den göra backup eller synka till offsite NAS.

Själv kör jag backuper med Acronis varje natt, till min nas. Denna mapp är sen synkad mot annan nas via folder sync.

funkar även med iscsi, men då får du köra med hyper backup på din lokala NAS mot hyper backup server på din andra nas.

Kräver lite portöppningar på mottagande NAS offsite, annars får dom ingen kontakt med varandra.

Köra direkt backup Offsite är nog inte rekomenderat, då det kan ta för lång tid.

Gå till inlägget

Jag kör borg backup så den uppdaterar bara ändrade filer i och med deduplication, så jag tror inte att det kommer ta särskilt länge i de flesta fallen.
Att göra en backup av en backup med borg är dock inte rekommenderat av utvecklaren, eftersom varje backup blir en repository, och att få en repository som man ska mounta, inuti en annan repository... ja det blir fort ett gissel.

Men frågan handlar inte om backuperna i sig just nu, utan varför min lokala NAS inte kan pinga något i subnätet 192.168.2.*

Senast redigerat
Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara