Synology VPN für verschlüsseltes Backup/Datensicherung

Ich selbst besitze ja eine Synology Diskstation, diese steht bei mir Zuhause und verwaltet meine Daten und Backups der Arbeitsstationen. Damit in einem Worst-Case-Szenario (Bombeneinschlag und Vollbrand) meine Daten und Erinnerungen (Fotos) trotzdem noch zur Verfügung stehen, habe ich mich für eine externe Auslagerung entschieden.

Dazu nutze ich das VPN Server Features der Synology. Auf meiner SynoA, welche bei mir Zuhause steht, habe ich den VPN Server aktiviert (und den Port 1194 an meinem Router geöffnet). Ich habe mich hier für den OpenVPN Server entschieden, da dieser mit einem Zertifikatsaustausch relativ leicht zu konfigurieren ist. Anschliessend nur die Zertifikatsdateien herunterladen.

Damit es möglichst einfach ist, habe ich mir eine zweite Synology Diskstation (SynoB) gekauft. Die SynoB habe ich bei Bekannten deponiert und läuft dort 24h durch. Die SynoB kann von den Bekannten als normales NAS benutzt werden. Ich gönne mir nur Festplattenplatz und klinke mich als VPN Client in mein Heimnetz der SynoA ein. Das ermöglicht mir, dass ich komfortabel auf SynoB zugreifen kann und die Daten später beim Backup dank VPN bereits verschlüsselt ausgetauscht werden.

Serveradresse ist hier die öffentliche Adresse (DynDNS) meiner SynoA. Merkt euch die IP-Adresse (Bsp. 10.48.9.6) des VPN Clients (SynoB). Dies wird für das Backup benötigt.

Datensicherung einrichten

Das Backup wird per Netzwerksicherung durchgeführt. Wir müssen diese Funktion auf der SynoB (die extern steht) unter Systemsteuerung – Netzwerksicherung aktivieren.

Wir erstellen uns auf der SynoB noch einen Ordner Backup, in welchem die Dateien der SynoA gespeichert werden sollen. Anschliessend können wir auf der SynoA über die Datensicherung- und Wiederherstellung  eine Datensicherungsaufgabe erstellen

Diese können wir nach belieben benennen, dies dient uns später zur Identifizierung. Als Typ wählen wir Netzwerksicherung (Synology Server). Als Serveradresse nehmen wir die IP Adresse die wir uns notiert haben aus dem VPN Client (Bsp. 10.48.9.6). Anschliessend können die Ordner die gesichert werden sollen ausgewählt werden.

Nach Angabe des Zeitplanes (bei mir aus Erfahrung einmal pro Woche) fängt die erste Sicherung an. Dies kann je nach Datenvolumen und Internetleitung eine Weile dauern. Synology gibt aber eine gute Übersicht, was der aktuelle Stand ist.

31 Gedanken zu “Synology VPN für verschlüsseltes Backup/Datensicherung

  1. Ich habe deinen frischen Blog per Zufall entdeckt und gleich mal den RSS Feed abonniert. Deine Synologybeiträge find ich sehr interessant, weiter so.

  2. Bin auch gerade auf deinen wirklich interessanten Post gestoßen, da ich momentan das gleiche machen möchte wie du!

    Kannst du mir sagen, ob die Backups inkrementell sind? Sprich wenn ich beim ersten mal meine 5GB backupe, ob beim 2. Backup wieder 5GB im Backup sind oder laufen dann nur die Sachen durch die sich auch geändert haben?

    Wie ist das mit der VPV Verbindung? Bleibt die dann auch 24h bestehen? Gibt es dadurch irgendwelche Nachteile?

    Danke und Gruß

    • Ciao Thomas

      Backups sind inkrementell, er sichert nur das, was geändert hat.

      VPN bleibt solange bestehen, bis die IP Adresse ändert (bis DSM 4.1), ab DSM 4.2 (beta) hast du bei VPN noch die Möglichkeit einen reconnect zu wählen. Sobald die Verbindung unterbrochen wird, versucht die Synology die VPN Verbindung wiederherzustellen. Das ist die Funktion die ich bis jetzt immer vermisst habe.

      Und Nachteile entstehen dir dadurch nicht.

      Gruess
      Rob

  3. Vielen Dank für deine schnelle Antwort.

    Also spielt es für Sicherheit, Datenfluss etc. keine große Rolle ob die VPN Verbindung nun 3-4 Stunden für das Backup an ist oder eben 24h non-Stopp, verstehe ich das richtig?!

    Perfekt. Danke für deinen wirklich informativen Bericht!

  4. Macht es sinn 85 GB Daten über ein VPN zu sichern (NAS auf NAS)? Bei mir dauert das leider mehrere Tage. Benutze das interne Backup System und als VPN PPTP.

    Ps. Ich verstehe das es beim ersten mal ca 3-4 Tage dauert, sollten dann aber nicht ab der zweiten Sicherung schneller gehen?

    Gruss

    • So sollte es sein! Sobald das Backup einmal voll durch ist, speichert es nur noch die Änderungen. Es kommt natürlich auf deinen Upload/Download drauf an, wie lange das dauert. Wenn du nur 1 Mbit Upload hast kann das seine Zeit dauern….

  5. Pingback: Synology VPN Client automatisch verbinden (auto reconnect mit OpenVPN) | IT Fragen.ch

  6. Hallo,
    ich habe Deine Seite im Netz gefunden als ich auf der Suche nach einer einfachen Backupstrategie für meine NAS war. Ich nutze allerdings PPTP, da das Protokoll bereits installiert war, da mehrere Laptops von außen auf die 213 zugreifen. Funktioniert prima, ebenso wie jetzt das Backup von einer 213 auf eine 112. Eine Frage habe ich noch: Gibt es eine Möglichkeit auch auf die entfernte NAS (SynoB) zuzugreifen?
    Grüße aus Ulm
    Christoph

  7. Hallo Roberto,

    vielen Dank für die sehr gute Beschreibung.
    Ich habe die Sicherung nach der beschriebenen Methode gut zum Laufen gebracht.
    Auch der automatische reconnect funktioniert, nachdem sich die extenre IP des Client (entfernetes NAS B) geändert hat.
    Allerdings habe ich dabei das Problem, dass sich auch die Dynamische IP vom Open VPN ändert (also bei dir aus dem Bericht die IP-Adresse (Bsp. 10.48.9.6) des VPN Clients (SynoB).
    Damit bricht logischerweise die Datensicherung ab, weil die IP nicht mehr stimmt und bei einer geänderten IP fängt die Datensicherung auch immer bei null an. (also erkennt keine Teilsicherung)

    Als kleinste Einheit lassen sich im VPN Server (SynoA) max. 5 Verbindungen eintragen. (Meine Idee war, dort nur „1“ einzutragen und damit die dyn. IP festzulegen)
    Hast du hier kein Problem, bzw. eine Lösung dafür?
    Danke im Voraus.

    Gruß
    Martin

    • Hallo Martin

      Ja das Problem kenne, respektive kannte ich. Es gibt eine Lösung dafür, erfordert aber manuellen Eingriff in ein paar Daten und SSH Zugang. openVPN kennt Möglichkeiten jedem Client eine „fixe“ IP zuzuweisen. Ich werde in den kommenden Tagen einen entsprechenden Beitrag veröffentlichen.

      Gruess
      Rob

      • Habe das gleiche Problem. Ich kann nur leider nirgends finden, wie ich dem VPN Client eine feste IP zuweise.. Hast du dazu schon was geschrieben?
        Sonst super Artikel!

      • Hallo Roberto,

        konntest du für das Problem schon die Lösung veröffentlichen? Ich stehe momentan vor dem gleichen Problem.

        Danke
        Philipp

  8. Hallo,
    erstmal ein großes Lob an diesen Block; inhaltlich und auch für die schnellen, guten Antworten.

    Ich möchte gern die Daten von SynoA auf SynoB via VPN sichern. Da es sich um mehrere 100MB handelt und der upload nicht gerade berauschend ist…
    Meine Frage: kann man für die erste Sicherung die beiden Synos in einem LAN haben (und dann SynoB an den entfernten Ort bringen) und die Sicherung auf VPN umstellen? Dann sollten doch zukünftig lediglich die Änderungen gesichert werden?

    Schon jetzt vielen Dank für eine Antwort.
    Gruß, sven

    • Hallo Sven
      Habe das noch nie versucht. Mein erstes Backup lief einfach mehrere Tage. Macht auch nichts wenn es mal abbricht, es startet dann wieder an der richtigen Stelle.

  9. Hallo Sven, halo Rob,
    die lokale „Erstsicherung“ im gleichen LAN und die zukünfitige Sicherung der Änderungen über VPN hat bei mir funktioniert, allerdings nur von SynB auf SynA (SynA ist VPN Server), da hier die lokale IP Adresse gleich bleibt (192.168.xxx.xxx).
    Wenn sich aber im umgekehrten Fall (Sicherung von SynA auf SynB) die IP-Adresse ändert (also in dem Fall von lokal auf DynVPN), behauptet die DS auch nach einer vollständigen Erstsicherung, dass noch keine Datensicherung stattgefunden hat.
    Ist für mich nicht nachvollziehbar, da es ja schon Methoden gibt, um die gleiche DS und eine vorhanden Sicherung erkennnen zu können. (Bug oder Feature ist hier die Frage?)
    Daher bleibt mir auch nichts anderes übrig, also die Erstsicherung über VPN zu erstellen, mit dem oben genannten Problem der sich ändernden Dyn IP von Open VPN.
    (Danke an Rob für die schnelle Antwort und bin schon gepannt den geplanten Beitrag 🙂
    Gruß Martin

  10. Wird die Sicherung denn verschlüsselt? Ich möchte das im Prinzip genau so machen, wie du es oben beschrieben hast, aber ich möchte nicht, dass die Bekannten die Dateien von meinem Backup sehen können.

    Danke und Gruß,
    Mick

    • Hallo
      Es wird nur der Weg zum Backup verschlüsselt. Die Daten selbst sind im Klartext auf dem entfernten NAS. Du kannst aber auch auf ein verschlüsseltes Verzeichnis (lässt sich auf der Ziel-Synology erstellen) sichern. Hier aber bitte die übertragungsverschlüsselung ausschalten, da es hier oft zu Fehlern kommt bei einem Resync.

      • Der Admin der Ziel-Synology hätte aber immer noch Zugriff. Hab für dieses Problem trotz recht viel recherche im Web noch keine Lösung gefunden.
        Im Moment sehe ich den besten Lösungsweg darin, sich gegenseitig einen FTP-Zugang bereit zu stellen und mit einer PC-basierten Backup-Software dann ein verschlüsseltes Backup auf den FTP zu sichern.
        Lieber wäre es mir aber, wenn alles komplett über die Synology laufen würde. Falls jemanden also noch eine Lösung einfällt, wäre ich dankbar.

        Gruß,
        Mick

  11. Ein verschlüsseltes Backup kann durch einen Gemeinsamen Ordner (share), welcher lokal verschlüsselten ist, realisiert werden. Diesen Ordner dann einfach remote sichern.
    Auf dem Backup-NAS werden die Dateien dann verschlüsselt abgelegt.

  12. Hallo
    Vielen Dank für Deine interessanten Blogs. Suche gerade verzweifelt den VPN Client Punkt. Habe DSM 5.1 installiert. Hat sich da etwas geändert?
    Vielen Dank für eine Information, falls Du da schon Erfahrungen gesammelt hast.
    Gruss Roger

    • Hallo Roger

      Die VPN Einstellung ist seit DSM 5.0 ein wenig versteckt worden. Neu zu finden unter Netzwerk und dann im Reiter (oben) Netzwerk-Schnittstelle.

  13. Hallo
    Ich versuche seit Stunden ebenfalls eine Datensicherung einzurichten. Open VPN Verbindung steht und Status ist verbunden. Trotzdem kommt immer Zielserver nicht erreichbar.
    Es sind zwei Diskstation und ich versuche über Datensicherung & Replikation. Wäre mega froh wenn du mir helfen könntest.

  14. Hallo,
    Danke erst mal für den gut beschriebenen Artikel.
    Ich hätte auch noch eine Frage: Kann ich das erste Backup (ich nutze true Image) via USB Zuhause machen, die weiteren dann über VPN?
    Ich habe keine Datenfat und komme definitiv nicht mit meinen 100GB hin.

    Gruß

    • Hallo
      Das geht leider nicht. Du könntest höchstens deine Remote-Synology (VPN) fürs erste Backup in dein Netzwerk Zuhause einbinden und erst dann remote via VPN nutzen.

      • Hallo Rob,
        Vielen dank für deine schnelle Antwort.
        Ich abe die Station noch nicht bin mich lediglich am Informieren. Ich mach mich mal Schlau ob ich das auch hin bekomme. 😉

        Gruß Sven.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.