Howto « xtivate blog

Spätestens seit iPhone und Co sind viele Internetnutzer nahezu permanent online. Warum dann nicht von Unterwegs auf die Daten des eigenen NAS-Servers zugreifen? Zum Beispiel könnten Sie so mit dem Handy auf Ihre komplette Musiksammlung zugreifen, hätten Ihre Daten immer parat oder könnten Ihren Freunden den Zugriff auf gemeinsam genutzte Dateien gewähren. Das funktioniert tatsächlich, erfordert aber einige Konfigurationsarbeit.

In diesem Howto möchten wir Ihnen zeigen, wie Sie Ihren NAS-Server ins Internet bringen ohne für jedermann Tür und Tor zu Ihren Daten zu öffnen. Da die Konfiguration jedes Routers anders funktioniert, sollten Sie sich mit der Menüoberfläche Ihres Gerätes vertraut machen.

DDNS

Wer sich, wie die meisten Nutzer, über eine DSL-Verbindung ins Internet einwählt, erhält bei jeder Neueinwahl eine freie IP-Adresse aus dem Pool seines Internet Service Providers. Zusätzlich gibt es bei den meisten Providern noch einmal am Tag eine Zwangstrennung. Das führt dazu, dass Ihr Router mindestens einmal alle 24 Stunden eine neue Adresse bekommt.

Damit Sie sich nicht jeden Tag eine neue Adresse merken müssen, und Ihnen im Urlaub auch niemand der Daheimgebliebenen die aktuelle Adresse mitteilen muss, erstellen wir zunächst einen „dynamischen“ Domain Name System (DNS) Eintrag. Dabei handelt es sich um eine Internetadresse wie „beispiel.dyndns.org“, über die Sie von außen Zugriff auf Ihr Heimnetzwerk erhalten können.

Einen kostenlosen DDNS Eintrag können Sie bei einem der zahlreichen Anbieter, wie „dyndns.org“ oder „no-ip.com“ einfach online registrieren. Die automatische Synchronisation lässt sich dann im DSL-Router einrichten. Einige Hersteller, wie z.B. QNAP oder Synology bieten dies auch, inklusive Account-Erstellung, über die Weboberfläche ihrer NAS-Geräte an.

Network Adress Translation – NAT

Alle im Heimnetzwerk befindlichen Geräte erhalten von Ihrem Router eine eigene IP-Adresse aus einem Pool von speziell dafür reservierten, im Internet nicht vergebenen Adressen. 65.536 Adressen bietet z.B. der Bereich von 192.168.0.0 bis 192.168.255.255.

Dadurch hat nun zwar jedes im lokalen Netzwerk befindliche Gerät eine eigene Adresse und kann im LAN auch über diese erreicht werden, jedoch bietet Ihr Router nach Außen nur eine IP-Adresse bzw. Ihren neuen DDNS-Namen. Für eine Verbindung, welche vom Heimnetzwerk aus ins Internet initiiert wird, stellt das kein Problem dar. Der DSL-Router ist informiert, welches Gerät die Verbindung nach außen geöffnet hat. Somit kann er dann auch die entsprechende Gegenverbindung zurück zum Initiator im Heimnetzwerk aufbauen.

Für eine Verbindung ist neben der Zieladresse auch die Angabe eines Ports nötig, auf welchem das Zielgerät auf Verbindungsanfragen wartet. Weiterhin wird über den Port kommuniziert, um welche Art von Dienst es sich handelt. Die Portnummer darf dabei die Werte 0 bis 65535 annehmen, wobei für standardisierte Anwendungen Ports im Bereich 0 bis 1023 reserviert sind. Eine Übersicht dazu finden Sie hier.

Ihr Router verwirft jeden Verbindungsversuch von Außen, für den keine Anfrage aus dem Heimnetzwerk bestet. – Er weiß schließlich auch nicht, wohin das entsprechende Paket weitergeleitet werden muss. Außerdem bietet das natürlich für die Geräte in Heimnetzwerk schon ein gewisses Grundlevel an Sicherheit.

Genau diese Richtlinie möchten wir im Folgenden untertunneln. – Sie möchten schließlich von Außen auf Ihren Netzwerkserver zugreifen. Seien Sie sich darüber im Klaren, dass Sie mit den folgenden Schritten ein Stückchen Sicherheit aufgeben, da Ihr Netzwerkserver von nun an im Internet auffindbar und auch angreifbar sein wird. Nutzen Sie daher sichere Passwörter und deaktivieren Sie Zugriffsmöglichkeiten, die keine Passwörter benötigen (z.B. den Gast-Account).

Hierfür gibt es mehrere Möglichkeiten, von denen wir Ihnen mit UPNP und der manuellen Portweiterleitung zwei vorstellen möchten.

UPNP

Die einfachere der beiden Möglichkeit ist „Universal Plug and Play“. Für die Nutzung ist nur eine Aktivierung auf dem DSL-Router notwendig. Sobald ein Gerät im Heimnetzwerk einen Dienst über UPNP bereitstellt wird der DSL-Router informiert, welche Ports er für welchen Dienst zum Internet offen zu halten und auf Anfragen zu lauschen hat. Für einige Dienste gibt es bereits standardisierte UPNP-Protokolle.

Geht nun auf dem entsprechenden Port eine Anfrage ein, wird die Verbindung vom Router an den Netzwerkteilnehmer weitergeleitet, welcher die UPNP-Weiterleitung beim Router registriert hat.

Da dies alles automatisch abläuft und jeder Netzwerkteilnehmer über UPNP mögliche Verbindungswünsche beim Router anmelden kann, ist dies sicherheitstechnisch jedoch höchst bedenklich.

Manuelle Portweiterleitung

Als Alternative kann man auch alle von außerhalb zulässigen Verbindungsanfragen und deren Weiterleitung zum entsprechenden Gerät im Heimnetzwerk von vorn herein definieren. Dazu bieten die meisten Router im Konfigurationsmenü die Einrichtung so genannter „virtueller Server“.

Die Erfassung erfolgt dann meist über eine Tabelle in welcher man die Weiterleitungsregeln definiert, allgemein mit folgender Form: „IP des Gerätes im Heimnetzwerk“, „dessen Port(s)“, „externe Port(s)“, „zu verwendendes Netzwerkprotokoll“

Der Eintrag „192.186.7.25 | 5005 | 53728 | TCP“ könnte z.B. den Zugriff über „WebDAV“, was auf einem NAS mit der lokalen IP-Adresse „192.168.7.25“ auf Port „5005“ läuft, vom Internet aus über Port „53728“ mit dem TCP-Protokoll „http“ ermöglichen.

Der Dienst auf dem NAS wäre dann über das Internet mittels Webbrowser unter „http://DDNS-Name:53728“ erreichbar.

Allgemein ist es ratsam, möglichst hohe externe Portnummern zu wählen um die nun am Router offenden Ports für potentielle Angreifer nicht sofort entdeckbar zu machen. Außerdem vermeiden Sie es so, Ports von Standardanwendungen zu blockieren.

Bei einigen Diensten, wie z.B. FTP oder Webdav, ist es notwendig für die Antwort mehrere externe Ports zu reservieren. – Welche Ports benötigt werden, können Sie z.B. aus Wikipedia-Artikeln zum entsprechenden Protokoll erfahren.

Beispiel: Webinterface der Synology DiskStation freigeben

Soviel zur Theorie. Um die ganze Prozedur einmal zu demonstrieren, richten wir den externen Zugriff auf das Webinterface der Synology DiskStation ein: Über den Dateibrowser können sie dann auf den Datenbestand Ihres NAS zugreifen. Bei Netzwerkspeichern von QNAP und Thecus funktioniert das übrigens ganz ähnlich.

In nur 3 einfachen Schritten kommen Sie zum Ziel:

Schritt 1: Erst einmal muss Ihr dynamischer DNS-Eintrag konfiguriert werden. Öffnen Sie den DiskStation Manager und wählen sie im Bedienfeld den Eintrag „DDNS“. Wenn Sie bereits einen Eintrag besitzen, können Sie sich einfach einloggen. Andernfalls können Sie sich z.B. bei No-IP.com einen Eintrag registrieren.

Schritt 2: Da wir stets um Sicherheit bemüht sind, wollen wir das Webinterface nur per HTTPS freigeben. Öffnen Sie im Bedienfeld die Option „DSM-Einstellungen“. Im Reiter „HTTP-Dienst“ aktivieren Sie nun die HTTPS-Verbindungen und wählen eine Portnummer. Ich habe mich hier für die 1337 entschieden.

HTTPS-Verbindung mit Synology DiskStation Manager auf Port 1337

Schritt 3: Die Portweiterleitung muss jetzt noch aktiviert werden: Öffnen Sie dafür das Webinterface Ihres Routers und suchen nach der Option „virtueller Server“ oder „Portweiterleitung“. Hier tragen Sie die IP Ihrer DiskStation ein, für den internen sowie den externen Port wählen sie die eben vergebene Nummer (in meinem Fall 1337), das Protokoll ist TCP.

Sind die Einstellungen gespeichert, können sie über Ihren dynamischen DNS-Eintrag auf Ihre DiskStation zugreifen. Rufen Sie zum Test im Browser https://mein.dyndns.eintrag:1337 (DDNS-Name und Port entsprechend ersetzen) auf. Achten sie darauf, https anstelle von http zu verwenden. Vermutlich werden Sie darauf hingewiesen, dass die Verbindung nicht vertrauenswürdig ist. Das ist so auch ganz richtig, bestätigen Sie die Ausnahmeregel. Ab Sofort haben sie von überall Zugriff auf Ihre DiskStation. Achten Sie im Interesse Ihrer Sicherheit drauf, nur Passwörter zu vergeben, die eine gewisse Hürde darstellen und nicht sofort geknackt werden können.

NAS von Synology und QNAP finden Sie in unserem Shop.

RAID ersetzt kein Backup: Wenn ein Mitarbeiter versehentlich wichtige Dokumente auf Ihrem Server löscht oder Sie sich gar einen Virus einfangen, sind die Daten verloren – egal ob Sie RAID1, 5 oder gar RAID6 verwenden.

Das Thema Backup ist somit auch und gerade für Besitzer einer NAS-Lösung ein Problem, dass effizient gelöst werden will: Genau für diesen Fall stellt der Speicherspezialist Synology für seine NAS-Server “DiskStation” eine Lösung vor: Die Software “Time Backup” ist ab sofort kostenlos für alle (zukünftigen) Besitzer einer DiskStation als Beta verfügbar. Das Programm soll nicht nur den derzeitigen Datenbestand Ihrer DiskStation absichern sondern auch, wie bei klassischen Backups üblich, mehrere chronologisch geordnete Versionen Ihrer Dateien bereitstellen. – So soll der Benutzer die Möglichkeit erhalten, komfortabel und schnell auf ältere Dateiversionen zuzugreifen ohne einen ganzen Schrank von Vollbackups der letzten Monate bereithalten zu müssen.

Um zu sehen, wie praxistauglich die Software tatsächlich ist, möchten wir folgendes Szenario betrachten:
Sie haben eine DiskStation, auf der Sie effektiv arbeiten. Um im Fall eines Totalausfalls weiterarbeiten zu können wird nun eine zweite DiskStation angeschafft, auf die Ihr gesamter Datenbestand gespiegelt wird. – Je nach Wichtigkeit der Daten können Sie natürlich auch nur einen Teil ihrer Daten spiegeln, dazu später mehr. Auf der zweiten DiskStation soll außerdem die “Time Backup”-Software laufen, die zusätzlich ältere Dateiversionen bereithält.

Hardware Vorbereiten

Als Zweitgerät für Ihre Backups sollte auf jeden Fall ein Gerät mit wesentlich größerer Speicherkapazität verwendet werden. Wie viel Speicherplatz benötigt wird, hängt stark von der Nutzung und Konfiguration ab: Wenn Sie pro Tag ca. 1GB Daten verändern UND tägliche Backups wünschen, benötigen Sie im Jahr 365 GB Speicherplatz allein für die veränderten Dateien; zusätzlich wird der doppelte Speicherplatz Ihres Gesamtdatenvolumens benötigt. Für den Einstieg wäre die dreifache Kapazität ihres Hauptgerätes sinnvoll, ein wenig Platz für Erweiterungen sollte allerdings eingeplant werden. Wenn Sie als Produktivgerät eine DS111 mit 2TB Speicherplatz besitzen empfehlen wir als Backup-Gerät mindestens eine DS411j mit drei 2TB Festplatten.

In unserem Test soll die produktiv genutzte DS111 (mit 2TB Festplatte) ihre Daten per „Network Backup“ auf das Backup-Gerät DS411j (mit drei 2TB Festplatten) schreiben. Auf der DS411j läuft dann mit „Synology Time Backup“ die Archivierung der Daten.

Einrichtung der DS411j

Unsere DS111 ist bereits nach unseren Wünschen eingerichtet, mit dem Netzwerk verbunden und mit Daten gefüttert. Wenn Sie beide DiskStations gemeinsam erwerben, sollten sie sich zuerst ausreichend Zeit nehmen, Ihr Produktivgerät sinnvoll zu konfigurieren.

Das Zweitgerät, die DS411j, muss allerdings noch eingerichtet werden: Synology verlangt, dass das Ziel- und Quellvolume bei „Time Backup“ nicht identisch sind. Wir starten als erstes den “DiskStation Manager”, die Administrationsoberfläche von Synology, die wir im folgenden mit DSM abkürzen, und formatieren von Anfang an mit zwei Volumes: Ein 2TB-Volume reicht für die Synchronisation aller Daten völlig aus, auf einem weiteren 4TB-Volume liegen die Backups.

Synchronisation: Kurzes Howto

Zuerst muss die Synchronisation mit dem zweiten Gerät funktionieren: Aktivieren Sie dafür auf beiden DiskStations den Dienst „Netzwerksicherung“ im „Synology-Sicherungsmodus“. – Hier muss auch das Häkchen für den Synchronisationsdienst gesetzt werden.

Starten Sie nun im DSM ihres Produktivgerätes die Anwendung „Datensicherung und -wiederherstellung“. Unter „Synchronisieren von gemeinsamen Ordnern“ erstellen Sie einen Vorgang und wählen die Ordner aus, für die Sie ein Backup wünschen. Als Zielserver wählen Sie im DropDown-Menü die zweite DiskStation an.

Wir richten hier gleich 2 Vorgänge ein: Der Share „Wichtige Dokumente“ soll sobald etwas verändert wird synchronisiert werden, für die Freigabe „Unwichtige Files und Krimskrams“ reicht eine Synchronisation um 4:11 mitten in der Nacht, wenn keiner den Server benutzen möchte, völlig aus. Hier müssen Sie sich entscheiden, welche Ordner in den Backup-Prozess eingebunden werden sollen. Im Zweifelsfall wählen Sie alle Ordner aus.

Sieht alles wie hier aus, können Sie den DSM der zweiten DiskStation starten und „Time Backup“ einrichten!

„Time Backup“ einrichten

Wenn die Synchronisation funktioniert, hat Ihre zweite DiskStation die gerade ausgewählten Ordner für die Freigaben bereits auf dem 1. Volume erstellt. Erstellen Sie für die Datensicherung einen weiteren Ordner auf dem zweiten Volume. – In diesem Howto heißt er „TimeBackup“.

Da “Time Backup” bisher nur als Beta verfügbar ist, ist es noch kein offizieller Teil des DSM. Die praktische Backup-Anwendung steht aber auf der Synology-Homepage für Sie zum Download bereit. Über den „Paketmanager“ im DSM können Sie das Paket auf Ihrer zweiten DiskStation installieren. Anschließend müssen Sie zunächst auf „Ausführen“ klicken und anschließend „Time Backup“ im Hauptmenü des DSM starten.

Dort erstellen Sie eine neue Backup-Aufgabe: Als Zielordner dient „TimeBackup“. In unserem Fall erstellen wir zuerst eine Aufgabe für die „Wichtigen Dokumente“: Diese sollen während der Arbeitszeit von 8:00 bis 20:00 alle 2 Stunden gespeichert werden. Die Option „Smart Recycle“ wird bei unseren wichtigen Dokumenten nicht aktiviert. Damit stehen Ihnen theoretisch auch in 15 Jahren Backups im 2-Stundentakt zur Verfügung. – Die DiskStation löscht selbstständig keine Backups, auch wenn diese in aller Regel im Laufe der Zeit an Relevanz verlieren. Time Backup sichert nur die Änderungen an den Dateien, dennoch sollten Sie hier den Speicherbedarf im Auge behalten und ggf. nicht benötigte Snapshots (Sicherungszeitpunkte) löschen.

Die Freigabe „Unwichtigen Files und Krimskrams“ erhält eine eigene Aufgabe: Hier reicht eine Synchronisation pro Tag, jeweils um 5:00 morgens. „Smart Recycle“ hält hier den Datenberg ein wenig kompakter, indem stündlichen Sicherungen der letzten 24 Stunden, tägliche Sicherungen des letzten Monats und wöchentliche Sicherungen für alle noch älteren Versionen bereitgestellt werden. Dennoch sollte auch hier ab und an „ausgemistet“ werden.

Wir empfehlen Ihnen außerdem, die Email-Benachrichtigungsfunktion der DiskStation zu aktivieren, um im Falle eines Platzproblems rechtzeitig informiert zu werden.

Unter dem Karteireiter „Zeitbalken“ können Sie ab jetzt durch alle gespeicherten Versionen navigieren. Eine alte Version einer Datei können Sie einfach per Doppelklick von der DiskStation herunterladen.

Synology Time Backup

Fazit:

„Time Backup“ funktioniert in diesem Szenario. – Zusätzlich ist es komfortabel einzurichten und zu bedienen.

Allerdings besitzen Sie nun mindestens 3 Kopien pro Datei: Eine auf Ihrem produktiv genutzten NAS, eine auf dem ersten Volume der zweiten DiskStation und eine im Ordner „TimeBackup“ auf dem 2. Volume. Es wäre schön, wenn Synology als Quelle für den Dienst auch Gemeinsame Ordner auf anderen DiskStations anbieten würde, so dass wir eine Kopie der Daten einsparen können. Jeder muss selbst wissen, wie wichtig welche Daten sind: Für Dokumente im Büro oder meine Urlaubsfotos sind auch 3 Kopien pro Datei in Ordnung, das Backupfile meines Notebooks benötige ich aber auch in Zukunft nur in einer Version. Wer sich vorher überlegt, welche Daten wirklich wichtig sind und somit auch in mehreren Versionen archiviert werden sollten, kann den Speicherbedarf von “Time Backup” dabei in geregelte Bahnen lenken. Außerdem muss der Anwender auch seine Gewohnheiten ändern: Wenn Sie Ihre Dokumente hauptsächlich auf der Festplatte ihres Rechners speichern, nützt ihnen auch die stündliche Sicherung von “Time Backup” überhaupt nichts. – Die Software ist keine eierlegende Wollmilchsau, wer die Einschränkungen kennt und beherzigt erhält aber eine hervorragende Backuplösung.

Archiv für das 'Howto'-tag