Offsite Replication

[nsc2001]

Hi,

aktuell habe ich meinen Replication Server noch bei mir Zuhause stehen. In Zukunft soll dieser aber bei meinen Eltern stehen. Das ganze soll dann über das Internet laufen.

Mein zukünftiger Aufbau:

Bei Freenas1 habe ich einen Glasfaseranschluss 400/200 mit DS-Lite. Also nur eine öffentliche IPv6. Bei Freenas2 habe ich einen Glasfaseranschluss 100/100 der nur IPv4 kann (ohne öffentliche IP). Damit ich überhaupt von A nach B komme, habe ich für z.B. Nextcloud, welche auf Freenas1 läuft, einen 6tunnel auf einem VPS Server der eine öffentliche IPv4 und IPv6 hat. Das funktioniert soweit ganz gut.

Das zum Hintergrund. Was ist nun die beste und sicherste Möglichkeit für mich die Replication auszuführen?

Mein Ansatz wäre:
- Replication über SSH
- Freenas 2 mit PULL Replication
- Damit Zugriff auf die IPv6 möglich -> auf dem VPS Server 6tunnel mit Port für SSH (Über den Tunnel sind nur TCP Verbindungen möglich!)

Zu meinen Fragen:
Würde das so klappen?
Wäre das so sicher? Muss man ggf. noch irgendwas zusätzlich einstellen um über SSH nur diese Verbindung von Außen zu zu lassen?
Gibt es bessere Möglichkeiten?

Bin mal gespannt, welche Ideen ihr dazu habt.

Danke und Gruß

NSC2001

 

[Fredda]

Ich denke es sollte prinzipiell so gehen.

Aber die vielleicht etwas elegantere Lösung wäre die zwei Fritzboxen direkt per VPN zu verbinden.

VPN zwischen zwei FRITZ!Box-Netzwerken einrichten | FRITZ!Box 7490

So verbindest du zwei FRITZ!Boxen per VPN | Frag FRITZ! 10 Per VPN (Virtual Private Network) können Sie zwei FRITZ!Box-Netzwerke an unterschiedlichen Standorten abhör- und manipulationssicher über das Internet miteinander verbinden. Dadurch können Sie auf alle Geräte im entfernten Netzwerk...

avm.de

Ist vielleicht auch ganz praktisch für den Fall, dass Du mal IT-Hotline für Deine Eltern spielen musst.

 

[micneu]

@Fredda das ist so wie ich den text verstanden habe nicht so einfach, er hat nur ds-lite.

 

[Fredda]

Stimmt, das habe ich übersehen. Das FritzBox VPN braucht mindestens eine öffentlich IP4.

Wobei ich ehrlich gesagt nicht ganz glauben mag, dass das FreeNAS 2 wirklich nur eine nicht öffentlich IP4 hat.
Normalerweise ist die nicht öffentliche IP4 ja eine Folge von ds-lite. Da würde ich nochmal kontrollieren, ob da die IPv6 in der Fritz Box nicht einfach nur ausgeschaltet ist.

Wenn beide Seiten ipv6 können kann man da mit dem heute offiziell releasten TN Core auch was machen, dort sind ja endlich VPN Server und Client eingebaut und man braucht keine Verrenkungen via Jails machen.

Um nochmal auf den OP zurückzukommen. Wenn eine ssh Verbindung von einem FreeNAS auf das andere geht, dann geht auch Replication.

 

[nsc2001]

Hi,

habe nochmal mit meinem ISP gesprochen und die werden mir zukünftig eine öffentliche IPv4 (freenas2) geben. Das macht die Sache schon mal einfacher.

Freenas1 Push Replication nach Freenas2

Um nochmal auf den OP zurückzukommen. Wenn eine ssh Verbindung von einem FreeNAS auf das andere geht, dann geht auch Replication.

Gibt es da was zu beachten hinsichtlich der Sicherheit? Ich müsste ja ssh auf freenas2 öffentlich machen.

 

[Fredda]

Gibt es da was zu beachten hinsichtlich der Sicherheit? Ich müsste ja ssh auf freenas2 öffentlich machen.

Ja, das geht nicht ohne. Du solltest auf alle Fälle sicher stellen, dass für root dort kein Login mit Passwort möglich ist sondern nur per ssh-key.

 

[nsc2001]

Also hier:
- Den Haken bei "Allow password authentification" raus
- ggf. den Standard Port ändern!?!

Fehlt sonst noch etwas für die Sicherheit?

 

[Fredda]

Passt soweit.
Wenn Du Passwort auth abschaltest, nicht vergessen vorher einen Key fürs login zu hinterlegen.
Standard Port würde ich nicht im FreeNAS ändern, wenn dann mach das im Portforwarding des Routers.
Auf diese Weise musst Du nichts im lokalen Netz ändern.
Port ändern bringt aus Security Sicht meiner Meinung nach nicht viel, aber die Logs werden dann schon
deutlich weniger mit Login Veruchen zugemüllt.

 

[Basil Hendroff]

I have a similar arrangement (though with the 7490). Just be aware that the VPN-to-VPN service, while easy to set up between FRITZ! Boxes, is likely to be much slower than if using dedicated VPN servers. See this AVM article https://en.avm.de/service/fritzbox/...blication/show/1385_VPN-connections-are-slow/. The Fritz!Boxes will be the bottleneck in terms of speed.

 

[nsc2001]

Passt soweit.
Wenn Du Passwort auth abschaltest, nicht vergessen vorher einen Key fürs login zu hinterlegen.
Standard Port würde ich nicht im FreeNAS ändern, wenn dann mach das im Portforwarding des Routers.
Auf diese Weise musst Du nichts im lokalen Netz ändern.
Port ändern bringt aus Security Sicht meiner Meinung nach nicht viel, aber die Logs werden dann schon
deutlich weniger mit Login Veruchen zugemüllt.

Danke für die Hilfe. Sobald mein ISP die öffentliche IPv4 zugewiesen hat und ich dazu komme, werde ich das ganze mal testen.

I have a similar arrangement (though with the 7490). Just be aware that the VPN-to-VPN service, while easy to set up between FRITZ! Boxes, is likely to be much slower than if using dedicated VPN servers. See this AVM article https://en.avm.de/service/fritzbox/...blication/show/1385_VPN-connections-are-slow/. The Fritz!Boxes will be the bottleneck in terms of speed.

Hello Basil,

the currently targeted solution does not use a VPN tunnel. I would open SSH port on "freenas2" (Now with dedicated IPv4). My question was, if it will be safe.

Fredda's suggestion:
- Allow only SSH with Key-Pair
- deactivate password auth