10
Lösung für Windows Server 2019 Backup über VPN mit Fritzboxen
Hi,
ich suche gerade nach eine Lösung um ein Windows Server 2019 Backup über einen VPN Tunnel zu realisieren.
Ausgangssituation ist folgende:
Standort A
Internetzugriff via FritzBox 7390
hinter der FritzBox steht Windows Server 2019 mit Desktopvirtualisierung über VirtualBox
Standort B
Internetzugriff über FritzBox (Modell reiche ich nach)
Geplant ist nun im Netz am Standort B eine NAS hinter der FritzBox zu platzieren.
Diese NAS soll möglichst eine VPN Verbindung zu Standort A aufbauen.
Der Windows Server soll die NAS als Netzlaufwerk verbunden haben und Nachts eine inkrementelle Sicherung von sich selbst nach Standort B vollziehen.
Dazu soll die Onboard Windows Server Backup Funktion genutzt werden.
Site to Site VPN zwischen den Boxen will ich vermeiden, weil aus Netz Standort B nur die NAS von Bedeutung ist.
Ich bin auf die QNAP NAS Systeme aufmerksam geworden. Kenne mich leider aber nicht mit der VPN Funktionalität der QNAPS aus.
OpenVPN soll schlecht oder gar nicht mit FritzBoxen funktionieren. Bleibt dann noch IPsec.
Hat jemand Erfahrung mit der Konstellation QNAP NAS und FritzBox VPN?
ich suche gerade nach eine Lösung um ein Windows Server 2019 Backup über einen VPN Tunnel zu realisieren.
Ausgangssituation ist folgende:
Standort A
Internetzugriff via FritzBox 7390
hinter der FritzBox steht Windows Server 2019 mit Desktopvirtualisierung über VirtualBox
Standort B
Internetzugriff über FritzBox (Modell reiche ich nach)
Geplant ist nun im Netz am Standort B eine NAS hinter der FritzBox zu platzieren.
Diese NAS soll möglichst eine VPN Verbindung zu Standort A aufbauen.
Der Windows Server soll die NAS als Netzlaufwerk verbunden haben und Nachts eine inkrementelle Sicherung von sich selbst nach Standort B vollziehen.
Dazu soll die Onboard Windows Server Backup Funktion genutzt werden.
Site to Site VPN zwischen den Boxen will ich vermeiden, weil aus Netz Standort B nur die NAS von Bedeutung ist.
Ich bin auf die QNAP NAS Systeme aufmerksam geworden. Kenne mich leider aber nicht mit der VPN Funktionalität der QNAPS aus.
OpenVPN soll schlecht oder gar nicht mit FritzBoxen funktionieren. Bleibt dann noch IPsec.
Hat jemand Erfahrung mit der Konstellation QNAP NAS und FritzBox VPN?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 661152
Url: https://administrator.de/contentid/661152
Printed on: April 20, 2024 at 04:04 o'clock
10 Comments
Latest comment
Moin,
dein Ansatz ist falsch.
Wenn der W-Server die NAS als Netzlaufwerk verbunden haben soll, erstelle die Verbindung mit dem Shrewsoft-Client vom W-Server aus.
Ob das NAS QNAP, Synology oder sonstwie heißt ist dann völlig egal.
Wie das geht findest du im Detail bei AVM:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Henning
dein Ansatz ist falsch.
Wenn der W-Server die NAS als Netzlaufwerk verbunden haben soll, erstelle die Verbindung mit dem Shrewsoft-Client vom W-Server aus.
Ob das NAS QNAP, Synology oder sonstwie heißt ist dann völlig egal.
Wie das geht findest du im Detail bei AVM:
https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit- ...
Henning
Hi.
Wenn wirklich nur eine Verbindung zur NAS erfolgen soll, kannst auch den VPN-Server der NAS verwenden und in der Fritzbox die benötigten Ports weiterleiten.
Wirklich granular kannst du die VPN-Verbindungen mit der Fritzbox nämlich nicht verwalten. Dann könntest auch eine VPN zwischen dem W-Server und der NAS direkt herstellen.
Gruß
Wenn wirklich nur eine Verbindung zur NAS erfolgen soll, kannst auch den VPN-Server der NAS verwenden und in der Fritzbox die benötigten Ports weiterleiten.
Wirklich granular kannst du die VPN-Verbindungen mit der Fritzbox nämlich nicht verwalten. Dann könntest auch eine VPN zwischen dem W-Server und der NAS direkt herstellen.
Gruß
Hallo Henning,
danke für die Antwort - leuchtet mir ein.
Habe ich im Shrewsoft Client die Möglichkeit "local lan access" zu aktivieren?
Das wäre essenziell wichtig, weil der Server natürlich weiterhin im lokalen Netz erreichbar sein muss bzw. auch andere Clients erreichen muss.
danke für die Antwort - leuchtet mir ein.
Habe ich im Shrewsoft Client die Möglichkeit "local lan access" zu aktivieren?
Das wäre essenziell wichtig, weil der Server natürlich weiterhin im lokalen Netz erreichbar sein muss bzw. auch andere Clients erreichen muss.
Wirklich granular kannst du die VPN-Verbindungen mit der Fritzbox nämlich nicht verwalten
Dazu kommt noch die grottenschlechte Performance des FritzBox VPN. Je nachdem wie groß der Speicher des Servers ist kann das dauern. Eine FritzBox hat als billiger Consumer Router in einem Firmennetzwerk deshalb nichts zu suchen, das nur nebenbei.Sie supportet im VPN als Protokoll rein nur IPsec. Wenn du de facto keinerlei Site To Site Kopplung über die FBs willst dann ist die Lösung vom Kollegen @incisor2k ein gangbarer Weg, einen VPN Client auf dem Windows Server zu installieren und den VPN Server des NAS zu nutzen.
Einziger Nachteil solcher Lösung istdas du auf VPN Server Seite (NAS) ein Loch in die Firewall bohren musst um den VPN Traffic von außen auf das NAS zu lassen. In einem Firmennetz ist das aus gutem Grund ein NoGo.
Musst du selber entscheiden ob das mit deiner Sicherheits Policy vereinbar ist.
Normal macht man ein Site to Site VPN und regelt dann mit IP Accesslisten das z.B. nur der Server über das VPN auf das NAS zugreifen darf.
Das kann man übrigens auch mit der FritzBox machen wenn man das VPN Setup mit dem Fritz!Fernzugangs Tool bei der Accessliste mit einer 32 Bit Host Adressmaske customized und so nur den VPN Traffic zw. diesen beiden Geräten zulässt:
https://avm.de/service/vpn/praxis-tipps/mit-fritzfernzugang-auf-mehrere- ...
bei Standort A mit dem Windows Server handelt es sich um ein Firmennetzwerk.
bei Standort B handelt es sich um ein privates Netzwerk vom Chef.
Die Lösung darf halt mal wieder nichts kosten, aber funktionieren solls trotzdem... dass eine FritzBox im Business Umfeld eine Katastrophe ist, weiß ich natürlich auch
Daher versuche ich jetzt mit dem was zur Verfügung steht das beste rauszuholen...
Einziger Ansatzpunkt den ich habe ist eben die NAS, weil die Stand heute noch nicht eingekauft ist.
bei Standort B handelt es sich um ein privates Netzwerk vom Chef.
Die Lösung darf halt mal wieder nichts kosten, aber funktionieren solls trotzdem... dass eine FritzBox im Business Umfeld eine Katastrophe ist, weiß ich natürlich auch
Daher versuche ich jetzt mit dem was zur Verfügung steht das beste rauszuholen...
Einziger Ansatzpunkt den ich habe ist eben die NAS, weil die Stand heute noch nicht eingekauft ist.
Willst Du ernsthaft ein “Komplett-Backup” vom Server über Internet erstellen? Du hast doch üblicherweise max. 40 Mbit upload?
Das wird doch nie fertig?! Inkrementell ist das doch erst nach dem Initialbackup (von BS-Update ganz abgesehen). Und dazwischen wirds alle 24 Std. unterbrochen und fängt mit ein wenig Glück wieder bei 0 an.
Und wenn Du dann am Standort “A” vor Ort nen Serverproblem diagnostizierst, passiert was? Du schickst nen Kurier mit der NAS-Festplatte am Standort “B” los?!
Macht es nicht mehr Sinn, ein lokales Backup des Gesamtsystems mit einem entfernten Backup der Nutzerdaten zu kombinieren? Je nach “Problem” wirst Du den Server doch eh neu aufsetzen?!
Das wird doch nie fertig?! Inkrementell ist das doch erst nach dem Initialbackup (von BS-Update ganz abgesehen). Und dazwischen wirds alle 24 Std. unterbrochen und fängt mit ein wenig Glück wieder bei 0 an.
Und wenn Du dann am Standort “A” vor Ort nen Serverproblem diagnostizierst, passiert was? Du schickst nen Kurier mit der NAS-Festplatte am Standort “B” los?!
Macht es nicht mehr Sinn, ein lokales Backup des Gesamtsystems mit einem entfernten Backup der Nutzerdaten zu kombinieren? Je nach “Problem” wirst Du den Server doch eh neu aufsetzen?!
Das Initiale Backup soll natürlich vor Ort in Standort A vorgenommen werden. Über den VPN Tunnel soll nur inkrementell gesichert werden.
Das Delta hält sich tatsächlich in Grenzen (3 Mann Betrieb mit kleiner SQL Datenbank).
Den größten Anteil der Datenmenge hätten die virtual discs der virtuellen Maschinen (insgesamt 4 virtuelle W10 Maschinen).
Das Backup hin zu Standort B soll lediglich den Brandfall / Standort Verlust von Standort A kompensieren.
Um Schnell wieder anlaufen zu können, will man halt den Server samt virtuellen Maschinen sichern.
Vor Ort wird mit Linux Büchsen gearbeitet die per RDP auf die Win10 Maschinen verbinden.
Das Delta hält sich tatsächlich in Grenzen (3 Mann Betrieb mit kleiner SQL Datenbank).
Den größten Anteil der Datenmenge hätten die virtual discs der virtuellen Maschinen (insgesamt 4 virtuelle W10 Maschinen).
Das Backup hin zu Standort B soll lediglich den Brandfall / Standort Verlust von Standort A kompensieren.
Um Schnell wieder anlaufen zu können, will man halt den Server samt virtuellen Maschinen sichern.
Vor Ort wird mit Linux Büchsen gearbeitet die per RDP auf die Win10 Maschinen verbinden.
Einziger Ansatzpunkt den ich habe ist eben die NAS, weil die Stand heute noch nicht eingekauft ist.
Na ja wenn der Cheffe keinen Schrott kauft sondern QNAP oder Synology dann hat er VPN technisch alles an Bord. Diese NAS Systeme supporten alle direkt die gängigen VPN Protokolle.Du hast dann 4 kostenlose Optionen:
- Server als VPN Client mit Shrew oder Fernzugang greift auf Cheffes FritzBox zu und sichert dort aufs NAS
- Server als VPN Client mit Shrew, OpenVPN oder Wireguard greift direkt per VPN auf Cheffes NAS zu und sichert dort aufs NAS. NAS ist dann VPN Server.
- Site to Site beider FritzBoxen mit offener VPN Netzwerk Kopplung. Die FritzBox bietet im VPN Setup hier z.B. das VPN rein auf den Port mit dem NAS zu beschränkten. Das erspart dir das anpassen der FB VPN Konfig und vereinfacht das Setup. Dazu muss das NAS aber direkt an der FB angeschlossen sein !
- Site to Site beider FritzBoxen mit restriktiver VPN Netzwerk Kopplung. (Siehe oben)
Mehr "Silbertablett" geht nun fast nicht mehr !!
- > Einziger Nachteil solcher Lösung istdas du auf VPN Server Seite (NAS) ein Loch in die Firewall bohren musst um den VPN Traffic von außen auf das NAS zu lassen. In einem Firmennetz ist das aus gutem Grund ein NoGo.
@aqui Frage dazu: Wenn man den VPN der Fritzbox nutzt, werden doch auch Ports freigegeben (logisch).
Macht es einen Unterschied (bei angenommenener Nutzung identischer VPN-Lösungen), ob die Fritz (oder Router oder sonstwas für ein System) der VPN Server ist oder per Portweiterleitung ein Server im Netz dahinter?!
OK, wenn das VPN Der FritzBox genutzt wird erübrigt sich das Port Forwarding natürlich. Dann leitet die FB aber auch keinerlei VPN Pakete weiter ins interne Netz egal ob Port Forwarding dafür aktiviert ist oder nicht.
Die FritzBox sieht sich dann immer als primären VPN Nutzer (was ja auch logisch ist da sie den VPN Server hält) und verarbeitet dann direkt den IPsec Traffic. Forwarding der VPN Ports dazu ist dann immer deaktiviert. Das beantwortet auch deine Frage der Weiterleitung.
Will man IPsec weiterleiten muss man zwingend die VPN Funktion der FritzBox deaktivieren.
Das Weiterleiten (Port Forwrading) aller nicht IPsec basierten Ports und Protokolle sind davon natürlich nicht betroffen. OpenVPN oder Wireguard zum Beispiel würden trotzdem geforwardet werden auch wen VPN auf der FB aktiv ist. Ist aber auch lögisch, denn dieser Traffic hat per se nichts miteinander zu tun. Mal ganz abgesehen davon das die FB OpenVPN und Wireguard und auch alle anderen VPN Protokolle gar nicht supportet.
Die FritzBox sieht sich dann immer als primären VPN Nutzer (was ja auch logisch ist da sie den VPN Server hält) und verarbeitet dann direkt den IPsec Traffic. Forwarding der VPN Ports dazu ist dann immer deaktiviert. Das beantwortet auch deine Frage der Weiterleitung.
Will man IPsec weiterleiten muss man zwingend die VPN Funktion der FritzBox deaktivieren.
Das Weiterleiten (Port Forwrading) aller nicht IPsec basierten Ports und Protokolle sind davon natürlich nicht betroffen. OpenVPN oder Wireguard zum Beispiel würden trotzdem geforwardet werden auch wen VPN auf der FB aktiv ist. Ist aber auch lögisch, denn dieser Traffic hat per se nichts miteinander zu tun. Mal ganz abgesehen davon das die FB OpenVPN und Wireguard und auch alle anderen VPN Protokolle gar nicht supportet.
