[Handleiding] Backuppen naar een andere Synology via VPN

[raptile]

Er zijn een aantal gebruikers die gebruik willen maken van een offsite backup naar een andere Synology NAS of om intern een backup willen maken op een andere Synology NAS.

Hieronder zal ik beschrijven hoe je een Synology NAS insteld om een backup te maken naar een andere Synology NAS via VPN en je zelf kunt bepalen of je deze methode intern of extern wilt gebruiken.
Wil je alleen intern backuppen naar een andere NAS kun je het stukje VPN overslaan en gebruik maken van je lokale IP adressen.

We beginnen met het opzetten van een VPN server, vervolgens stellen we de VPN client in en daarna richten we de backup omgeving in.

Note  : Ik heb mn Synology ingesteld in het engels. Je zal zelf een vertaal slag moeten maken als je Synology in een andere taal staat ingesteld.
Note 2: Ik maak gebruik van LDAP om op beide nassen in te kunnen loggen met dezelfde gebruiker accounts. Voor VPN is dit helaas niet mogelijk en zul je gebruik moeten maken van lokale gebruikers.
Note 3: De NAS waar ik een backup van wil maken noem ik NAS 1 en de NAS waar ik de backup op wil plaatsen noem ik NAS 2.
Note 4: Onderstaande dien je als admin uit te voeren.
Note 5: Als je gebruik wilt maken van offsite backup dien je poort 1723 te forwarden naar je NAS (NAS 2) op de router waar je backup nas komt te staan. (Dit is nodig voor PPTP VPN verbindingen.)
Note 6: Het hieronder gebruikte account was ter illustratie is bestaat niet meer.

VPN Server (NAS 2):
Stap 1)maak een gebruiker aan die alleen bedoeld is voor VPN gebruik.
- Geef dit account GEEN rechten tot shared folders en applicaties. (aangezien dit account alleen bedoeld is voor VPN heeft deze geen verdere rechten nodig)

Stap 2) Installeer het VPN server pakket.
- Ga naar de Package center op het bureau blad en klik op het TAB blad Available.
- Selecteer het VPN server pakket en installeer deze.

Stap 3) Configureer de VPN server om PPTP connecties toe te staan.
- Klik linksboven op het start menu in DMS (Ik noem deze voor het gemak maar even het start menu)
- Open het VPN Server pakket.
- Klik aan de linker kant op "General Settings".
- Zorg er voor dat "Grant VPN privilege to newly added users" uitgevinkt staat als je niet wil dat elke nieuwe gebruiker automatisch rechten krijgt om gebruik te maken van VPN.
- Zorg er voor dat "Auto Block" aan staat als je veiligheid belangrijk vindt. (Als iemand na 5 keer inloggen binnen 5 minuten nogsteeds niet goed is ingelogd kun je er vrijwel vanuit gaan dat deze gebruiker geen goede bedoelingen heeft.)



- Klik aan de linker kant op "Privilege" en zet een vinkje bij PPTP voor het VPN account en haal ze weg bij elk ander account indien je niet wil dat deze accounts gebruik kunnen maken van VPN.



- Klik aan de linker kant op "PPTP" onder Settings.
- Neem de configuratie over zoals hieronder is afgebeeld. (Als je gebruik maakt van een andere ip reeks is dit goed, houdt hier echter wel rekening mee bij het instellen van de client)
LEP OP! Het is NIET mogelijk om dezelfde IP reeks te gebruiken als de IP reeks van je interne netwerk! (i.v.m. beveiliging moet je dit ook niet willen)



Het opzetten van de VPN server is klaar.
Nu kunnen we verder met het instellen van de VPN Client.



VPN Client (NAS 1):
Stap 1) Configureer de VPN Client.
- Klik op het "Control Panel" icoontje op het bureau blad.
- Klik op de knop "Create".
- Selecter "PPTP"
- Klik op "Next"
- Vul de gegevens in. (Ik maak gebruik van een eigen domein naam waarbij ik een CNAME heb gekoppeld aan mijn DynDNS naam aangezien ik bij UPC geen vast ip adres heb)
TIP! maak gebruik van DNS/DDNS om ervoor te zorgen dat wanneer je gebruik maakt van offsite backup, de VPN client verbinding kan blijven maken met de server indien je IP adres wijzigd. (Doordat je bijvoorbeeld een dynamisch ip adres hebt bij je provider en voor het geval je bijvoorbeeld overstapt naar een andere ISP (Internet Service Provider) )


- Klik op "Next"
- Zorg dat Authentication en Encryption hetzelfde staan ingesteld als op de server en zorg dat "Reconnect when VPN connection is lost" staat aangevinkt.



- Klik op "Apply" en vervolgens op Connect

Je VPN client zal nu verbinden met je VPN server.



Ik heb ip adres 10.0.10.1 gekregen. de server heeft als IP adres 10.0.10.0.
Het server ip adres heb je zometeen nodig bij het instellen van je Backup.

Nu kunnen we verder gaan met het instellen van NetBackup

Netbackup Server NAS 2:
Stap 1)maak een gebruiker aan die alleen bedoeld is voor backups.
- Geef dit account GEEN rechten tot shared folders en applicaties. (aangezien dit account alleen bedoeld is voor het maken van backups heeft deze geen verdere rechten nodig)

Stap 2) Zet de NetBackup service aan.
- Open "Control Panel" op je Bureaublad.
- Klik op "Network Backup" (rechts onder "Application Settings").
- Zet een vinkje bij "Enable network backup service" en druk op "Apply"


- Ga terug naar het "Control Panel" en klik vervolgens op "Shared Folder" onder "File Sharing and Privileges"
- Daar staat nu een shared folder genaamd "NetBackup". Klik hierop met je rechter muisknop en klik vervolgens op "Edit" (of klik boven in de balk op "Edit").


- Zet een vinkje bij "Hide this shared folder in "My Network Places" " als je niet wil dat deze folder en je backups zichtbaar zijn op het netwerk van waar je NAS 2 gaat plaatsen.






Netbackup Client (NAS 1)
Stap 1) Open de netbackup client.
- Klik op "Backup and Restore" in het start menu.

Stap 2) Maak een backup taak aan.
- klik op "create" en vervolgens op "Data backup task".


- Volg de wizzard zoals hieronder beschreven. (Note: Ik heb voor elke share/folder een eigen backup taak gemaakt)
- Blad 1: "Task" geef een naam op van de backup taak die je wil doorvoeren. (Bijvoorbeeld "Films")
- Blad 2: "Select destination type" selecteer de tweede optie (Network Backup (Synology server) )



- Blad 3: Vul alle gegevens in.
- Bij "server name or IP address" vul je het IP adres van de VPN server in zoals deze te zien was bij de laatste stap van VPN client. of je gebruikt je DNS naam.
- Ivm veiligheid heb ik encryptie aangevinkt (Ook al is dat niet persé nodig als je ook VPN encryptie aan hebt staan)
- Ik heb "enable block-lever backup" aangevinkt omdat een bestand dat is aangepast niet helemaal opnieuw gebackupt hoeft te worden maar slechts het aangepast deel.
- Ik heb "Reserve the backed up files at the destination" aangevinkt omdat ik wil dat als ik per ongeluk een bestand weg gooi op mn NAS, ik deze nog terug kan halen. (Daar is immers de backup voor...)
- Ik heb " Enable metadata backup" ook aangevinkt staan omdat ik wil dat de rechten behouden blijven en niet zomaar iemand de bestanden kan openen.



- Klik op "Next" en geef daar op hoeveel versies je bewaard wilt hebben (voor documenten zou je makkelijk 10 versies kunnen handteren maar voor films is dit niet nodig)
- Selecteer de folder die je wilt backuppen en druk op "Next"
- geef op of je gebruik wilt maken van een schema (wanneer moet de backup gemaakt worden. Bij mij is dat dagelijks om 06:00 uur voor deze taak)
- Als je direct een backup wilt maken vink je "Back up immediately after the wizard is finished"aan.



- Druk op "Next"en vervolgens op "Apply" en de backup gaat lopen als je dit had ingesteld.



En deze stappen herhaal je voor al je backup taken.

Als je gebruik maakt van VPN en DNS kun je nadat je eerste backup klaar is, NAS 2 op een andere locatie plaatsen om zo gebruik te kunnen maken van Offsite backups!


Zo simpel is het!

[hvb83]

Super bedankt voor deze manual, zeer nuttig!

Het enige waar ik nog naar op zoek ben is een handleiding om ze op de backup locatie encrypted te kunnen opslaan. Voor zover ik weet kan dat alleen als je ze op de bronlocatie ook encrypted opslaat. Ik heb namelijk m'n foto's die ik graag wil backuppen, waarmee ik thuis wel het risico neem dat ze m'n NAS niet een keer zullen meenemen en dan de foto's gaan uitlezen. Deze map encrypten zou dan in dagelijks gebruik wel erg traag werken en daarbij gok ik er maar op dat die crimineel vooral in m'n NAS geïnteresseerd is en niet zozeer in wat erop staat.

Op de backuplocatie worden ze naar een usb-schijfje geschreven, en daar kan elke halve zool wel mee uit de voeten. Door ze op 2 plekken unencrypted op te slaan wordt het risico wel erg groot dat iemand ze toch een keer zal uitlezen. Tuurlijk, heel spannend is het niet, maar ik zit er ook niet te wachten dat plaatjes van m'n vrouw of kind straks ergens onvrijwillig op internet rondzwerven.

Mocht iemand daar nog een tip voor hebben, dan hoor ik het graag.   Anders moet ik misschien maar eens een ticket bij Synology indienen. Ze verbeteren wel continu hun backup software, want in de vorige build kon je nog geen backup set naar USB-drive wegschrijven, inmiddels wel.

[raptile]

Super bedankt voor deze manual, zeer nuttig!

Het enige waar ik nog naar op zoek ben is een handleiding om ze op de backup locatie encrypted te kunnen opslaan. <..>.

Als je de source folder encrypt, worden ze dan aan de andere kant niet versleuteld opgeslagen?

[Robert Koopman]

Dat klopt maar mag je de photo map voor Photostation wel encrypten?
Mits hvb83 dit natuurlijk gebruikt.

[hvb83]

Inderdaad kan je de photo map voor photo station niet encrypten, en aangezien ik dat wel gebruik om ook familie en vrienden toegang te kunnen geven, is dat best lastig. Ook als je gewoon je administratie of iets wilt opslaan. Er zijn genoeg situaties denkbaar waarin je het thuis omwille van snelheid niet zo snel zult encrypten, maar toch wel wilt dat het op de externe locatie niet toegankelijk is.

Maar zoals gezegd, de applicatie wordt steeds beter. Zoals we van Synology gewend zijn werken ze voortvarend aan verbeteringen. Dus ik ga gewoon netjes zoals het hoort een request bij de helpdesk filen en dan hoop ik dat een van de volgende versies wel een encrypted backup kan opslaan.

[raptile]

Je hebben inderdaad gelijk dat er een aantal mappen niet gecodeerd kunnen worden.
Misschien is het mogelijk dmv een omweg?

een shared folder maken op je backup nas, netbackup zn werk laten doen naar de netbackup folder en dan dmv een simpel script, elke dag een move commando uit laten voeren die de bestanden in de netbackup folder verplaatst naar de gecodeerde map?

ik denk dat dit wel tot 1 van de mogelijkheiden behoort.

[hvb83]

Dat zou een mogelijkheid kunnen zijn inderdaad. Voorlopig neem ik de gok maar gewoon dat het goed gaat en dat Synology snel m'n request verwerkt in z'n backup applicatie.

In ieder geval super bedankt voor je tutorial, was al enige tijd geleden bezig geweest om op deze manier via vpn een backup te kunnen maken, maar kreeg het zo snel niet voor elkaar.  

[raptile]

Dat zou een mogelijkheid kunnen zijn inderdaad. Voorlopig neem ik de gok maar gewoon dat het goed gaat en dat Synology snel m'n request verwerkt in z'n backup applicatie.

In ieder geval super bedankt voor je tutorial, was al enige tijd geleden bezig geweest om op deze manier via vpn een backup te kunnen maken, maar kreeg het zo snel niet voor elkaar.  

Geen dank.
Ik schrijf de handleidingen om het voor andere makkelijker te maken en zo te lezen lukt dat

Ik hoop dat Synology met een oplossing komt.

[hvb83]

Ik denk dat ik ergens iets verkeerd doe, want het werkt niet. Ik ben er inmiddels achter dat ik het in het verleden al op dezelfde manier aan de gang heb proberen te krijgen, maar ook toen zonder succes. Ik krijg een VPN-verbinding van de ene naar de andere server, maar als ik vervolgens probeer om via de backup-module een backup te maken, dan lukt dat niet.

Ik heb zowel via het ip, als via de dns geprobeerd verbinding te krijgen, maar dat gaat niet. Als ik het met een Syno binnen m'n eigen netwerk probeer dan krijg ik bij het ip gewoon netjes de naam van de andere NAS te zien, hier niet. Als je kijkt naar de bytes-teller van de vpn-verbinding dan wordt daar ook geen data over verstuurd. Gewoon via m'n macbook een VPN-verbinding met de VPN-server op de NAS opzetten lukt wel, inclusief toegang tot de NAS en de bestanden daarop.

Als extra check heb ik geprobeerd om de NAS via een share aan elkaar te linken, maar dat gaat ook niet. Ik denk dus dat ik ergens een denkfout maak, maar waar?

[hvb83]

Inmiddels wel iets verder...

Zodra ik in m'n router poort 873 open krijg ik wel contact tussen beide NAS'en. Blijkbaar maakt hij de VPN-verbinding dus niet zoals het hoort...  

[raptile]

Je hebt een NAS op een andere locatie staan en daarmee werkt het niet?

Ik zou graag wat meer info willen hebben voordat ik advies kan geven.

[hvb83]

De ene NAS is een DS1812+ met DSM4.1 - 2647. Hier draait de VPN-server op en dit is het systeem waarnaar ik in eerste instantie een backup probeer te maken. Hij is via een router verbonden met internet op een dynamisch ip-adres, maar via een myds.me-account heb ik toch een dns op dit systeem.

De Syno op de andere locatie is een DS211+, met DSM 4.0 - 2228. Deze heb ik via jouw handleiding met de VPN-server van de 1812 verbonden en er komt ook keurig "verbonden" te staan. Ik heb vervolgens zoals je hebt beschreven geprobeerd met het externe ip adres of met het DNS connectie voor de backup te maken, dat lukt alleen niet. Als leek heb ik geprobeerd om dan nog connectie via het interne ip te maken (aangezien dat zo op m'n laptop wel werkt als er een vpn-verbinding is), maar ook dat gaat niet. Als ik vanaf deze locatie met m'n laptop een VPN-verbinding (PPTP) naar de 1812 opzet dan lukt dat en kan ik ook gewoon gegevens versturen. Ik neem dus eigenlijk aan dat m'n routerinstellingen op beide locaties goed staan en dat er ook geen provider is die roet in het eten gooit.

Intern zitten beide NAS'en op een andere ip-range. De ene heeft x.x.y.2 en de andere x.x.z.15.

Wanneer ik in de router van de locatie waar de backup gemaakt moet worden poorten 22 en 873 open zet, kan ik wel gewoon op de normale manier een backup maken. Maar dat is me eigenlijk net iets te gevaarlijk, daarom juist die VPN-verbinding.  

Ik hoop dat ik zo voldoende informatie heb gegeven, als je toch nog meer wilt weten hoor ik het graag. Alvast bedankt voor de moeite.

[raptile]

Als beide nassen verbonden zijn met elkaar via VPN.
Zie je dan ook dan je client een ip adres krijgt? bijvoorbeeld 10.0.0.1?

Je zou telnet aan kunnen zetten (op je client) en kunnen kijken of je de server kan pingen op 10.0.0.0
Dit doe je door ssh/telnet aan te zetten op je client en via putty een verbinding te maken met je NAS.
Eenmaal verbonden kun je het ping commando gebruiken.

Code: [Selecteer]

ping 10.0.0.0

Als je de server wel kan pingen dan zou je netbackup dienst moeten werken.

[hvb83]

Om onduidelijke redenen doet hij het nu wel ineens, ik doe niks anders, behalve dat ik de DSM op de 211+ ook heb veranderd naar 4.1-2647.

Overigens wel een kleine aanvulling op je tutorial, je moet wel bij de verbinding van de VPN wel het vakje "use default gateway on remote network" aanvinken, anders werkt het niet.

En ik heb van Synology een suggestie gekregen over het encrypted opslaan. Je kunt de share waarin je de backup opslaat natuurlijk wel encrypten, dan is het netto resultaat hetzelfde. Alleen werkt dat trucje dus weer niet op een usb-schijf, want die kan je via DSM niet encrypten. Anyway, ze zouden de suggestie bij het development team neerleggen.

[ligth011]

Is het ook mogelijk om dit vice versa te doen?
Heb nl Nas thuis draaien en op de zaak ook 1
Nu wil ik thuisnas backuppen op de zaaknas en de zaaknas op thuisnas

Grt