Hoe veilig is het nu allemaal? Iets met bomen en bos.

[Sppak]

Het lezen is me gaan duizelen. Ik wil graag back-uppen tussen 2 externe Synology's, zowel heen als terug. Hyperbackup lijkt prima, ook omdat de 715 geen Snapshot Replication heeft. Maar ik lijk nergens te kunnen vinden hoe goed de beveiliging in Hyperbackup is. Nu heb ik al lopen stoeien met OpenVPN tussen beide Synology's op mijn eigen netwerk, omdat ik het eerst veilig wil testen, maar die verbinding krijg ik niet op.

Kun je zonder VPN af of heb je toch wel echt een VPN nodig?

Zelfde verhaal met Quickconnect, EZ, DDNS en dat soort zaken. Ik heb dit allemaal uitgeschakeld, omdat ik gevoelsmatig het idee heb dat dit allemaal net niet safe genoeg. Zaken gaan via Synology servers e.d. waar ik me niet helemaal happy bij voel.

[Birdy]

OpenVPN tussen de twee sites, is de meest veilige manier om backups te maken.

[Sppak]

Bedankt Birdy, dat bevestigd dus mijn gevoel.

Nu heb ik het inmiddels vanuit de OpenVPN server op mijn Asus 87u draaien. Maar daar valt me op dat de config file geen certificaat bevat en dat maakt de Synology wel aan. Ook kwam ik intussen nog de uitgebreide howto van Pippin tegen over het veiliger maken van de OpenVPN client. Hoe bezwaarlijk is het niet hebben van dat certificaat? Ik neem aan, hoe meer check-punten erin, hoe veiliger?

[Birdy]

Zonder certificaat gaat het niet werken, weet niet hoe Asus het doet maar, een certificaat moet gemaakt zijn.
Of het zit ingebakken in een .opvn file of aparte file. crt of zo.
Asus forum of handleiding raadplegen?

[spikehome]

Volgens mij zit in de config file van je Asus router het certificaat.
Die kan je gewoon met notepad eruit halen.

[Sppak]

Hmm, als ik de code van de config file bekijk, dan lijkt daar inderdaad het certificaat in verwerkt te zitten. Maar dan zou ik dus die route verder moeten bekijken. Voorkeur krijgt dan een VPN tussen de 2 locaties via de routers boven de encryptie van Hyperbackup, begrijp ik dat goed?

[André PE1PQX]

(voor de experts; verbeter mij AUB als ik er naast zit)

Encryptie van Hyperbackup heeft niets van doen met de encryptie over VPN.
Je verbinding over VPN (mits goed geconfigureerd) is bij default al encrypted, anders heeft VPN op voorhand al geen zin. Dit is ook exact de reden waarom VPN vaak toegepast word, zeker met openbare netwerken als open/gratis WiFi hotspots enz.

Hyperbackup encryptie is niets anders dan dat de data op de Hyperbackup vault versleuteld opgeslagen is. En om deze data te kunnen decrypten/ontsleutelen heb je de password van de eigenaar van die data nodig.

[Briolet]

VPN is niet per definitie encrypted. Er bestaan ook onversleutelde protocollen. De essentie van VPN is dat je virtueel op je eigen netwerk zit en dat vereist niet perse een encryptie. Hoewel dat doorgaans wel de standaard is.

Qua encryptie zal vpn en hyperbackup gelijkwaardig zijn. Het grote voordeel van VPN is volgens mij de manier van de eerste inlog. Die is bij VPN vaak veiliger. Echter niet bij alle VPN soorten, want van PPTP is de inlog tegenwoordig kraakbaar. Bij L2TP is de eerste overdracht van wachtwoord gecodeerd met de pre-shared key en bij openVPN met een certificaat.

Ik verwacht echter dat Hyperbackup bij een beveiligde overdracht de eerste inlog ook met certificaat beveiligd. Dat is alleen 'verwacht'. Bij vpn ben je zeker van een beveiligde inlog omdat dit beter beschreven is.

Hyperbackup over het internet is ook goed te beveiligen via de firewall door alleen specifieke IP adressen toe te laten. Dan kunnen derden niet eens proberen in te loggen.

[André PE1PQX]

VPN is niet per definitie encrypted. Er bestaan ook onversleutelde protocollen. De essentie van VPN is dat je virtueel op je eigen netwerk zit en dat vereist niet perse een encryptie. Hoewel dat doorgaans wel de standaard is.

Vandaar ook de extra opmerking 'mits goed geconfigureerd'.

[Birdy]

Ik verwacht echter dat Hyperbackup bij een beveiligde overdracht de eerste inlog ook met certificaat beveiligd. Dat is alleen 'verwacht'.

Hyper Backup zelf maakt geen gebruik van een certificaat, het is alleen mogelijk om gegevenscodering in te schakelen.
Je kunt wel DDNS inschakelen en hiervoor een certificaat te maken waarmee je gaat inloggen op doel Vault-NAS.

Maar goed, ik vind OpenVPN een veel betere oplossing, ook voor andere toepassingen, ben je in 1x klaar en geen gepruts met poorten forwarden en zo.
Voor OpenVPN moet dat natuurlijk wel eenmalig.

[Sppak]

Dat is dus ook precies de reden, waarom ik twijfelde. De meningen zijn nogal verdeeld over het Hyperbackup verhaal mbt de veiligheid. Als ik dan OpenVPN via 2 routers doe, dan zit ik volgens mij altijd goed. Alleen moet ik dan idd kijken dat ik alles goed configureer.

EDIT:
Volgens ben ik er ook als ik 2x server-client opzet, maar dan in tegengestelde richting. Ik hoef niet alle resources in elkaars netwerk te kunnen bereiken. Wil gewoon backups in beide richtingen over vpn hebben. Dus als ik 1-2 en dan 2-1 doe, gaat dat werken?

[Babylonia]

Volgens ben ik er ook als ik 2x server-client opzet, maar dan in tegengestelde richting.

Nee, dat gaat niet.  Tenminste met hetzelfde OpenVPN protocol.
Wel door twee verschillende VPN protocollen op te zetten.

Of je zou op de twee locaties bijv. twee Synology routers kunnen installeren en een "Site-to-Site" VPN kunnen opzetten.
https://www.synology.com/nl-nl/knowledgebase/SRM/help/VPNPlusServer/vpnplus_server_site2site

https://www.synology.com/nl-nl/knowledgebase/SRM/tutorial/VPN/How_to_set_up_Site_to_Site_VPN_between_Synology_Router_and_FortiGate