Tips til utstyr og oppsett av backup oppsett mellom to nett

[Makky]

Tanken er å ha en NAS "ferdigboks" på en lokasjon og ta backup av denne til en annen lokasjon.

 

Lokasjon 1:

Fast IP

Nas-boks

 

Lokasjon 2:

Fast IP

Brannmur/Router

Server

 

Trenger jeg å tenke på noe mer utstyr på lokasjonene?

Tenker at jeg ikke trenger noen "avansert" brannmur/router på lokasjon 1, siden ingen trafikk skal inn, kun ut. Og det vil ikke være noen tjenester på nettverket man kan "lytte" til.

 

Tenkt fremgangsmåte:

Brannmuren på lokasjon 2 tillater kun trafikk fra lokasjon 1 til server.

På den måten sikrer jeg vel at ikke uvedkommende kan "lytte" på åpne tjenester utenifra?

Tanken var å ta backuptrafikken via FTP.

 

Noen kommentarer på oppsettet?

 

Ønsker tips til brannmur/router på lokasjon 2 med følgende kriterier:

- Støtte for trådløst med 2 SSID (1 til husstanden og 1 til leieboer)

- Kunne spesifisere tilgjengelig båndbredde på 1 SSID er et pluss

- Stabil og tåler en del trafikk

- "God" port forwarding som kan spesifisere både inngående og utgående IP

 

Gjør meg gjerne oppmerksom dersom jeg har oversett noe

 

 

[ChrisCo]

 

Ønsker tips til brannmur/router på lokasjon 2 med følgende kriterier:

- Støtte for trådløst med 2 SSID (1 til husstanden og 1 til leieboer)

- Kunne spesifisere tilgjengelig båndbredde på 1 SSID er et pluss

- Stabil og tåler en del trafikk

- "God" port forwarding som kan spesifisere både inngående og utgående IP

 

Asus RT-N66U/AC66U/AC68U - Takler alt dette, unntatt båndbreddetildeling.. Da må du enten opp i enterprise utstyr, legge inn 3. parts firmware (ikke sikker på om eller hvilke som eventuelt støtter dette), eller kjøre en maskin med PfSense/Smoothwall e.l. for eksempel....

 

Ang. portforwarding, så gir ikke utgående IP, som du nevner, noe mening... Portforwarding er en funksjon som videresender innkommende trafikk, på en eller flere spesifiserte porter og protokoll, til korrekt intern IP adresse (innunder NAT funksjonen)...

 

Du trenger heller ingen avansert brannmur..

[endrebjo]

Tanken var å ta backuptrafikken via FTP.

Såvidt jeg ser er dette den største svakheten i oppsettet. FTP er gammel og ubrukelig sammenliknet med moderne løsninger og protokoller. Automatisk sync av backup kan f.eks gjøres med rsync (over SSH). Manuell filaksess kan gjøres på én av flere måter:

- SSHFS

- Sette lokasjon 1 på VPN og bruke NFS mellom serverene

- SFTP (som også bruker SSH)

 

Skal du først gjøre backupen skikkelig kan det være fornuftig å innføre versjonskontroll på det viktigste. Git kan gjøre dette, samtidig som den kan gjøre all overføring (remote push og pull) via SSH.

Endret 4. februar 2014 av endrebjo

[Makky]

Server er Win-basert, og FTP er foretrukket.

Vil jeg med metoden min sørge for at uvedkommende ikke kommer inn på server?

[Illus]

Litt i samme situasjon selv. Satt opp en server hjemme som jeg (med flere) skal kjøre backup mot. På mine bærbare pc'er kjører jeg allwaysync. Eksterne kobler seg opp med sftp. Jeg tester CoreFTP som har ssh mulighet. Vil sterkt anbefale å kjøre sFTP kontra vanlig FTP.

 

Så fort du åpner porter vil uvedkommende prøve å bryte seg inn. Satte opp CoreFTP i går kveld og loggen er allerede full av ip'er fra kina som prøver å logge på med root og diverse.

 

Kjører Windows 8.1 som os, men vurderer sterkt å gå over til linux for å kunne kjøre OpenSHH. Trodde jeg skulle få til dette vha. Cygwin, men det viser seg at Cygwin ikke kan gi noe sikkerhet så da tørr jeg ikke ha OpenSHH snurrende.

[Makky]

Ja, det er nok noe jeg skal se på

Ang. at du har folk som "hamrer" på servern din, har du spesifisert i brannmuren din hvem som skal kunne kommunisere med server, eller har "åpen" rute?

 

Så tilbake til spørsmålet:

Vil jeg med metoden min sørge for at uvedkommende ikke kommer inn på server?

Eller er det noe mer jeg må begrense et sted?

[Illus]

Jeg har åpnet port 22 og siden dette er en backup server som skal brukes rundt omkring så har jeg i utgangspunktet ikke noe begrensninger i ruter/brannmur/sftp. Bruker også no-ip da jeg ikke har fast ip og det kan jo være de som selger ip'er videre.

 

Det er uansett ikke noe spesielt farlig at folk hamrer på portene. Det er konstant portscanning i alle nett. Så lenge man holder os og hardware oppdatert og har litt peil på hva man driver med så er man så trygg som det er mulig å bli.

[Makky]

Men vil jeg med mitt oppsett begrense denne "hamringen" og at porten dukker opp ved portscan ved å begrense tilgangen i brannmur?

[Makky]

liten bump

[ChrisCo]

Det er brannmuren som avgjør om trafikk skal slippe igjennom eller droppes... At noen der ute driver med portscanning o.l. og at brannmuren din mottar de pakkene, får du ikke gjort noe med..

 

Så lenge tilgangen er beskyttet, så er det ikke noe å være redd for..

[Makky]

NAS boksen støtter iscsi, er dette noe å vurdere å sette opp i denne løsningen?

Har litt lite erfaring med dette, så kommer kanskje litt dumme spørsmål.

 

Stemmer det at det blir problemer hvis 4 stk skal jobbe mot en database på disken via iscsi?

Eller finnes det løsninger for dette?

For utifra hva jeg har lest, så virker det litt mer stabilt å integrere NAS-disken som en harddisk på maskinene, enn vanlig "mapping".

Noen av maskinene er bærbare, hva skjer hvis de bruker maskinen når den ikke er på samme nett som NAS'en? Vil Windows "klage" eller vil disken bare "forsvinne" fra listen og dukke opp igjen når de er tilbake på riktig nett?

 

Eller er iscsi mer riktig bruk dersom det hadde vært en egen maskin som da kun brukte NAS'en som lagringsområdet, slik at det kun er server og NAS som kommuniserer med hverandre?

Og alle brukere leser innholdet via maskinen?

 

Beklager hvis jeg spør litt kronglete

[Makky]

Liten bump

[Makky]

Bump, noen som kan noe om iscsi?