Sichere Konfiguration Syncthing Backup

  • Hallo und einen guten Abend,


    ich bin dabei mir meinen N40L aus Heimserver aufzubauen und habe mich für OMV entschieden.

    Das System wird ausschließlich für den internen gebrauch aufgebaut und keine Dienste für Extern oder externen Zugriff.

    Das einzige was für die 5 Familienmitglieder zur Verfügung steht ist SMB mit Ihren eigenen Ordnern und gemeinsame Ordner.

    Wenn alles konfiguriert ist wird der SSH Zugang in OMV deaktiviert.

    Folgende Vorgehensweise habe ich mir überlegt:

    4x 3TB Hdd im Raid 5

    SMB Aktiv

    Firewall aktiv -> Nur definierte Client IP Adressen können auf die Benutzeroberfläche zugreifen alles andere nicht.

    Nur ein Benutzer bekommt ADMIN Rechte.

    Syncthing von Smartphones auf den Server.

    1x 3TB HDD USB für Backuo von definierten Ordnern & -> Syncthing auf einen entfernten Server bei anderen Familienangehörigen

    Kein Rsync


    Das einzige was wirklich einen Zugang zum Internet braucht ist Syncthing.


    Was kann ich noch tun um alles andere zu deaktivieren damit ich die Sicherheit anheben kann?

    Firewall Konfig?

    Port Sperren?

    Ich bin komme von Synology und wollte mir nun was eigenes aufbauen.


    Grüße

  • Das klingt nicht schlecht, Syncthing kannst du einen Port deiner Wahl verwenden, dann sind die Angriffsversuche geringer, wenn auch unbedeutend.
    Ich bin mir nicht sicher ob du wirklich dauerhaft möchtest das dein Smartphone sich mit der Node abgleicht, ich hab da meine Batterie sehr schnell sterben sehen. Das hängt auch damit zusammen, dass die Verbindungsaufbauten, je nach Internetverbindung, etwas länger dauern. Eine alternative evtl. weiter unten.

    Was die Sicherheit angeht, ich hab auf meiner OMV Büchse eine Syncthing Docker Instanz über Compose erstellt, zwei Volumes für Config und Data, und das war schon alles. Wenn jemand in Docker einbricht, ist er in einem extra Netzwerk, kommt nicht raus und das schlimmste was passiert, er bekommt meine Daten. Aber ich habe auch keine offene Internetfreigabe erstellt, sondern eine Wireguard Verbindung in meiner OpnSense (wenn du eine Fritzbox hast mit FW 7.30 oder höher, geht es auch dort), also ein VPN. Ist das Smartphone an einem Ladekabel angeschlossen dann gleicht es die Daten ab, sofern die Node erreichbar ist (ohne VPN eben nicht). Das spart dir Kopfzerbrechen wegen der Sicherheit.

  • Hallo und Danke für die Antwort.

    Sorry für meine späte Nachricht. Arbeit und Familie :)


    Das Abgleichen der Smartphones ist mir tatsächlich nicht so wichtig. Ist eigentlich egal wie alles läuft und betrieben wird, mir ist nur wichtig das ich ein Datei Backup habe.


    Plan ist, neben dem N40L als Hauptnode, an einem anderen weit entfernten Ort einen OMV mit Syncthing zu betreiben der als Datei Backup arbeitet. Er soll nur Daten empfangen und nicht senden.

    Da habe ich vor einen mini PC zu verwenden an dem eine 3TB HDD konfiguriert ist.

    Dieser Node soll auch keine 24/7 laufen sondern 1x in der Woche zu einer bestimmten Zeit hochfahren und wieder herunterfahren.

    • Official Post

    Plan ist, neben dem N40L als Hauptnode, an einem anderen weit entfernten Ort einen OMV mit Syncthing zu betreiben der als Datei Backup arbeitet. Er soll nur Daten empfangen und nicht senden.

    While it is true that it is possible to set up a Syncthing sync where one of the peers does not return data, if you read the syncthing documentation you will see that the Syncthing developers themselves are saying that it is not a backup application. I would look for another way to make that backup, there are many. From a simple rsync with the OMV GUI and a VPN connection with the Wireguard plugin to other more specialized forms like the borgbackup plugin or docker containers like duplicati and others.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!