Externer Backup-Server(?) mit Verschlüsselung, Synchronisierung über Internet

[M.B.H.]

Hallo!
Ich besitze derzeit 4 interne HDDs im PC und 4 baugleiche HDDs in einem Festplatten-Rack. Jede Platte ist mit VeraCrypt verschlüsselt, also auch die im Rack, verbunden ist das Rack mit USB3, binde die LW also in Windows ganz normal ein.
Ich spiegele wöchentlich jede interne Festplatte auf die Platte die im Rack ist, es werden dabei nur Änderungen synchronisiert, funktioniert mit dem Programm Syncovery absolut perfekt seit Jahren fast vollautomatisch.
-
Nun möchte ich aber (im Falle eines Einbruchs/Brandes) zumindest einige Daten davon an einem ganz anderen Standort zusätzlich sichern, heißt dass die Daten permanent auf einen Server oder ähnlich synchronisiert werden (vielleicht einmalig lokal die 12 TB drauf kopieren und danach nur noch kleine Änderungen).
Das wichtige dabei, dass dieser externe Server verschlüsselt sein soll, ob das nun Veracrypt ist oder eine andere Verschlüsselung ist nicht so wichtig, die Hauptsache ist dass dort, wo der Server steht niemand an die Daten kommt / beim Ausbau der Festplatten nichts damit anfangen kann.
Ich weiß nicht was es gibt. Läuft es auf einen MiniPC hinaus mit 2 x 8 TB und einer Software zb? Der dann mit NW-Kabel ans Internet angebunden ist? Kann man auf diesen Server dann mit meinem Programm Syncovery zb. auch zugreifen? Wird der Server als Festplatte in meinem Windows sichtbar? Wäre die Übertragung der Daten auch verschlüsselt? Oder sind die irgendwie abgreifbar für Fremde?
Oder gibts da elegantere Lösungen, was fertiges? Die Platten brauchen kein Raid sein, würde auch reichen wenn ich die einzeln benutzen kann.
Ich möchte halt vermeiden dass ich alle 1-2 Wochen zu diesem externen Ort fahren muss und jedesmal die Festplatten/Rack mitnehmen muss, ist ja mechanisch nicht gerade vorteilhaft.

Hoffe ihr könnt mir paar Tips geben. Danke schon mal!

 

[Bagbag]

Schau dir mal restic an.

Das läuft nicht auf Laufwerk-, sondern Datei-Ebene. Dateien werden vor der Übertragung verschlüsselt und so auch abgelegt. Du hast automatisch Snapshots und somit eine Historie.

Alternative:
duplicati

 

[Nilson]

Ich würde mit dateibasierter Clint-seitiger Verschlüsselung arbeiten. z.B. Cryptomator. Dabei werden die Dateien bei dir auf dem Rechner ver-/entschelüsselt und die verschlüsselten Dateien werden übertragen. Musst dir dann nur noch ein Hoster finden, der dir günstig 12 TB zu Verfügung stellt.

 

[cc_aero]

Ich habe das bei mir so gelöst :
Auf einem gemieteten vserver habe ich eine verschlüsselte Container-Datei (luks) angelegt.
Wenn ich meinen lokalen Server Backupe wird das Filesystem des remote-systems, wo der Container liegt, wie sshfs lokal gemountet. Anschließend wird der verschlüsselte Container lokal geöffnet und via loopback-device gemountet.
Anschließend kann ich ganz einfach via rsync ein Backup ausführen.
Der Remote-Server kennt das Passwort für den Container nicht und muss auch nichts entschlüsseln, die Daten werden übers Netz eigentlich sogar doppelt verschlüsselt übertragen: einmal über den ssh Tunnel und da drinnen nochmal via luks - dürfte also recht sicher sein. Das ganze ist natürlich gescriptet, so daß das Backup 1x Woche automatisch läuft.
Aber du bist scheinbar eher der Windows Anwender, oder?

 

[snaxilian]

Ja, du kannst dafür weiter dein Tool Syncovery nutzen sofern du nicht die Standardversion verwendest denn die anderen zwei Editionen können direkt S3 kompatible Onlinespeicher ansprechen, ebenso kann das Tool eine Verschlüsselung aber diese rudimentären absolut selbst lösbaren Fragen kannst du dir auch selbst mit $Suchmaschine und 5 Minuten lösen daher verzichte ich auf den Rest...

Dir ist bewusst, dass größere Mengen Speicherplatz egal bei welchem Anbieter relativ teuer sind? Bei 12 TB reden wir von ca ~60$ pro Monat plus 1-2$ für Transfer bei seriösen Anbietern. Billiger ist ggf. AWS S3 Glacier aber ich bete inständig dass du dann nie (zeitnah) mal nen Restore benötigst.

Günstigere Lösung wäre da eher die Anschaffung von zwei externen HDD mit 14+ TB und dort zusätzlich deine Daten drauf sichern. Wenn du heute kaufst machst heute die erste davon voll und bringst die HDD morgen weg (Bankschließfach, Eltern, Schreibtisch im Büro, whatever). Nächste Woche machst dein Backup auf die zweite externe HDD und nimmst diese ebenfalls mit, bringst abends aber HDD 1 mit und sicherst wieder da drauf usw. usf. Dadurch ist im Desasterfall immer eine maximal 2 Wochen alte Kopie außer Haus.

 

[Ortan]

Ich würde mir VEEAM Backup and Replication anschauen. Die Community Version kann schon sehr viel und ist gratis. Lass dich nicht davon abschrecken dass das Produkt normalerweise in virtualisierten Umgebungen eingesetzt wird, kannst auch physische Hardware sichern.

1. Veeam Backup & Replication (Community) auf deinem Rechner installieren.
2. Backup Repository auf deinen externen Platten einrichten
3. Backup Repository auf ner Linux VM einrichten (z.B. irgendwo gehostet).
   S3 und Azure gehen soweit ich weiß leider nicht mit der Community Version.
4. Backup Job, inkrementell (z.B. Täglich auf deine externen Platten)
5. Wöchentlicher Copy Job auf das externe Repository.

Die Datenübertragungung ist verschlüsselt und auch die Backups ansich sind verschlüsselt (musst nur Passwort im Backup Job angeben).

Wir verwenden VEEAM in der Firma (Enterprise Version), zuhause verwende ich die Community Version und das Ganze funktioniert einwandfrei. Kannst mir gerne ne PM schreiben wennst mehr Infos oder Hilfe brauchst.

lg

 

[snaxilian]

ackup Repository auf ner Linux VM

Wie genau würdest du dies umsetzen? SMB als auch NFS übers Internet ist nicht die beste aller Ideen, der TE bräuchte also noch mindestens zusätzlich ein VPN zwischen $zuhause und dem Server der monatliche Kosten verursacht, wenn auch geringe. Über den Server ließe sich dann beliebiger S3 Speicher o.ä. anbinden aber hast dir da mal die Kosten angesehen?
Auf den ersten Blick würde das mit Drittlösungen klappen, erstbester (ungetesteter) Treffer: https://www.backblaze.com/blog/veeam-backup-to-cloud/

Aber wozu das Rad neu erfinden und alles umstellen wenn es die vom TE gewohnte Software ebenso beherrscht? Ja Veeam ist ne gute Lösung keine Frage aber wenn es andere bestehende Lösungen gibt die funktionieren warum diese aufgeben?

 

[Ortan]

Wenn du ein direct attached Storeage Backup Repository verwendets (über Backup und Replication gesteuert), dann kommuniziert der Agent direkt mit dem Backup Repository. Die Repository Software wird über Backup & Replication auf dem Server ausgerollt (per SSH -> installiert Pakete) und dann konfiguriert (Zugriffsrechte). Kommuniziert wird dann über die Ports 2500-3000 proprietär.

Es ist weder SMB noch NFS im Spiel. Auf der Linux Box Läuft die Backup Repository Software von VEEAM. Die Kommunikation zwischen dem Repository und dem Veeam Client ist verschlüsselt [1, 2]. Natürlich könnte TE auch noch ein VPN aufspannen, um auf Nummer Sicher zu gehen, sollte IMHO aber nicht notwendig sein. Ein VPN Server könnte, wenn ein selbst verwalteter Host verwendet wird, kostenfrei, eingerichtet werden.

Aber du hast schon recht, externer Speicher kostet immer, sei es nun ein S3, Azure basierter Speicher oder eine VM die irgendwo gehostet ist. Im Endeffekt wird ein Blobstore vermutlich günstiger sein als eine VM, vor allem deswegen, weil TE ja nur einmal die 12GB überträgt und dann nur mehr inkrementell sichern will.
Eine Überlegung wäre es auch bei z.B. bei den Eltern einen kleinen Server aufzustellen, der übers Inet erreichbar ist und den initialen seed des Backups lokal aufzuspielen und dann dort aufzustellen.

Ich habe mit VEEAM die beste Erfahrung gemacht, aber klar, es gibt Lösungen wie Sand am Meer. Der TE sucht ja auch nach Möglichkeiten zur Umsetzung und VEEAM kann ich nur empfehlen.

[1] https://helpcenter.veeam.com/docs/backup/vsphere/security_considerations.html?ver=100
[2] https://helpcenter.veeam.com/docs/backup/vsphere/enable_network_encryption.html?ver=100

 

[M.B.H.]

Vielen Dank für eure unterschiedlichen Lösungen,
Garnicht mal so einfach.. Also ja ich bin typischer Win-User, dann fällt die Lösung von cc_aero schon mal raus leider. Und ich möchte keinen Webspace oder ähnliches mieten, nichts was monatliche Kosten verursacht.
Also wenn ich euch richtig verstehe, bräuchte ich für Syncovery irgend einen externen Server, der sich als S3 Speicher ausgibt, richtig? Läuft es dann auf einen NAS hinaus?

Ich würde mir eine Lösung wünschen die etwas einfacher ist als folgende Lösung:
PC extern räumlich getrennt aus der Ferne anschalten, dann mit TeamViewer einloggen, auf dem PC VeraCrypt starten, Festplatte mounten (also PW über Internet übertragen (gute Idee??), Ab dann wäre diese Platte als S3-Laufwerk für mein Syncovery sichtbar und ich könnte den Sync-Prozess anstoßen ??

Das ist bestimmt die umständlichste Lösung.

Daher lieber ein Server/NAS, welches mir dauerhaft den S3-Speicher aus der Ferne sichtbar / zugreifbar macht, selber verschlüsselt ist, und im optimalfall auch verschlüsselt übertragen wird. (Es wird ja nur von meinem PC über Internet zum Ziel-NAS übertragen, nicht umgekehrt).
Weitere Möglichkeiten wie Cloud etc brauche ich nicht.

Ach ja, doofe Frage: Mein Programm Syncovery vergleicht vor dem Sync ja die komplette Datenstruktur von Quell und Ziellaufwerk und erstellt eine Liste was sich geändert hat. Und das sind weit über 2 Mio Dateien, was selbst schon auf dem lokalen PC 15 Minuten in Anspruch nimmt. Dauert das dann über Internet noch länger? Wenn Syncovery das externe Laufwerk "komplett einliest!" ? Habe Glasfaser mit 400 / 25 mbit und 16ms Latenz.
Evtl macht das ja mein komplettes Vorhaben kaputt.

 

[Bagbag]

Möchtest du zwingend an Syncovery festhalten? Ist eine GUI für dich muss?

Falls beides nein, dann schau dir wirklich mal restic genauer an. Auf dem Server/NAS/wasaucherimmer brauchst du dann entweder eine Freigabe, die es dir erlaubt, das als Ordner in deinem Windows einzubinden oder ein SFTP-Server oder die Möglichkeit einen Dienst auszuführen. Als Dienst dann entweder direkt den restic-server oder Minio für S3.

Da restic dann bei dir unter Windows lokal die Festplatten nach neuen/geänderten Dateien überprüft, geht das genauso schnell wie vorher auch.

restic kostet nichts, ist open-source, und dein Computer verlassen nur verschlüsselte Daten.

 

[snaxilian]

Also wenn ich euch richtig verstehe, bräuchte ich für Syncovery irgend einen externen Server, der sich als S3 Speicher ausgibt, richtig? Läuft es dann auf einen NAS hinaus?

Jain bzw. es gibt verschiedene Möglichkeiten.
Ja du kannst das mit eigener Hardware realisieren und beispielsweise in einem Rechenzentrum Platz + Strom + Internet anmieten aber die Kosten sind nicht ganz ohne. In dem Fall ist es egal ob du dies per S3, NFS, rsync oder welchem Protokoll auch immer ansprichst. Du musst dich halt um die Absicherung und Einrichtung der Hardware komplett selbst kümmern.
Nein du brauchst keine eigene zusätzliche Hardware oder Platz in einem RZ sondern mietest quasi Speicherplatz als Dienst an und der Anbieter kümmert sich um die Administration. Klassische Beispiele wären AWS S3 oder Backblaze B2 oder die ganzen anderen Cloud (Storage) Anbieter.

(also PW über Internet übertragen (gute Idee??)

Auch das lässt sich nie pauschal beantworten. Erfolgt die Übertragung unverschlüsselt dann ist das absolut keine gute Idee. Erfolgt die Übertragung mit einer als sicher angesehenen Verschlüsselung dann ist das in Ordnung. Beispiel:
Sich an einem FTP-Server anmelden: Doof da FTP unverschlüsselt ist (sofern nicht explizit FTPS/SFTP konfiguriert ist und verwendet wird).
Sich bei der eigenen Bank beim Onlinebanking anmelden: Kein Problem, da die Verbindung zwischen dir und Webserver der Bank per TLS verschlüsselt ist, erkennbar am https

Weitere Möglichkeiten wie Cloud

Schwammiger nichtssagender Begriff ist schwammig. Jeder Pups verwendet irgendwo Cloud weil es modern klingt anstatt klar zu definieren welche Art der Cloud er meint: IaaS? PaaS? SaaS? Storage und/oder Compute? Frage 10 Leute was sie unter Cloud verstehen und du wirst 11 unterschiedliche Antworten hören. Hör auf mit Buzzwords um dich zu werfen oder erkläre was du damit genau meinst.

Dauert das dann über Internet noch länger?

Nicht wesentlich. Flaschenhals ist hier zuerst das liefernde Storage-Subsystem oder einfacher gesagt: Die einzelnen Festplatten, die von der Software aufgefordert werden alle Daten auszulesen. Zweiter Flaschenhals ist die Software, die sich die Änderungen scheinbar nicht merken kann sondern jedes Mal alles einlesen und vergleichen muss.
Die Latenz zwischen dir und $Internet ist dabei fast schon zu vernachlässigen. Die Software würde zum entfernten Speicher auch nur sagen: Lies alle Dateien ein und sag mir Größe, letztes Änderungsdatum usw. Dies macht das entfernte System und gibt die Antwort an die Software zurück. Ja, die Latenz hat einen Einfluss aber im Vergleich zu den anderen Faktoren eher einen geringen.

Da wäre es dann ggf. zu überlegen ob diese Software noch die richtige ist oder ob es bessere Alternativen gibt.

 

[Ortan]

Vielen Dank für eure unterschiedlichen Lösungen,
Garnicht mal so einfach.. Also ja ich bin typischer Win-User, dann fällt die Lösung von cc_aero schon mal raus leider. Und ich möchte keinen Webspace oder ähnliches mieten, nichts was monatliche Kosten verursacht.
Also wenn ich euch richtig verstehe, bräuchte ich für Syncovery irgend einen externen Server, der sich als S3 Speicher ausgibt, richtig? Läuft es dann auf einen NAS hinaus?

...

Daher lieber ein Server/NAS, welches mir dauerhaft den S3-Speicher aus der Ferne sichtbar / zugreifbar macht, selber verschlüsselt ist, und im optimalfall auch verschlüsselt übertragen wird. (Es wird ja nur von meinem PC über Internet zum Ziel-NAS übertragen, nicht umgekehrt).
Weitere Möglichkeiten wie Cloud etc brauche ich nicht.

Ach ja, doofe Frage: Mein Programm Syncovery vergleicht vor dem Sync ja die komplette Datenstruktur von Quell und Ziellaufwerk und erstellt eine Liste was sich geändert hat. Und das sind weit über 2 Mio Dateien, was selbst schon auf dem lokalen PC 15 Minuten in Anspruch nimmt. Dauert das dann über Internet noch länger? Wenn Syncovery das externe Laufwerk "komplett einliest!" ? Habe Glasfaser mit 400 / 25 mbit und 16ms Latenz.
Evtl macht das ja mein komplettes Vorhaben kaputt.

Ich wiederhole mal deine Anforderungen:

• Einfach zu bedienende Lösung
• Keine zusätzlichen monatlichen Kosten
• Sichere, verschlüsselte Backups
• Verschlüsselte Übertragung der Backups an Off-Site
• Off-Site Backup im Intervall

Zu deiner Frage bzgl. der abzugleichenden Daten und deiner Internet Leitung.
Mit 25 Mbit Upload geht das schon gut, da sehe ich keine Probleme, Latenz ist relativ irrelevant solange du nicht das Ziel scannen musst. Das erste Backup wird lange dauern, die inkrementellen folgenden gehen flott.
Wenn deine aktuelle Software immer einen kompletten Scan der zu sichernden Daten machen muss, eventuell sogar auch noch der Daten auf dem Ziel dann ist das für eine Off-Site Lösung nicht wirklich praktikabel.
Verwende lieber Software, die nicht immer den ganzen Datenbestand komplett scannen muss (z.b. Changed Block Detection) und inkrementelle Backups erzeugt.

Deine Anforderung an ein Off-Site Backup ohne zusätzliche monatliche Kosten (außer Strom) grenzen die Möglichkeiten ein, ich sehe hier ein NAS bei Familie oder Freunden als die günstigste Lösung. Synchronisierung der Daten an das NAS irgendwann in der Nacht um die Leute dort nicht mit langsamen Internet zu quälen

Als Software für dein Vorhaben kann ich die VEEAM Backup & Replication (Community) empfehlen, kann deine Anforderungen abbilden und ist einfach zu verwenden und gratis.

 

[M.B.H.]

Vielen Dank für eure detailreichen Antworten, ich schaue es mir noch mal genau an, eure Antworten helfen mir auf jeden Fall! Komme erst jetzt wieder dazu mich darum zu kümmern