Infrastruktur mit Home-NAS, Offsite-Backup und VPN-Schutzschirm

[Capox]

Hallo zusammen,

ich bin kompletter Netzwerk- und Server-Noob und brauche deshalb Babybehandlung. =D
Ich hab wirklich noch wenig Ahnung, aber dafür umso größere Träume. =D

Ich hoffe, das Thema passt hier einigermaßen rein... Ich leg einfach mal los mit meinem Plan.
Die Infrastruktur, die ich aufbauen möchte, sieht folgendermaßen aus:

Ich will mir zuhause ein NAS mit TrueNAS SCALE aufbauen. Dieses NAS soll regelmäßig und automatisch ein Backup per ZFS-Replication Task auf einen Raspberry Pi schicken, auf dem OpenMediaVault läuft. Der Raspberry steht bei meiner Mutter, also außerhalb meines Heimnetzes.

Damit komme ich direkt zu meinem ersten Problem: Wie verbinde ich beide Systeme sicher über das Internet?

Nach allem, was ich bisher gelesen habe, wäre es am einfachsten und sichersten, beide Geräte über Tailscale miteinander zu verbinden. Damit hätte ich ein verschlüsseltes Peer-to-Peer-VPN zwischen NAS und Pi, unabhängig von NAT oder Ports.

Das Problem: Ich kann dann mit meinen anderen Geräten, die nicht im Tailscale-Netzwerk sind, nicht direkt auf das NAS zugreifen. Wenn ich Tailscale aber zusätzlich auf meiner Fritz!Box oder auf weiteren Geräten installiere, kollidiert das mit meiner bestehenden VPN-Verbindung... auf den meisten meiner Geräte läuft gleichzeitig NordVPN.

NordVPN bietet zwar ein Feature namens Meshnet, das ähnlich wie Tailscale funktioniert. Allerdings kann ich darüber mein TrueNAS nicht einbinden, da es keinen offiziellen NordVPN-Client für TrueNAS SCALE gibt. Auch auf dem Raspberry Pi funktioniert Meshnet aktuell nicht, selbst wenn man den normalen NordVPN-Client installiert.

Ich möchte meine NordVPN-Verbindung aber trotzdem beibehalten, idealerweise so, dass NAS und Raspberry Pi auch unter diesem VPN-Schirm miteinander verbunden sind.

Meine aktuelle Idee:
Ich installiere auf dem Raspberry Pi den normalen NordVPN-Client (ohne Meshnet). Dann richte ich über Tailscale den Pi als Exit Node ein. Wenn ich mich also mit Tailscale von anderen Geräten verbinde, wird mein gesamter Traffic über den Pi geleitet, der wiederum über NordVPN ins Internet geht. Damit hätte ich quasi das Beste aus beiden Welten:
– Sichere Verbindung zu meinem Heimnetz via Tailscale
– Gleichzeitige IP-Verschleierung über NordVPN

Die Frage ist:
Ist dieses Setup technisch so machbar? Oder gibt es eine elegantere Lösung, um das Ganze stabil und sicher umzusetzen?

Vielen Dank schon mal für eure Hilfe!
Beste Grüße
Capox

 

[gaym0r]

Ich denke die Sache lässt sich relativ einfach lösen mit folgender Frage: Warum benutzt du auf fast allen Clients NordVPN?

 

[Capox]

Warum benutzt du auf fast allen Clients NordVPN?

Hmm... Ich mag einfach das Gefühl zumindest ein wenig vor meinem ISP geschützt zu sein. ^^
Eine andere Idee war auch das ich nur meinen NAS und den Pi über Tailscale verbinde und dann noch ein Gerät wie z.B. meinen Laptop mit rein nehme zur Administration der Geräte.

Oder meinst du damit das du VPN generell für unnötig hällst?

 

[andy_m4]

ein wenig vor meinem ISP geschützt zu sein.

Dein ISP ist also deutlich weniger vertrauenswürdig als NordVPN? :-)

VPN generell für unnötig hällst?

Kommt halt darauf an, was man erreichen will.

 

[Azghul0815]

Ich halte das generell für unnötig und unnütz.
Du willst unabhängiger sein?
unbound für root Server aufsetzen und davor als DNS für alle deine Geräte einen Adguard Server oder PiHole als DNS Server setzen, der die Anfragen dann wiederum an deinen Unbound Server weiterleitet.

Dazu eben die Tailscale Verbindung.

 

[derchris]

NordVPN bietet zwar ein Feature namens Meshnet,

Dann beeile dich, ab 1.12. is das Geschichte - achne doch nicht, gerade gesehen, dass es doch erst mal weiter geht.

Habe bei meiner Mutter ein NAS stehen. Beide Sites haben ein Unifi Gateway und damit Magic Site-to-Site VPN. Gibt es das nicht auch hier bei diesen FRITZ!Boxen inzwischen?

 

[madmax2010]

Dein ISP ist also deutlich weniger vertrauenswürdig als NordVPN? :-)

Der Im Ausland sitzt, sich den traffic ansehen kann und nicht unbedingt den hiesigen Datenschutzrichtlinien entspricht.

Kein kommerzielles Discounter VPN hilft deiner privacy.

 

[Capox]

Dein ISP ist also deutlich weniger vertrauenswürdig als NordVPN? :-)

Naja, das ist ja eher eine Grundsatzdiskussion... 😅
Also, NordVPN hat laut eigener Aussage eine Zero-Logs-Policy, und soweit ich weiß, sind deren Server tatsächlich RAM-basiert (also „diskless“). Das bedeutet, dass alle Daten beim Neustart automatisch gelöscht werden und keine dauerhaften Logs gespeichert werden können. Das wurde auch durch Audits unabhängig bestätigt.

Außerdem sitzt NordVPN rechtlich in Panama, also außerhalb der „Five Eyes“ bzw. „Fourteen Eyes“-Überwachungsabkommen, was in Sachen Datenschutz definitiv ein Vorteil ist.

Ich mach nichts Illegales im Internet, also wäre es mir theoretisch egal, wenn mein ISP meinen Traffic sieht... Aber irgendwie fühle ich mich einfach wohler, wenn mein gesamter Datenverkehr nicht direkt über meinen Provider läuft.

Ergänzung (5. November 2025)

Ich halte das generell für unnötig und unnütz.
Du willst unabhängiger sein?
unbound für root Server aufsetzen und davor als DNS für alle deine Geräte einen Adguard Server oder PiHole als DNS Server setzen, der die Anfragen dann wiederum an deinen Unbound Server weiterleitet.

Dazu eben die Tailscale Verbindung.

Kannst du das einmal für Dummis erklären? Ich weiß was ein Adguard Server ist aber was ist ein Unbound Server? Und meine öffentliche IP bleibt ja damit trotzdem sichtbar oder?

Ergänzung (5. November 2025)

....Beide Sites haben ein Unifi Gateway und damit Magic Site-to-Site VPN.....

Was ist das denn?

 

[Flossen_Gaming]

aber was ist ein Unbound Server?

Eine komplett lokale DNS-Auflösung, bedeutet - es werden keine Resolver im Netz gefragt.

 

[Joe Dalton]

Dein Traffic läuft immer noch über Deinen Provider, nur halt verschlüsselt in einem Tunnel zu einem VPN-Anbieter. Abgesehen davon sieht Dein Provider eh nur einen Teil Deines Traffics: bei verschlüsselten Protokollen kann bestenfalls der Header ausgewertet werden.

Vor Geheimdiensten Bedenken haben, aber einem Anbieter aus Panama volles Vertrauen schenken? Die Art von Humor ist auch selten.

 

[Capox]

@Joe Dalton Hmm... Wie gesagt, ich habe keine Bedenken vor Geheimdiensten, ich mache ja nichts Illegales im Netz. Trotzdem finde ich den Gedanken nachvollziehbar, dass man einfach nicht möchte, dass jemand genau sehen kann, welche Webseiten man besucht oder was man online tut.

Tatsächlich vertraue ich NordVPN mehr als meinem ISP... Zumindest wenn es um die Weitergabe von Daten an Behörden geht. Ich habe mich z.B. online schon öfter kritisch zu politischen Themen geäußert. Aktuell sehe ich da noch kein Problem, aber wer weiß, wie sich politische Landschaften in Zukunft entwickeln. Wenn irgendwann eine Partei anfängt, politische Gegner systematisch zu überwachen, wäre das schließlich nicht das erste Mal in der Geschichte... Und wie man aktuell sieht, wiederholt sich Geschichte erstaunlich oft.

Man kann mir jetzt „seltenen Humor“ oder paranoides Denken vorwerfen, aber ich finde es eher naiv zu glauben, dass mein ISP besser mit meinen Daten umgeht als ein Anbieter, dessen gesamte Existenz auf Vertrauen basiert. Es stimmt, dass es in der Vergangenheit VPN-Anbieter gab, die auf Gerichtsanfragen Logs herausgegeben haben... Diese Anbieter existieren heute nicht mehr, weil sie ihr Vertrauen verspielt haben.
Ein so großer Anbieter wie NordVPN kann sich das schlicht nicht leisten, seine Nutzer in dieser Hinsicht zu täuschen. Bei meinem ISP höre ich jedenfalls nichts von einer Zero-Logs-Policy.

Ergänzung (5. November 2025)

Und nur um das klarzustellen:
Ich wollte hier eigentlich keine Grundsatzdiskussion über VPNs lostreten.
Ich wollte einfach von Leuten, die technisch mehr Ahnung haben als ich, wissen, ob mein geplantes Setup überhaupt sinnvoll ist.

Nach dem, was ich hier so rauslese (neben dem VPN-Bashing 😅), scheint die Antwort wohl nein zu sein?
Also wäre es am besten, ich verbinde einfach alle Geräte direkt über Tailscale und lasse das mit NordVPN bleiben?
Oder was wäre aus eurer Sicht die cleverste Lösung für mein Ziel?

 

[andy_m4]

Also, NordVPN hat laut eigener Aussage eine Zero-Logs-Policy

Also wenn ich deren Webseite https://nordvpn.com/de/ besuche, wenn erst mal so ein Quatsch wie googletagmanager.com eingebunden. Außerdem setzen die zahlreiche Cookies. Also wenn die an der Stelle schon "schlampen", dann will ich gar nicht wissen, wie gut den ihr Produkt ist.

Außerdem bieten die Schutz vor Malware. Die lesen also schon mal Deinen Traffic mit, sonst könnten sie eine solche Funktion ja gar nicht anbieten.
Wenn ich das "installieren" will, dann bekomme ich die nicht etwa ne Wireguard-Anleitung oder OpenVPN-Anleitung (um mal die zwei bekanntesten und renommiertesten VPN-Tools zu nennen), sondern versuchen mir ihren Client anzudrehen.

Bin nicht mal 5 Minuten auf der Homepage und schon über drei Sachen gestolpert. Das strahlt für mich erst mal das Gegenteil von vertrauenswürdig aus.

Außerdem sitzt NordVPN rechtlich in Panama, also außerhalb der „Five Eyes“ bzw. „Fourteen Eyes“-Überwachungsabkommen, was in Sachen Datenschutz definitiv ein Vorteil ist.

Naja. Was hindert die "Five-Eyes" daran außerhalb ihres Einflussgebietes nicht einfach eine Firma zu gründen. Eine die noch mit Privacy wirbt und dementsprechend genau die Leute anzieht, die interessant für Überwachung sind.
Solche Moves sind in Geheimdienstkreisen nicht unüblich.

Ich will jetzt hier nix unterstellen oder so. Ich will damit nur klar machen, das Pro-Argumente die auf den ersten Blick gut aussehen, nicht unbedingt auch solche sind.

 

[Scirca]

Benutzt den VPN um Keys aus anderen Ländern zu verwenden? Nein dann ist er wertlos. Verlangsamst nur deine Internet Geschwindigkeit.

 

[andy_m4]

oder paranoides Denken vorwerfen,

Ich verstehe Dein Ansinnen durchaus. Allerdings ist gerade dieses VPN-Thema auch mit "gefährlichen Halbwissen" besetzt. Das geht schon beim Begriff los, da er zwei Dinge vermischt. Nämlich eine Technik um ein verschlüsseltes Netz aufzubauen und ein Anonymisierungsdienst.

Zudem kann es nur ein Puzzlestück im Schutzkonzept sein.
Ums mal plakativ zu sagen: Es nützt wenig, wenn Du scheinbar anonym via VPN-Dienst ins Internet gehst und dich dann aber bei Facebook mit Klarnamen anmeldest und dann Dich auch schön mit seitenübergreifenden Cookies u.ä. tracken lässt.

Ich wollte hier eigentlich keine Grundsatzdiskussion über VPNs lostreten

Da Du ja selbst eingeräumt hast, wenig technisches Wissen zu haben, ist 'ne kleine Aufklärung ja vielleicht nicht komplett verkehrt. Sie es als lehrreiche Beigabe. ;-)

 

[h00bi]

Ich hab wirklich noch wenig Ahnung, aber dafür umso größere Träume. =D

Du bist hier im Profiforum gelandet. Hier werden Vorkenntnisse erwartet.
Dein Thema beschreibt ein Heimnetz.

Wenn ich Tailscale aber zusätzlich auf meiner Fritz!Box

Eine Fritzbox kann gar kein tailscale.
Vielleicht per freetz, aber nicht mit FritzOS.

Das Problem: Ich kann dann mit meinen anderen Geräten, die nicht im Tailscale-Netzwerk sind, nicht direkt auf das NAS zugreifen.

Doch, in dem du das tailscale Netz in dein Routing integrierst. Und da sind wir wieder beim Profi Thema.
Du musst Anfragen zum Raspberry Pi eben an durch dein Tailscale Gateway routen.


Aber du willst eigentlich gar kein always on SD-VPN dafür.
Eigentlich willst du, dass der PI sich von außen an deinem Netzwerk anmeldet und das Backup zieht, statt es von dir auf den Pi zu pushen.
So kann Malware nicht von dir aus auf das Backup zugreifen, bzw. nur in dem Zeitpunkt, wahrend der Pi den Tunnel aufgebaut hat.
Und das geht problemlos mit jeder aktuellen Fritzbox.

Und du kannst ausgehend weiterhin so viel NordVPN nutzen wie du willst.

 

[Capox]

Du bist hier im Profiforum gelandet. Hier werden Vorkenntnisse erwartet.

Scheint, ich hab mich hier wohl ein bisschen verirrt… 😅
Trotzdem danke an alle für die hilfreichen und lösungsorientierten Antworten und natürlich auch für die freundlichen Tipps. 👍🏻

Ich schau mich dann mal auf Google oder Reddit um, wo vielleicht eher Leute unterwegs sind, die Anfängern wie mir wirklich weiterhelfen wollen.

Euch weiterhin viel Spaß beim IT-Wissensvergleich! 😉

 

[redjack1000]

Taliscale ist doch vorhanden bei TrueNas

CU
redjack

 

[pseudopseudonym]

Das bedeutet, dass alle Daten beim Neustart automatisch gelöscht werden und keine dauerhaften Logs gespeichert werden können.

Hier mal die Uptime von einem Server, mit dem ich zu tun habe:

$ uptime
22:43:06 up 742 days, 11:42, 1 user, load average: 0,02, 0,02, 0,00

Solange du nicht weißt, wie oft die durchgetreten werden, sagt das nichts aus.

 

[chrigu]

Tatsächlich vertraue ich NordVPN mehr als meinem ISP... Zumindest wenn es um die Weitergabe von Daten an Behörden geht.

Woow. Du vertraust deinem isp der sich an hiesige Gesetze halten muss weniger als ein Dienstleister aus Panama der sich nicht an Datenschutz halten muss? Woow.
Entweder du bist ein Marketing „gläubiger „ oder bist einem inflatulenzer auf dem Leim gegangen.
Deine Aussage „Ich mache nichts verbotenes“ aber willst dich trotzdem vor Verfolgung schützen passt nicht.
Übrigens… deine Internetverbindung ist schon verschlüsselt, von deinem pc zur entsprechenden Webserver, das siehst du am Schloss im Browser, dazu gibt es auch Lektüre. Und ja, ein Punkt zu Punkt vpn mit IPv4 ist zusätzliche Sicherheit, aber nicht mit jedem isp möglich (ds-lite, cgn). Eine Punkt über Punkt zu Punkt Verschlüsselung wie nordvpn es anbietet ist ein Punkt in der sicherheitskette zu viel