Proxmox Backup Server mit Hetzner Box und NAS

[hYtas]

Moin,

ich nutze den PBS und sichere jeden Abend meine VMs/LXC auf eine externe SSD. Jeden Sonntag sichere ich alles auf mein NAS ausgehend durch ein Skript welches das NAS startet.

Nun möchte ich das PBS das Backup aufs NAS schiebt, da ich alles etwas übersichtlicher gestalten möchte. Zusätzlich möchte ich die Daten in eine Storage Box bei Hetzner schieben auch vom PBS ausgehend.

Ist sowas möglich?
Ich hoffe das meine Frage verständlich ist.

 

[DonConto]

Mein PBS läuft in einer VM auf dem NAS ;-)

 

[b1nb4sh]

Du kannst dich ganz normal am PBS anmelden (SSH) und dort die Daten vom Datastore zum NAS per rsync verschieben lassen (script)
Das Remote & Sync Feature bezieht sich nur auf pbs <> pbs.
Hetzner Storage Box ist auch per ssh / rsync erreichbar.

 

[thomiczeck]

Ist die einfachste Möglichkeit. Sicherheitstechnisch solltest du dir aber überlegen ob es sinnvoll, dass dein Server das Backup auf das NAS schiebt, da du dafür deine Login-Daten auf deinem Server (PBS) hinterlegst. Ist der kompromittiert ist es dein NAS auch. Normalerweise sollte der Backup-Server das Backup immer "ziehen" um eine Kompromittierung des Backupservers zu verhindern (was das Setup natürlich etwas komplizierter macht). Hier macht es wahrscheinlich Sinn eine zweites lokales PBS und die Remote Sync funktion von PBS zu nutzen.

 

[hYtas]

Meine Rackstation kann keine VMs, die zieht auch zu viel Strom daher läuft es nicht dauerhaft.

Dann wäre nur die Frage, ob sich der PBS dann überhaupt lohnt. Dann könnte ich auch weiter wie gehabt einfach direkt per Proxmox auf die SSD sichern. Das NAS macht es ja eh unabhänging.

 

[hYtas]

Andere Frage aber gleiches Thema:
Ich nutze einen kleinen Mini PC um Proxmox + 3CX bzw. alles was von Außen erreichbar ist in eine DMZ zu stecken.
Läuft auch super bis jetzt. Die DMZ ist komplett isoliert vom Rest physisch wie IP technisch.
Nun findet er deshalb meinen PBS nicht.

Wenn ich dort Ports freigebe um die PBS zu finden, ist ja wieder ein Tor offen, was ich gar nicht will. Aber irgendwie sichern muss ich es ja.
Jemand dazu eine Idee? wie man es sicher sichern kann.

 

[redjack1000]

Jemand dazu eine Idee? wie man es sicher sichern kann.

VPN Benutzen.

Cu
redjack

 

[andy_m4]

Wenn ich dort Ports freigebe um die PBS zu finden, ist ja wieder ein Tor offen, was ich gar nicht will.

Naja. Irgendeine Verbindung brauchst Du. Ohne Verbindung kannst Du auch nix übers Netz sichern. Was Du machen kannst ist aber den Security-Impact minimieren.
Man kann zum Beispiel sagen, das man ein Pull-Backup macht. Sprich der PBS verbindet sich zum Server in der DMZ und zieht von da aus die Daten runter. Dadurch kannst Du Deine Firewall zur DMZ schon mal so einstellen, das sie nur ausgehende Verbindungen durchlässt und das auch nur von einer bestimmten Source-IP/Source-Port zu einer ganz bestimmten Dest-IP/Dest-Port. Das könnte man sogar zeitlich begrenzen.

Die Verbindung macht man natürlich verschlüsselt, damit niemand anderes (insbesondere aus der DMZ) mitlesen kann.

Das bedingt allerdings, das Du ein Port auf dem Server auf machst. Du bräuchtest also noch eine zweite Firewall zwischen DMZ und Internet, die verhindert, das jemand aus dem Internet auf diesen Port zugreifen kann. Selbstredend sollte auch niemand anderes aus der DMZ auf den Port zugreifen können.

Das mal so als grobe Marschrichtung die man gehen könnte. Wenn Du natürlich kategorisch jegliche Verbindung zwischen DMZ und intern ablehnst wird das nicht gehen. Da bleibt Dir nix anderes als mit nem Datenträger zum Server zu laufen.

 

[hYtas]

Eine Verbindung ist klar, die gibt es aktuell schon von LANnet zur DMZ, brauche ich ja auch um auf Proxmox zugreifen zu können. Nur anders herum geht es nicht.

Das Pull Backup müsste ich dann aber per Skript starten? Normalerweise startet ja PVE das Backup.

Ich kenne mich leider in PBS noch nicht so gut aus.

 

[andy_m4]

Eine Verbindung ist klar, die gibt es aktuell schon von LANnet zur DMZ, brauche ich ja auch um auf Proxmox zugreifen zu können. Nur anders herum geht es nicht.

Ich versteh' grad nicht was Du mir sagen willst.

Das Pull Backup müsste ich dann aber per Skript starten?

Ähm ja. Du kannst es natürlich auch manuell anstoßen.

Normalerweise startet ja PVE das Backup.

Wer oder was ist PVE?
Wenn damit der Server gemeint ist der zu sichern ist und in der DMZ steht: Wenn Du den das initiieren lässt hast Du ja genau das Problem, was man (aus sicherheitstechnischer Sicht) nicht will. Das ein DMZ-Rechner einen Zugriff ins interne LAN kriegt.

Ich kenne mich leider in PBS noch nicht so gut aus.

Ich auch nicht. Ich kann Dir nur sagen, wie man das prinzipiell löst und von mir aus auch noch, wie man das generisch unter nem Linux machen kann. Wenn Du da irgendwie ein spezielles WebGUI (oder was auch immer) von so einer Appliance benutzt, da kann ich nix zu sagen.