Unraid Backup auf Raspberry

[LikeAnIrish]

Hi Leute,

ich habe eine absolute Anfängerfrage:
Ich wollte ein Raspberry mit externer Platte bei meinen Eltern aufstellen, dieses per WireGuard mit meinem Unraidserver verbinden und dann per rclone (SFTP) regelmäßig Sicherungen auf das Pi ziehen.

Leider sehe ich das Pi nicht übers LAN.
Die Verbindung vom Pi auf Unraid klappt.

Wenn ich die Verbindung mit dem Handy teste, sehe ich keine Geräte im LAN, aber ins Internet kann ich ...

Ich glaube ich verstehe das Prinzip von WireGuard falsch.
Auf Unraid läuft der WireGuard Server und auf dem PI der Client.

 

[_Shorty]

kann denn dein Docker in dem WireGuard läuft denn zu deinem Pi pingen, wenn du eine Console öffnest für den Wireguard Docker Container?

 

[und tschüss]

Wie hast du das VPN eingerichtet?
Anschlüsse besitzen Dual-Stack oder CGNAT oder DSLite?
LAN-LAN Kopplung?
Dauerhafte VPN-Verbindung?
Netzwerke haben unterschiedliche IP-Bereiche?
Wie willst du dich verbinden über den Hostnamen oder IP?
Funktioniert eine Verbindung mit einem FTP-Programm?
Router ist eine Fritz!Box?
Warum ein Raspi und nicht direkt auf die andere Fritz!Box/Router mit angeschlossener HDD? (sofern möglich)

Fragen über fragen

 

[LikeAnIrish]

WireGuard läuft als App auf dem Unraid und ist über VPNmanager direkt in settings verfügbar. Habe es nicht in einem extra Container.

"Anschlüsse besitzen Dual-Stack oder CGNAT oder DSLite?"

Sorry keinen Plan von ^^

Ich habe den VPN Server auf Unraid so eingerichtet dass der lokale endpoint meine Domain ***.de auf Port 50000 ist.

Als Router besitze ich einen SMART 4 und meine Eltern eine Fritzbox die 7590.

Bei mir ist der Port 50000 freigegeben, bei meinen Eltern nichts.

Ich habe jetzt einfach einen weiteren peer in Unraid eingerichtet und damit mein Handy verbunden. Klappt einwandfrei ...

Beide sind gleich als remote tunneld access eingerichtet.

Ich habe jetzt gesehen, dass ich beim PI keinen handshake bekomme. Ich vermute ich muss irgendwas am Router meiner Eltern freigeben? Dachte ich kann mir das per WireGuard sparen Ports frei zu machen?

Warum nicht direkt an der Fritzbox ist ganz einfach. Mein Dad ist immer nicht sehr begeistert wenn ich an seinem Router rumspiele. Habe ziemlich oft in meiner Kindheit an seinem PC "probiert" und er ist da wohl noch etwas nachtragend ^^

Deswegen belege ich jetzt einfach im Keller eine LAN-Buchse, was von ihm akzeptiert wird XD

Ich könnte auch Configs posten, aber fühle mich dabei relativ unwohl ^^

 

[und tschüss]

Ich bin kein Freund von einem VPN im Netzwerk. Der Server sollte man Eingang (Router) ober noch besser in einer DMZ stehen.

Ich denke, Tailscale wäre besser für dich geeignet und verzichtet sogar auf die Portfreigabe, basiert über auf WireGuard. Installieren das einfach anstatt WireGuard und berichte .

Wenn du WireGuard nicht auf dem Router bei deinen Eltern eingerichtet hast, wie machst du denn das Update der IP für deine Domain bzw. DynDNS? Am einfachsten ist es, wenn du eine WireGuard-Verbindung bei deinen Eltern im Router einrichtest (erweiterte Einstellung wegen DNS) und in deiner installierten WireGuard-App die Config importierst. Dann kannst du auch auf die Portfreigabe (beide Router) verzichten. Sobald eine Anfrage von deinem Server kommt, sollte die Verbindung aufgebaut werden oder auch dauerhaft gehalten werden mit der entsprechenden Option (interessant bei CGNAT oder DSLite, wo keine externe IPv4 vorhanden ist). Mit Tailscale umgehst du das aber alles.
​

Mein Dad ist immer nicht sehr begeistert wenn ich an seinem Router rumspiele. Habe ziemlich oft in meiner Kindheit an seinem PC "probiert" und er ist da wohl noch etwas nachtragend ^^

Ich mag die Ehrlichkeit!

Ich könnte auch Configs posten, aber fühle mich dabei relativ unwoh

Brauchst du auch nicht.

 

[Der_Dicke82]

+1 für Tailscale für die Verbindung zwischen NAS und RPi

Zum Problem: kann es sein das du in beiden Netzwerken (bei dir und deinen Eltern) eine fritzbox benutzt?
Kann es sein das es im 192.168.178.0 Netz zu doppelten IPs kommt und deswegen nichts funktioniert?

Außerdem, wenn du per wireguard VPN aufs lokale Netz zugreifen willst, dann musst du das auch als route in der wireguardconfig angeben.

 

[und tschüss]

Zum Problem: kann es sein das du in beiden Netzwerken (bei dir und deinen Eltern) eine fritzbox benutzt?

Da gehe ich bei der oft verwendeten Standardeinstellung bei dem Telekom-Router und der Fritz!Box erst einmal nicht von aus, da beide von Hause aus unterschiedliche IP-Bereiche verwenden.

Da beide Router auch WireGuard beherrschen, wäre es immer meine erste Wahl diese zu verwenden, weil so die Verbindung direkt ist und kein Mittelsmann dazwischen hängt, wo auch Metadaten anfallen und gespeichert werden können. Wenn die Einrichtung vom Vater aber nicht gewünscht ist, obwohl ja auch eine Portfreigabe eingerichtet wurde, gehen nur Alternativen wie Tailscale oder ähnliche Software (auch zum Selberhosten). Pro und Contra für Tailscale findet man genug im Netz.​

 

[LikeAnIrish]

Vielen Dank für den Hinweis auf Tailscale.
Hat ja wirklich easy funktioniert.
Auf dem PI installieren und anmelden, auf Unraid Plugin installieren und anmelden und siehe da ich kann von Unraid den PI anpingen und per SSH zugreifen.

Jetzt nur noch SFTP einrichten und ich bin happy

Vielen Dank für eure Hilfe.

 

[und tschüss]

Vergiss nicht, die nicht notwendige Portfreigabe zu löschen oder wenigstens zu deaktivieren!
Auch DynDNS/Domain brauchst du für Tailscale nicht unbedingt.

 

[LikeAnIrish]

Danke für den Reminder.

DynDNS nutze ich für meine Nextcloud eh.

 

[und tschüss]

DynDNS nutze ich für meine Nextcloud eh.

Nur für dich? Dann würde ich auch eher WireGuard oder Tailscale einsetzen!

Eine Freigabe ist nur nötig bzw. sollte nur eingesetzt werden, wenn externe User zugreifen sollen, die nicht über das VPN verfügen. Weniger ist mehr, bevor durch eine Schwachstelle Daten abfließen. NC war bereits von Schwachstellen betroffen. Eine Freigabe sollte nur unter Bedacht eingesetzt werden, wenn man weiß, was man macht, und diese auch absichern kann.​

 

[LikeAnIrish]

Nein, für mich und meine Familie. Dazu ist es schön ab und an Dateien zu teilen, bzw. Leuten einen Link zum hochladen von Dateien zu geben.

Hoffe ich habe meinen NGINX und Nextcloud richtig konfiguriert um nicht komplett schutzlos da zu stehen. Aktuell halte ich es auf jeden Fall

 

[und tschüss]

Nein, für mich und meine Familie.

Dann würde ich VPN nutzen und alles Netzintern belassen. Das kann mit WireGuard oder auch Tailscale sein.

Hoffe ich habe meinen NGINX und Nextcloud richtig konfiguriert um nicht komplett schutzlos da zu stehen.

Das kann ich dir nicht sagen, weil viele schlechte Anleitungen im Netz verbreitet werden. Wichtig wäre der Einsatz eines Reverse Proxy für die SSL-Verbindung, oder du musst das Zertifikat direkt in NC ablegen. Den Rest bringt NC direkt mit. Einen Webserver (Nginx) brauche ich in Docker nicht, aber du kannst NC auch die native Installation wie auf einem Webhosting anwenden. Dann benötigst du einen Webserver. Ob alles richtig eingestellt ist, kannst du doch direkt automatisch in NC bei den Einstellungen testen lassen und musst bei Problemen diese abarbeiten.

Aber gut, wir wollen nicht abschweifen, dein Problem ist ja gelöst. ​