Synology NAS - tips und tricks?

Zitat aus einem Post von oxid1zer

Wie greift ihr von extern darauf zu?

Quickconnect Relay-Dienst, für Fotos reicht die Bandbreite
Videos werden im WiFi gemacht.

Zitat aus einem Post von Longbow

Kann es sein, dass das NAS wenn es per Netzlaufwerk eingebunden ist den Systemstart verlangsamt?

Nach dem login kommt zwar der Desktop, aber die explorer.exe hängt definitiv noch - mit aufbau von bottom bar etc…

Noch schlimmer ist es wenn man explorer Fenster aufmacht, da kann man tatsächlich zuhören wie sich erstmal nix tut, die Synology aus dem Sleep aufwacht und die Platten hoch spinnt und dann irgendwann geht der Explorer auf

Ich hab seit Jahren eine SSD als Netzlaufwerk und bei insgesamt zwei Synology NAS und 5+ PCs mit mindestens zwei verschiedenen SSDs kann ich da keinerlei Einfluss feststellen.

Zitat aus einem Post von Longbow

Kann es sein, dass das NAS wenn es per Netzlaufwerk eingebunden ist den Systemstart verlangsamt?

Läuft bei mir fein.

Folgende Problemstellung:

NAS1 (DSM 7.2.x) => On-Site
NAS2 (7.1.x) => Off-site

Auf NAS1 befinden sich mehrere (via Synology) encrypted shared folders, welche ich gerne einmalig (via eingebauten rsync) auf's NAS2 in der offsite Location syncen möchte.

Alternativ ist "Hyper-Backup" zu nutzen, aber damit sind die files wieder in einer proprietären Synology DB drinnen.. ich möcht die Files aber gerne einmalig 1:1 spiegeln als cold storage.

Das Off-Site Nas ist so alt, dass es kein DSM 7.2.x mehr unterstützt, also leider keine WORM Funktionalität (Write Once Read Many). Ausserdem unterstützt es keine Container und ist von der Synology Package Auswahl eher eingeschränkt (512 MB RAM).

Im Prinzip möchte ich eine 1:1 Ransomware-Schutz Kopie machen auf's Offsite-NAS und danach jegliche Berechtigungen wegwerfen, dass selbst im Falle einer Kompromitierung von der On-Site die Files auf Off-Site nicht gelöscht werden können. Quasi ein WORM "nachbau".

Jetzt ist mir aufgefallen, wenn ich ein (via Synology Backup) rsync copy anwerfe, dann kommen am Off-Site NAS alle files encrypted an, obwohl sie auf der Source (On-Site NAS) gemounted/decrypted wären... scheinbar sieht der rsync Dienst die Files nach wie vor nicht decrypted?!

Des Pudels Kern wird sein: Kann ich rsync unter einem User laufen lassen, welcher auf die Files decrypted Zugriff hat, oder läuft dies immer unter einem rsync User der die files immer nur encrypted transferieren kann? Beim Anlegen des Backup Tasks beziehen sich die Credentials ja nur auf die destination Maschine (Offsite-NAS), sehe keinerlei Möglichkeit zu definieren mit welchem User es lokal geschieht.

In der Synology Doku finde ich nur Infos wie man rsync zum Laufen zu bekommt, aber dieses rsyncen von encrypted files taucht nirgendwo auf.

Hab nur diesen Workaround hier gefunden:
https://community.synology.com/enu/forum/1/post/138328

Zitat

" got around this by first creating the encrypted shared folder on the target NAS using the same name and passphrase as the encrypted folder on the source NAS. Start the sync on the source and mount the encrypted folder on the target - you should be able to see the files and folders now.

To clarify, when the rsync starts, both NAS must have the folder unmounted otherwise it will throw an error or create another folder. "

Ist das wirklich the way to go?

Ansonsten die generelle Frage:
Vielleicht ist die obige Idee ja garnicht der beste Weg bzgl. Ransomware Schutz.
Wie habt ihr es gelöst ein Backup der wichtigsten Daten zu ziehen, welches komplett entkoppelt ist vom Rest, ohne physisch Stecker (z.B. einer externen USB-HDD) abzuziehen?
Ein Backup auf C2, externe HDD die immer drann hängt, sync auf anderes NAS, etc. könnt im Falle einer Kompromitierung ja alles mitgelöscht werden.

Ich hab übrigens den Workaround inzwischen getestet und der funktioniert für mich leider nicht

Wenn am remote NAS der folder unmounted ist, startet der rsync Job erst garnicht weil die destination als "off-line" angezeigt wird. Sobald der destination Folder mit selbem Namen & encryption pwd wie auf der source gemounted ist und der rsync job läuft, kommt trotzdem alles encrypted an :/

@ restic
Schon viel gutes gehört, ich würde allerdings gerne die bereits existierende Infrastruktur weiterverwenden und das alte NAS mit 512MB RAM dablast einen restic server aber nicht.
Auch Docker container sind dort keine Option. Aber interessant dort ebenso eine ransom sichere read-only Variante abbilden zu können.

Hat jemand eine Idee wie man rsync von Synology auf Synology zum Laufen bringt, mit dem Ziel die Daten unencrypted drauf zu haben?

Zitat aus einem Post von COLOSSUS

Also der aus dem restic-rest-server-Binary fuer den Raspberry Pi 2(sic) entstehende Prozess hier braucht nach dem Starten keine 8M RES, und viel tut das Ding mit den eingehenden Daten nicht - inbound checksumming kannst du ausstellen, TLS und auth auch, dann ist das i. w. eine pipe aus dem TCP-Socket-recv()-Buffer in ein write(). Wenn du das also nic

ok ich spezifiziere meine aussage: das alte synology NAS mit 512MB RAM dablast einen restic server aber nicht, out of ther box

restic darauf hin optimieren und lauffähig machen ist mir für den zweck einer einmaligen kopie gefühlt zu viel aufwand und operation am offenen herzen, als rsync korrekt zum laufen zu bringen

das klingt für mich nach einem weiteren/anderen projekt for another time.

aber definitiv eine gute ransomware schutz option

Hat hier sonst keiner rsyncs laufen von encrypted daten von synology nas to nas ?

Zitat aus einem Post von BiG_WEaSeL

Du willst nur eine einmalige Kopie machen? Wenn du bei C2 nur bedenken der Kompromittierung hast, dann mach das backup lösch die credentials danach wieder?

wäre eine variante

Ich hab auch grad gecheckt: Backblaze B2 kostet genau gleich viel wie Synology C2 für 1TB

die sexy sache an C2 ist, dass es extrem robust und problemlos täglich backups innerhalb der EU zieht.
Da muss ich nie reingreifen zum den verschlüsselten tunnel zu fixen/neu zu verbinden o.ä.
deswegen ist es für mich das richtige ziel für aktuelle gehaltene backups

C2 hat in meiner paranoiden datenwelt (so wie jedes andere cloud service x) 0 trust
Ich geh davon immer davon aus, dass die jederzeit abbrennen,ihre spinning rust festplatten via einkaufswagen über den parkplatz schieben/zerstören, o.ä. passiert

Ein verschlüsselter redundanter cold storage der durch mich abgesichert physisch weit genug entfernt vom origin, aber dennoch nah genug zum relativ schnellen physischen zugriff steht => best of all worlds, imho