Hallo zusammen...
ich habe hier 2 Fritzboxen und 2 NAS laufen.
Die Fritzbox_A (7590AX), zusammen mit dem NAS_A, sind dauerhaft mit dem Internet verbunden. Die Fritzbox_A spannt intern das WiFi_A auf.
Die Fritzbox_B (7590), zusammen mit dem NAS_B, sind NICHT mit dem Internet verbunden. Die Fritzbox_B spannt
intern das WiFi_B auf.

1 x die Woche verbinde ich nun die Fritzbox_B mit der Fritzbox_A um Daten des NAS_B extern zu sichern. Danach wird die Verbindung wieder manuell (ziehen des Ethernetkabels) unterbrochen.

Nun meine Frage: Gibt es irgendeine Möglichkeit dieses manuelle herstellen und trennen (Kabel rein und Kabel raus) durch entsprechend zeitgesteuerte Hardware zu ersetzen? Ideal wäre z.B. ein kleiner Switch den ich so "programmieren" kann, dass zu einem von mir festgelegten Zeitpunkt undeiner von mir festgelegten Dauer die Verbindung von Fritzbox_B nach Fritzbox_A hergestellt wird.
Tante Google gibt keine Antwort auf meine Suche...

Hintergrund meiner Frickellösung ist einfach erklärt. Meine privaten Daten sind auf NAS_B. Aus diesem Grunde will ich dieses NAS nicht dauerhaft mit dem Internet verbunden haben.

Wäre schön wenn jemand von Euch eine Lösung parat hätte.

Danke vorab und Gruß chuby

Chuby

Ich mache es mit einem Billigswitch und einer Schaltuhr

Hört sich gut für mich an. Kannst Du mir einen Switch empfehlen ?

Danke und Gruß
chuby

Ich denke, chi meint:

Stehen die FBs in räumlicher Nähe?
Dann jeden beliebigen Switch, der eine externe Stromversorgung benötigt, und 2 LAN-Kabel. Das Netzteil dann in eine manuelle Zeitschaltuhr. Ist Strom da, Unterhalten sich beide FBs. Wenn nicht, nicht.

Hat die Ziel der externen Sicherung eine feste IP?
Dann könntest Du die Firewall auf deinem NAS so einstellen:



Statt Belgien etc. trägst du die Ziel-IP und den passenden Port ein. Das NAS ist dann nur intern und vom Ziel erreichbar.

Eventuell ließe sich mit dem Aufgabenplaner des NAS ein zeitgesteuertes Skript einrichten.

Gut. Die FB´s stehen direkt nebeneinander. Switch habe ich gerade bestellt. Zeitschaltur habe ich noch....

Danke für eure schnelle Hilfe.

Schönes Wochenende
chuby

Die Sicherung erfolgt über Hyper Backup von Synology auf einen Server in Frankfurt. Ob der eine feste IP hat kann ich leider nicht sagen. Aber es ist ja nicht nur die Sicherung. Ab und an muss ich ja auch die Software auf dem NAS aktualisieren.
Danke Dir für Deine Mühe aber die Lösung mit dem Billigswitch und der Zeitschaltuhr ist für meine Zwecke (und für meine Fähigkeiten) ideal. Ich hab mich auch schon mal in die DMZ-Thematik etwas eingelesen. In eine echte DMZ müsste ich wieder neu investieren und meine Fähigkeiten reichen da auch nicht aus ..

Danke und Gruß
chuby

Ne Eve Energy als Zeitschaltuhr würde ich noch in die Runde werfen. Kann man in HomeKit integrieren, Zeitpläne für erstellen und bei Bedarf per Siri ein- und ausschalten.

Guter Tip. Danke. Ich habe hier aber noch eine Steckdose von AVM rumliegen. Passt besser in meine vorhandene Struktur rein.

Dank Dir trotzdem für Deine Mühe.

Gruß
chuby

Ich gehe mal davon aus, das die Boxen A und B sauber konfiguriert sind, damit keine Probleme im Netz auftreten.
Daher würde ich einen viel einfacheren Weg gehen. Konfiguriere z.B. LAN4 als Gastzugang bei Box A und setze dort in der Kindersicherung einfach das Zeitfenster von wann bis wann die Box online sein darf.
Damit benötigst du keinerlei zusätzliche Hardware und Box B hat nur zu den eingestellten Uhrzeiten Zugriff ins Internet. Dies kann auch für einzelne Geräte per Profil erfolgen

Die physische Trennung vom Internet scheint ihm wichtig zu sein.

Es ist so wie schens es vermutet. Da es sich bei den Daten auf NAS_B um all meine privaten Daten handelt fühle ich mich mit der physischen Trennung dieses NAS vom Internet einfach besser. Würdet ihr mich paranoid nennen würde ich euch recht geben. Aber ich lese halt immer wieder von Vorfällen bei denen Hacker es geschafft haben in gut gesicherte Netzwerke einzudringen.

Die von mayergfx vorgeschlagene Lösung hört sich aber auch gut an. Danke dafür !

Gruß
chuby

Wieviele LAN Ports hat dein NAS ? Wenn es ein NAS mit 2 Ports ist kannst du LAN2 vom NAS mit LAN4 von Box A verbinden, dort den Gastzugang mit Kindersicherung und auf dem NAS LAN2 per Script zeitgesteuert zusätzlich an und ausschalten oder per Webinterface und du musst nie wieder Kabel umstecken.
Zetischaltuhr mit Switch/Hub sind alles zusätzliche Fehlerquellen die man nicht unbedingt einbauen sollte.

und was hindert diese hacker auf dein nas zuzugreifen in der zeit, in der es online ist?
verstehe nicht ganz was nun der unterschied ist, ob das nas nun 1 stunde oder 24 stunden am tag an ist.

automatisierte scripte/bots laufen rund um die uhr. denen ist es egal, ob sie dein nas morgens oder abends erreichen.
da sitzt ja kein mit schwarzem kapuzipulli bekleideter „hacker“ in einem keller (wie immer als klischeebild gezeichnet) und „hackt“ sich aktiv in einer bestimmten zeit irgendwo „rein“.
der laesst nen bot los der das netz crawlt und wartet bis er was trifft.

Ich brauche 1x Woche ca.15 Minuten zur externen Datensicherung, mehr nicht. Trenne ich das NAS physisch vom Internet und lasse den Internetzugriff nur 1 x Woche für diese 15 Minuten zu, dann reduziere ich das Risiko um 98% ! Das ist der Unterschied/Vorteil....so wie ich ihn sehe.
Dein Vorschlag hört sich gut an und Dein Hinweis auf vermeidbare Fehlerquellen ist ja auch richtig. Ich schau mal ob ich das so hinbekomme. Danke Dir.

Gruß
chuby

und genau das ist der irrglaube, den ich gerade versucht habe zu erklären.

versteh mich nicht falsch, dein sicherheitsbewusstsein ist ja lobenswert, aber falsch angesetzt.
die zeit ist völlig irrelevant. sollte eine sicherheitslücke bestehen, ist es egal, ob diese 15 minuten in der woche oder 10800 minuten (eine woche) in der woche exposed ist.
bots sind schnell und können warten.

ein beispiel, das du vielleicht kennst (weils populär war):
erinnerst du dich noch an sasser (windows xp wurm)? sobald du ein frisches windows xp ans netz gebracht hast, war es innerhalb von sekunden ohne weiteres zutun infiziert (und kaputt, lol)
nicht weil da ein kapuzenpulli-hacker aktiv auf den rechner gewartet hat um dann in sekundenbruchteilen "reinzuhacken" sondern weil vereinfacht gesagt "ein programm im internet allgegenwärtig alles scannt und dann zuschlägt"

deine zeitlimitierung bringt (meiner meinung nach) 0,0 zusätzliche sicherheit.

John. Also wenn ich Dich richtig verstehe sind alle hier gemachten Vorschläge sinnlos und ohne sicherheitstechnischen Vorteil ? Was wäre denn (in einfachen Worten und ohne zu sehr ins Detail zu gehen bitte) die Alternative?

In Ergänzung: Bei beiden NAS (Synology DS920+ und DS220) ist die Firewall eingeschaltet und -so glaube ich jedenfalls- auch ganz vernünftig konfiguriert. Dienste bietet das NAS_B im Internet nicht an.

Gruß
chuby

die vorausgegangenen antworten haben ausschließlich deine gestellte frage beantwortet:
- frage: wie kann ich was zeitgesteuert ausschalten?
- antwort: mit ner zeitschaltuhr

frage beantwortet. ist ja auch alles richtig. hinterfragt hat dein vorhaben nach dem sinn (bzw was denn dabei rauskommen soll) bisher aber niemand.
für den heimgebrauch reicht es im grunde, wenn du darauf achtest, dass du stets sämtliche patches für bekanntgewordene sicherheitslücken umgehend installierst (also fürs nas selbst und auch für drittdienste, die du evtl auf dem nas betreibst).
wenn du es ne ganze stufe professioneller (und härter) haben willst, stellst du dein nas in eine dmz

John. Danke Dir für die Antwort. Zur Verfügung stehende Updates für meine Rechner, FB´s, NAS usw. werden natürlich schon immer zeitnah installiert.
Deinem Hinweis auf die DMZ (hatte ich erwartet) bin ich auch gefolgt. Auch den dort verlinkten Artikel von Heise habe ich gelesen. Werde mich mal damit beschäftigen.

Danke Dir für Deine Hilfe

chuby

Kurze Info noch zu deinem Problem mit dem NAS, ist das ein Synology oder ein QNAP? Grundsätzlich sollte man ein NAS nie von aussen zugänglich machen, d.h. Ports öffnen und diese direkt an das NAS weiterleiten, egal ob man diese "verschleiert" oder nicht. Weniger ist hier mehr. Für Updates muss das NAS ja auch irgendwie mit dem Internet verbunden werden, damit es seine Pakete aktualisieren kann, oder du musst alles per Hand aktualisiseren. Läuft auf dem NAS ein Virenscanner der sich mehrmals täglich aktualisiert und mit neuen Definitionen versorgen will, muss das NAS ja einen Internetzugang haben, jedoch ist das keine Problem, genauso wie das Backup, da hier das NAS die Verbindung zum Dienst aufbaut und dann auch wieder beendet. Nur wenn dein Router (FritzBox) falsch konfiguriert ist und das NAS von aussen zu erreichen kann es wie von john beschrieben schon beim ersten Kontakt mit dem Internet zur Infektion kommen, also bringt dir das ganze von der Überlegung her nichts. DMZ wäre die letzte Lösung für mich, ein NAS gehört hinter eine Firewall und sollte nur per VPN erreichbar sein um von aussen darauf zuzugreifen. Zudem kannst du im NAS IP Bereiche sperren um unerwünschte Zugriffe zu verhindern, d.h. alles was nicht in deinem Heimnetz ist oder z.B. zu deinem Land gehört kannst du blockieren!

Dafür habe ich oben eine Firewall-Konfiguration der NAS eingefügt. Ich finde das nicht so intuitiv.
1. Schritt: internes Netz freigeben, 2. Schritt: Ports für IP (oder GeoIP) zulassen, 3. Schritt: alle restlichen Zugriffe sperren.
Anfänglich habe ich gedacht, dass Schritt 2 reichen würde.

Kennst Du ein Skript, mit dem das LAN im Aufgabenplaner einer Synology ein- und ausgeschaltet werden könnte?

@rmayergfx:

dass ein nas nicht direkt per nat ins netz exposed haengt, hab ich vorausgesetzt.
wer macht das?

Ich nicht. Kenne leider zu viele die einfach mal eben QuickConnect, MyFritz etc. aktivieren, ohne zu wissen was sie da eigentlich tun. Ebenso werden nach den typischen YT Anleitungen mal eben Ports für das NAS freigegeben usw. Die wenigsten beschäftigen sich danach weiter mit der Sicherheit, Hauptsache es funktioniert.

@marm
/usr/sbin/ifconfig eth2 down
/usr/sbin/ifconfig eth2 up

(ethx) entsprechend den verfügbaren LAN Ports anpassen)

Einfach im Aufgabenplaner als "Benutzerdefiniertes Skript" mit root Rechten erstellen. Für up/down jeweils ein eigenes Skript.

Ich häng mich mal dran, habe mittlerweile 2 NAS, eins für sämtliche Daten und TimeMachine. Für dieses habe ich keine Ports freigegeben, außerhalb des Heimwerks kann ich per VPN zugreifen.
Mit dem zweiten, dass künftig in einem externen Netz hängen wird und für Backups gedacht ist, könnte ich so verfahren wie marm es konfiguriert hat, oder? Eigenes und fremdes Netzwerk zulassen, Port für Hyperbackup freigeben und alle anderen Netze sperren. Wenn ich direkten Zugriff bräuchte würde es ja wieder über VPN funktionieren.

@bobby83
was bedeutet externes Netz ? An einem anderen Standort (z.B. zu Hause hinter einer FB) ?
Du kannst die beiden NAS auch direkt per VPN verbinden, bzw. vor dem Backup per VPN verbinden lassen und danach wieder trennen!

Andere Stadt, andere FRITZ!Box.
Ist das geplante Verbinden per VPN mit Synology Bordmitteln einfach umzusetzen? Mit Skripten bin ich absolut nicht firm. Wobei ich wahrscheinlich nicht drum herum kommen werde: es wäre geplant, die zweite DS nur zu bestimmten Zeiten fürs Backup hochzufahren. Andere Frage hierzu: können die Festplatten dadurch mehr Schaden als durch Dauerbetrieb nehmen?

Ist QuickConnect nicht notwendig um Updates auf meinen beiden Synology NAS automatisch angezeigt zu bekommen ? Gleiche Frage zu MyFritz.
Beide Dienst sind auf meinen Geräten aktiviert. Besser abschalten?

Danke und Gruß
chuby

Beide Dienste dienen zum einfachen verbinden von extern auf deine Geräte. Nutze ich nicht, da ich immer meine eigene Verbindungen per VPN nutze. Da die Hacker gerne die Datenbanken der Anbieter angreifen um möglichst viele Daten abzugreifen ist es mir persönlich zu unsicher und ich müsste im Falle eines Datenlecks alles umkonfigurieren, daher setze ich nicht auf solche Dienste.

Diese Services sind nicht für Updates notwendig. Bitte informiere dich doch erst einmal über die Geräte bevor du solche Services aktivierst. Sobald du dich mit dem NAS verbunden hast, siehst du immer in den Benachrichtigungen ob ein neues Paket oder Update vorhanden ist. Ganz ohne solche Dienste.

rmayergfx: Ja, mit dem vorher informieren hast Du natürlich recht...
Habe jetzt auf den beiden Fb´s und den NAS diese Dienste deaktiviert.

Danke nochmals und schönes Restwochenende
chuby

rmayergfx
Vielen Dank, Script zum Ein- und Ausschalten des LAN funktioniert.

Chuby
Wie bereits gesagt wurde, ist Quickconnect für die Aktualisierung nicht notwendig.
Unter Netzwerk/Allgemein muss bei mir allerdings bei "DNS Server manuell konfigurieren" entweder Google (8.8.8.8) oder Quad9 (9.9.9.9) eingetragen werden, sonst kommen bei mir keine Updates und keine Konfigurationssicherungen. Alternative DNS Server von digitalcourage funktionieren leider nicht. Weiß jemand warum das so ist?

Meine beiden NAS laufen -sowohl vorher mit, als auch jetzt ohne QuickConnect- mit dem alternativen DNS Server der Digitale Gesellschaft in der Schweiz => 185.95.218.42.

Allerdings habe ich auch ein Problem mit der Sicherung der Konfigurationsdatei. Auf der DS920+ kann ich die Konfigurationsdatei nur 1x nach einem Neustart sichern. Versuche ich es dann ein weiteres mal zeigt diese DS alles korrekt an, es wird aber keine Datei gesichert.
Auf meiner DS220 kann ich die Konfigurationsdatei sichern wann immer ich will.

Gruß
chuby