Rsync backup NAS-ra nem triviális módon

Linux-haladó

Sziasztok,

A segítséteket szeretném kérni egy hálózati okosságból adódó backup megoldásában.

Adott egy proxmox gép, rajta 4 VPS-el. A host kapott egy IP címet és port forward segítségével vannak a VPS szolgáltatások kihelyezve a világhálóra.
Természetesen a VPS-ek kaptam egy másik hálókártyát, amin belső ip címekkel elérik egymásikt. Illetve a VPS-ek kilátnak a netre direktbe.

Ezeket a VPS-eket, vagyis csak a rajtuk lévő egy-két mappát kellene mentenem egy Synology NAS-ra.

Eddig nem így volt a hálózati felépítés, akkor a VPS-eket is elértem , így gyártottam egy docker containert, ami rsync-en lehúzta a NAS-ra a dolgokat. A konténer a NAS futtatta ütemezetten.

Az átalakulás utána viszont nem tudom, hogy hogyan lehetne menteni, mert rsync ssh-n keresztül a hostig jut, de onnan nem tudok átmenni a VPS-re, hogy onnan szedje le az adatokat.

Eddig így mentettem:

/usr/bin/rsync -r --ignore-existing --bwlimit=${MAX_BWIDTH} -e "ssh -p ${SSH_PORT} -o StrictHostKeychecking=no -i /srv/id_rsa" ${SSH_USER}@${SERVER_IP}:${SOURCE_DIR}/ ${TARGET_DIR}

Viszont most a ${SSH_USER}@${SERVER_IP} csak a host.

Hogy tudnám a mentést megoldani úgy, hogy biztonságos maradjon a rendszer és semmi felesleges dolgot ne kelljen telepíteni és kinyitni a tűzfalon.

Ami még fontos infó, hogy a NAS ip-je nem fix és a routert nem én kezelem, így ott az SSH-t nem tudom kinyitni, hogy a VPS syncelje magát a NAS-ra.

Válaszaitokat és a segítséget előre is köszönöm.

Köszi: Zoli

( Proci85 v | 2024. 04. 26., p – 11:38 )

Ha jól értem a problémát, akkor:

Hoston/router port forward: 1122 -> 1-es VM 22-es portjára
1222 -> 2-es VM 22-es portjára
stb

A NAS pedig másszon be a host gép publikus IP-jének 1122, 1222, stb portjára és szedje át a motyót.

( claude_leon | 2024. 04. 26., p – 11:56 )

És ha a NAS-ról és a VPS-ekről nyitsz egy közös VPN-t a hostra?

( Zs | 2024. 04. 26., p – 13:35 )

Csak pár kóbor ötlet:

  • az ssh paraméterben/konfigban megadható, hogy adott hosthoz gateway-en keresztül kell kapcsolódni. Ebben az esetben az ssh kapcsolat első kanyarban a gateway hosthoz épül fel és onnan megy tovább a célgépre,
  • ssh -L helyiport:célIP:céport szerver kombóval belépsz az elérhető gépre - de ezzel a csavarral nyitottál egy tunelt, így egy másik ssh a 127.0.0.1:helyiport kapcsolattal a portforward miatt rögtön a célgépen lehetsz,
  • a VPN-t már említették - ha nem akarsz telepíteni, az se baj, tud ilyen mókát is az ssh.

"az ssh paraméterben/konfigban megadható, hogy adott hosthoz gateway-en keresztül kell kapcsolódni. Ebben az esetben az ssh kapcsolat első kanyarban a gateway hosthoz épül fel és onnan megy tovább a célgépre,"

ennek,

"a VPN-t már említették - ha nem akarsz telepíteni, az se baj, tud ilyen mókát is az ssh."

és ennek mi a hívó szava a google-be? Utána olvasnék....

A proxy-s megoldás is jó, de én nem arra gondoltam.

man ssh

SSH-BASED VIRTUAL PRIVATE NETWORKS szekció szépen leírja, hogy hogy kell felhúzni a kapcsolatot a két oldalon. Anno működött..
Ez a "VPN" megoldás annyiban szimpatikusabb a többinél, hogy nem kell hozzá semmit se telepíteni.
 

( agostonl | 2024. 04. 26., p – 17:04 )

SSH-hoz Port knock, és/vagy fingerprint, jelszó nélküli belépés. A szerveren meg fail2ban figyeli, ki akar a triviális 22-es porton bejönni, vagy jelszóval ssh-zni. elsőre mehet ban-ra.

( •̀ᴗ•́)╭∩╮

"speciel a blockchain igenis hogy jó megoldás, ezért nagy erőkkel keressük hozzá a problémát"

"A picsat, az internet a porno es a macskas kepek tarolorandszere! : HJ"

( gabrielakos v | 2024. 04. 27., szo – 08:36 )

vpn, wireguard, tailscale, headscale címszavakban.

tailscale megoldás triviális

Gábriel Ákos