Raspberry Pi Syncthing: lokale Cloud mit VPN einrichten

Ein Raspberry Pi kombiniert mit Syncthing und einem VPN wird zur kompakten, stromsparenden Datenzentrale: Dateien zwischen PCs, Laptops und Mobilgeräten synchronisieren, standortübergreifend arbeiten und trotzdem volle Datenhoheit behalten – ideal für kleine Unternehmen.

Warum Raspberry Pi Syncthing + VPN für KMU sinnvoll ist

  • Datenschutz & Kontrolle: Keine externen Cloud-Anbieter; Daten bleiben in Ihren Räumen oder im eigenen Netzwerk/VPN.
  • Kosten: Einmalige Hardwarekosten, keine laufenden Lizenzgebühren pro Nutzer.
  • Offline-tauglich: Synchronisation im LAN, späterer Abgleich über VPN.
  • Skalierbar: Start mit einem Pi und USB-SSD; später um zusätzliche Geräte/Standorte erweitern.
  • Wartbar: Standard-Linux, klar dokumentierte Dienste (systemd, WireGuard).

Raspberry Pi Syncthing Schritt-für-Schritt installieren

System vorbereiten

  • Raspberry Pi OS (Lite, 64-bit) flashen, Hostname und Nutzer setzen. SSH aktivieren.
  • Updates: sudo apt update && sudo apt full-upgrade -y
  • Basis-Tools: sudo apt install -y curl ca-certificates gnupg

Syncthing installieren

  • Release-Key hinzufügen: curl -s https://syncthing.net/release-key.txt | gpg --dearmor | sudo tee /etc/apt/keyrings/syncthing.gpg > /dev/null
  • Repository eintragen: echo "deb [signed-by=/etc/apt/keyrings/syncthing.gpg] https://apt.syncthing.net/ syncthing stable" | sudo tee /etc/apt/sources.list.d/syncthing.list
  • Installieren: sudo apt update && sudo apt install -y syncthing

Dienst aktivieren

  • Für den Linux-Benutzer (Beispiel pi): sudo systemctl enable --now syncthing@pi
  • Status prüfen: systemctl status syncthing@pi

Web-GUI erreichen

  • Standard: nur lokal auf http://127.0.0.1:8384. Für erste Konfiguration per SSH-Tunnel arbeiten: ssh -L 8384:127.0.0.1:8384 pi@IP-ADRESSE und dann im Browser http://localhost:8384 öffnen.
  • In den Einstellungen unter GUI unbedingt Benutzername/Passwort setzen. Externen Zugriff erst nach VPN-Freigabe erlauben.

Speicher vorbereiten: USB-SSD sauber einbinden

  • Gerät finden: lsblk
  • Optional formatieren (Achtung: löscht Daten): sudo mkfs.ext4 /dev/sda1 -L data
  • Mount-Punkt: sudo mkdir -p /mnt/data
  • UUID ermitteln: blkid /dev/sda1
  • Automount per fstab: echo "UUID=IHRE-UUID /mnt/data ext4 noatime,defaults 0 2" | sudo tee -a /etc/fstab
  • Mounten: sudo mount -a und Rechte setzen: sudo chown -R pi:pi /mnt/data

Raspberry Pi Syncthing konfigurieren: Ordner, Versionierung, Rechte

  • Ordner anlegen: z. B. /mnt/data/team, /mnt/data/finanzen, /mnt/data/projekte.
  • Ordner in Syncthing hinzufügen: Modus Senden & Empfangen. Als Speicherpfad den gemounteten Ordner wählen.
  • Geräte koppeln: Auf Zielrechnern Syncthing installieren, Geräte-ID gegenseitig hinzufügen und freigeben.
  • Versionierung: Unter Dateiversionierung „Gestaffelt“ mit 30 Tagen wählen, um versehentliche Änderungen zurückrollen zu können.
  • Ignoriermuster: In .stignore typische Cache-/Build-Ordner ausschließen (z. B. *.tmp, ~$*, node_modules/).
  • Leistung: Scan-Intervall für große Ordner auf 10–30 Minuten erhöhen; „Prüfsummen vor dem Kopieren prüfen“ aktiv lassen.

VPN einrichten (WireGuard) – sicherer Fernzugriff

Mit einem VPN verbinden sich externe Geräte verschlüsselt mit Ihrem Netzwerk. Zwei praxistaugliche Varianten:

A) Fritz!Box als WireGuard-Server, Raspberry Pi als Client

  • In der Fritz!Box WireGuard-Verbindung anlegen und Konfiguration exportieren.
  • Auf dem Pi: sudo apt install -y wireguard
  • Konfigurationsdatei /etc/wireguard/wg0.conf aus dem Fritz!Box-Export übernehmen.
  • Starten und aktivieren: sudo systemctl enable --now wg-quick@wg0

B) Raspberry Pi als WireGuard-Server

  • Installieren: sudo apt install -y wireguard
  • Schlüssel erzeugen: umask 077; wg genkey | tee /etc/wireguard/private | wg pubkey | tee /etc/wireguard/public
  • /etc/wireguard/wg0.conf Beispiel (Server):
    [Interface]
    Address = 10.8.0.1/24
    ListenPort = 51820
    PrivateKey = (Inhalt aus /etc/wireguard/private)
  • Client-Eintrag ergänzen (pro Gerät):
    [Peer]
    PublicKey = (Client-Key)
    AllowedIPs = 10.8.0.2/32
  • Router-Portweiterleitung: UDP 51820 an die Pi-IP.
  • Starten: sudo systemctl enable --now wg-quick@wg0. Status: sudo wg show

Über das VPN können Sie die Syncthing-GUI auf http://10.8.0.1:8384 (bzw. Pi-VPN-IP) sicher erreichen.

Sicherheit, Firewall und Updates

  • Syncthing absichern: In den Einstellungen Relay und Global Discovery deaktivieren, wenn ausschließlich LAN/VPN genutzt wird. Zugriff auf die GUI nur aus dem VPN zulassen.
  • UFW-Firewall: sudo apt install ufwsudo ufw default deny incomingsudo ufw allow 22/tcpsudo ufw allow 51820/udp → nur für VPN die GUI: sudo ufw allow from 10.8.0.0/24 to any port 8384 proto tcpsudo ufw enable
  • SSH-Härtung: Schlüssel-Login nutzen, Passwort-Login deaktivieren (/etc/ssh/sshd_config: PasswordAuthentication no), optional fail2ban.
  • Updates automatisieren: sudo apt install -y unattended-upgrades und aktivieren. Syncthing aktualisiert sich über APT.
  • Backup bedenken: Syncthing ist keine Datensicherung. Ergänzen Sie z. B. eine nächtliche Kopie auf eine zweite USB-SSD (rsync) oder ein verschlüsseltes Offsite-Backup (rclone zu S3/Backblaze).

Praxisbeispiele für KMU

  • Team-Ordner: Gemeinsame Projektablage zwischen Büro-PCs und Laptops, offline nutzbar, automatische Versionierung.
  • Standortverbindung: Filiale koppeln: Pi in jeder Niederlassung, Synchronisation nur über VPN.
  • Mobile Mitarbeitende: Notebooks/Smartphones als Peers; sensible Ordner ausschließlich read-only bereitstellen.

Typische Fehler und schnelle Lösungen

  • Ordner bleiben „ausstehend“: Uhrzeiten prüfen (NTP), unvollständige Freigabe oder Rechte auf dem Zielpfad (chown).
  • Langsame Übertragung: LAN statt WLAN nutzen, SSD statt SD-Karte; Scan-Intervall anpassen; VPN-Standort mit ausreichend Upload.
  • GUI nicht erreichbar: Tunnel/VPN prüfen, UFW-Regeln für Port 8384 und 51820, Dienststatus: systemctl status syncthing@USER.
  • Port-Konflikte/Discovery: Bei reinem VPN-Betrieb 22000/TCP und 21027/UDP nicht über das Internet freigeben; Global Discovery deaktivieren.

Kurz-Checkliste für den Start

  • Pi aktuell, Stromversorgung stabil, Kühlung beachten.
  • USB-SSD per UUID einbinden, Rechte auf den Nutzer setzen.
  • Syncthing per systemd aktiv, GUI mit Passwort geschützt.
  • Ordnerstruktur planen, Versionierung aktivieren, Ignoriermuster setzen.
  • WireGuard einrichten, GUI-Zugriff auf VPN einschränken, Firewall prüfen.
  • Backup-Konzept ergänzen und regelmäßig testen.

Sie möchten eine saubere, getestete Umsetzung mit Monitoring und Backup-Konzept? Wir unterstützen Sie von der Planung bis zur Einrichtung – melden Sie sich für eine kurze Beratung.

Das Tech Markenlogo

Ruth-Drexel-Straße 24
81937 München

kontakt@das-tech.de

Das Tech

Über unsKontaktWarum wir?Unsere WerteFAQ

Quick Links

MagazinAktuelle ProjekteImpressumDatenschutz
©DasTech  All Rights Reserved 2024. Licensing
Made by Sitesbydt