Verschlüsselte NAS-Laufwerke extern mounten

Ich habe hier ein Qnap TS-239 Pro erhalten. Der Besitzer hatte zwei Platten als RAID1 verbaut und diese verschlüsselt. Nach einen Firmwareupdate kann das NAS mit diesen Platten nicht mehr korrekt gestartet werden (kein Zugriff auf das Webinterface und keine SSH-Verbindung möglich, obgleich nmap zumindest die Ports 80 und 443 als offen benennt (22 scheint tatsächlich nicht offen zu sein)).
Auf den Platten befinden sich (wie immer) wichtige Daten. Der Besitzer hatte beim Anlegen der Verschlüsselung ein Keyfile heruntergeladen.

Mein Versuch eine der Platten (sollten ja identisch sein) mit
cryptsetup luksOpen -d keyfile /dev/sdb3 blafa
zu öffnen schlug mit einer Meldung a la "Kein Schlüssel für diesen Passsatz vorhanden" fehl.
Aus cryptsetup luksDump /dev/sdb3 ergab sich, dass es sich bei dieser Partition um eine LUKS-Verschlüsselung (aes cbc-plain) handelt.

Da ich zunächst einen falschen Schlüssel vermutete, rekonstruierte ich die Situation indem ich zwei neue Platten als RAID1 einbaute, für diese ebenfalls die Verschlüsselung aktivierte und den Schlüssel herunterlud.
Anschließend baute ich eine der Platten wieder aus und probierte diese w.o. einzubinden -> gleiche Fehlermeldung.
Daraufhin startete ich das NAS erneut und lud den Schlüssel nochmal herunter.
Hierbei stellte ich nunmehr fest, dass ich bei jedem Download einen anderen Schlüssel erhielt!?

Da das NAS mit den "wichtigen" Platten nicht korrekt bootet, bleibt mir nur diese außerhalb des NAS zu entschlüsseln und hierfür benötige ich die Info wie Qnap Cryptsetup und die Schlüsselverwaltung implementiert hat.
Eine Verbindung per SSH und der Aufruf von mount ergab u.a. ein /dev/md0 auf /share/....
Auch das Verzeichnis /dev/mapper enthielt lediglich control und md0.
Ein cryptsetup status md0 ergab wiederum:
/dev/mapper/md0 is active:
cipher: aes-cbc-plain
keysize: 256 bits
device: /dev/md0
...
Kann mir bitte jemand mitteilen, wie ich die verschlüsselten Partitionen extern eingebunden bekomme (muss ich wider Erwarten aus beiden Platten zunächst mit mdadm ein RAID1 basteln?).

Vielen Dank im Voraus

Donde

Hi David,
vielen Dank für deine Antwort.
Der Port 80 und auch 8080 sind laut nmap offen (sowie die üblichen Verdächtigen). Aber alle Versuche auf 80, 443, 8080 schlagen fehl. Nicht einmal per Telnet ist eine Reaktion zu erzeugen.
Ich habe ebenfalls versucht von jeder Platte alleine zu starten -> gleicher Fehler.
Mir ist aufgefallen, dass die Formatierung der "alten" und "neuen" Platten unterschiedlich ist.
Demnach wurde bei den alten Platten noch eine Swap-Partition erstellt (0x82). Bei den neuen werden alle Partitionen als (0x83) ausgeworfen.
Vielleicht ist das der Default bei der aktuellen Firmware und diese hat Probleme mit der alten Aufteilung (ich klammere mich an jeden Strohhalm ;-).
Ich werde mal von den neuen Platten booten, die Firmware downgraden und es nochmal versuchen.
Das Widerliche ist auch, dass die im AdminCP eingegebene Passphrase offensichtlich ebenfalls nicht direkt an cryptsetup durchgereicht wird. Zumindest kann ich die neuen Platten, von denen ich das Passwort ja definitiv kenne auch nicht mit cryptsetup luksOpen /dev/sdb3 blafa -> Passworteingabe einbinden.
Da habe ich eine (bzw. zwei) mit cryptsetup gecryptete Platten, kenne das Passwort und den Key (jeweils aus dem AdminCP) und komme trotzdem nicht an die Daten.
Da muss es doch noch eine Lösung geben.

Donde

So geschafft
Nach einem Firmware-Downgrade und Reset war es möglich wieder bei Anwesenheit einer der Platten zu booten.
Anschließend Neueinrichtung ohne die Platte zu initialisieren -> Reboot -> Platte wurde erkannt und konnte mit Key decryptet werden.
Externe Platte angeschlossen, per ssh aufs NAS gegangen (wollte keine Risiken eingehen) und die Daten kopiert.

Lieber David vielen Dank für deine Hilfe und schönes Weihnachtsfest, auch wenn es noch ein wenig hin ist.
Gruß
Donde