NAS DAU bittet um Hilfe :-) Erstes NAS ever...

    Hallo alle


    Ich habe versucht, mich redlich in die Materie einzulesen, habe Vergleich zu Synology gelesen, hier im Forum schon einiges zu den Festplatten gelernt und bin nun wild entschlossen, als Hardware-DAU dennoch in die Materie einzutauchen - und hoffentlich nicht abzusaufen...


    Wozu brauche ich es? Ich habe einen Windows Laptop, den ich regelmäßig auf eine externe Festplatte (genauer auf zwei) sichere und eine der Sicherungen liegt im Banksafe. Dazu habe ich noch eine weitere Festplatte, auf der ca. 160 GB Musik als Sicherung liegen, auch diese wird immer mal zusätzlich gesichert. Ich denke also, dass ich sicherungstechnisch ok bin.


    Ich habe zig GB Fotodateien, auf die ich gerne Zugriff hätte und außerdem möchte ich auf die Musik ohne weiteres anklemmen des Players (iBasso) auch zugreifen können. Und, für mich sehr interessant, ich möchte auf aus dem Urlaub z. B. Fotos auf "meine" Cloud laden können, also Sicherungen der Handy/GoPro/etc.-Fotos. Und irgendwann verstehe ich dann vielleicht auch mal, warum und wie man über eine NAS streamt (also Filme, oder?).


    Da die Clouds bzgl. der Fotos/Videos alle irgendwie doof sind (zu wenig Platz, falsches Land, Kosten), bin ich auf die Idee mit dem NAS gekommen. (Lacht jetzt jemand?)


    Mein Plan, soweit ich es so nennen kann: Kauf eines TS-230, Kauf zweier Platten, alles hübsch installieren, im Wohnzimmer neben den Router stellen, LAN Kabel dran, irgendwie die ganze Mucke und die Fotos auf das NAS schubsen und dann das NAS noch über die Fritzbuxe für mich von außen zugängig machen.


    Ich hoffe, das klingt jetzt nicht total albern, aber das ist wirklich das, was ich gerne hätte.


    Fragen:

    Macht das Sinn?
    Welche Festplatten sollte ich nehmen? Ich dachte an 4 oder 6 TB und frage mich, ob ich wegen irgendwas, das sich "CMR" nennt, diese Pro-Platten von WD nehmen sollte. Ich möchte WD, weil das Ding im Wohnzimmer steht und ich es gerne leiser hätte.

    Kann ich das NAS wie gedacht über die Fritzbux für mich als "Cloud" zur Verfügung stellen ohne, dass die halbe Welt da auch drauf zugreifen kann?


    Ich entschuldige mich schon mal lieber vorab für diverse doofe Fragen und gelobe auch weiterhin, möglichst viel nachzulesen, aber ich bin halt echt keine Hardwaretante sondern nur doofe Business Anna-Lise ;)


    So, ich hoffe, ich habe alles Relevante angegeben und freue mich nun auf Eure Hilfe!


    Grüße, Michaela

    Zitat von semisecco

    Und, für mich sehr interessant, ich möchte auf aus dem Urlaub z. B. Fotos auf "meine" Cloud laden können, also Sicherungen der Handy/GoPro/etc.-Fotos.

    Ab hier geht dann der Alarm


    Security - Das NAS offen im Internet


    Also Zugriff aus dem WAN am besten nur via VPN(kostet nix.. Server läuft Zuhause) oder via Dropbox,Onedrive,etc



    Der andere Plan, das NAS im Heimnetz zu betreiben ist ja normal .. da ist ein NAS ja für da.


    Aber gut das vorher gefragt wurde .. viele machen einfach (wird ja von QNAP noch immer vollmundig versprochen) .. und wenn dann alle Dateien gegen Lösegeld verschlüsselt sind ist das Geschrei gross

    Zitat von dolbyman

    Also Zugriff aus dem WAN am besten nur via VPN

    Erstmal Danke für die ganzen Hinweise, das war hilfreich und wichtig zu wissen. Meine Fritzbox 7590 kann lt. Webseite VPN und da wir nur zu Zweit Zugriff darauf bräuchten, wäre es auch nicht so wild es auf 2 Handys oder einen weiteren Tablet einzurichten (hoffe ich mal).

    Aber reicht das Deiner Meinung nach, also sicherheitstechnisch?

    Danke!

    Zitat von semisecco

    Aber reicht das Deiner Meinung nach, also sicherheitstechnisch?

    Das brauchst Du ihn nicht fragen, der Bengel kennt die Fritten nicht ;):P


    Meiner Meinung nach reicht das aber auf jeden Fall.

    Hier habe ich mal was dazu geschrieben, da sind auch so ein paar kleine Fallen aufgezeigt:

    Sicherer Fernzugriff auf das NAS und LAN mittels VPN - Ein kleiner Überblick

    Danke, das sieht ja dann ganz gut für mich aus. Ich muss in das Thema nochmal abtauchen.


    Gibt es bezüglich der Wahl der Platten noch etwas zu sagen? Ich bin ja nicht sicher, ob ich diese "Pro" Platten nehmen sollte (wegen diesem ominösen CMR-Ding), oder ob die WD Red auch so reichen.

    Wäre prima, wenn hier noch jemand einen Tipp oder Hinweis hätte, danke!

    CMR non Pro sind Plus ... Also WD Plus wenn nicht Pro


    Oder halt was von Toshiba ..hier bekomm ich 8TB Toshiba NAS für den Preis von 6TB WD Plus

    Zitat von semisecco

    Meine Fritzbox 7590 kann lt. Webseite VPN

    Ja kann die, aber das ist eine total veraltete Implementierung.


    Wenn es was gescheites sein darf, dann kannst du mit einem Mikrotik HEX oder eine pfSense/OpenSense da deutlich mehr machen.

    Auch Wireguard ist damit möglich oder halt auch eine IPsec IKEv2 Implementierung, bei der du das VPN im Win 10/11 mit 2-3 Zeilen Powershell einhängst.


    Nebenbei kannst du dann bei der Sense mit pfBlockerNG noch einen DNS Block implementieren, der bei Auswahl der passenden Listen, so ziemlich jeden bösen Mist aus deinem Netzwerk fern hält.

    Lass dir keine Angst einjagen, L2TP/IPSEC bei der Fritzbox ist sehr sicher. Es werden AES Chiffren verwendet und das Gerüchten zufolge (kein Witz) die NSA es schaffen kann das zu knacken. Aber ob die deine Daten interessieren bezweifle ich.


    Ferner ist es sehr einfach das ganze auf dem Handy einzurichten und meistens nur einen Knopfdruck entfernt , wenn es dann einmal eingerichtet und gespeichert ist .

    Anleitungen findest du zu Hauf im Netz. Der Rest den Crazyhorse empfhielt (sorry Crazy) ist mehr was für IT Leute die Wissen was sie machen.

    Achso bei der Fritzbox bitte die neuste Version benutzen.


    Wenn nun einer meint Blödsinn der kann es beweisen in dem er sich in mein VPN einklinkt. Der Honigtopf freut sich :)

    Dann schaue mal bitte was das BSI bezüglich IKEv1, AES256, SHA512 DH2 und Aggressive Mode in Phase 1 sagt.


    Das war vor 15 Jahren mal ok, aber nicht 2021 bald 22. Für Privat ist es jedem selber überlassen, aber wenn hier dann doch mal Firmendaten die mit der DSGVO in Verbindung stehen liegen, sieht das gleich wieder ganz anders aus.

    Zitat von unos

    ist mehr was für IT Leute die Wissen was sie machen

    Man sollte schon wissen was man macht, auch wenn man einen Router einrichtet, ein WLAN einrichtet, wenn man ein NAS einrichtet und auch wenn man einen VPN Zugang erstellt.


    Mein Schwiegervater hat einen 7590, da ist VPN vom Handy mit dem klick erledigt. Aktuell will aber weder der AVM eigene kram noch der alte Shrew Soft einen nutzbaren Tunnel aufbauen.

    Debug ist bei AVM jedenfalls nicht möglich, weil keine gescheiten Logs angelegt werden.

    Oje klingt mehr so als wenn ich dir auf die Füße getreten bin.


    Zeigst du mir bitte den Passus beim BSI das man IPSEC für Firmendaten mit DSGVO nicht benutzen darf.


    Leg mal testweise einen anderen User an und eine neue VPN Erlaubnis und teste mit einem anderen Handy.

    Ich gehe davon aus das du erweiterte Support Daten erstellt und gespeichert hast ?

    Was meinst du genau mit nutzbarer Tunnel, was klappt nicht ?



    Nachtrag: Hat dein Schwiegervater Kabel oder ist im Vodafone Netz ?

    Einmal editiert, zuletzt von unos ()

    Öh.... Danke!! Ich bin echter DAU, was das angeht, also war die erste, sicher gut gemeinte Erläuterung von Crazyhorse, nun ja, äh - wie tibetanisch für mich.


    Grundsätzlich gebe ich ihm auch Recht, man sollte ansatzweise wissen, was man macht. Aber gehen wir mal von einem Otto (oder eine Ottilde) Normal aus, auch im Jahr 2021, da hört das Wissen noch früher auf als bei mir.


    Ich werde mich noch mehr in die VPN Sache einlesen, was die Fritzbox betrifft. Ich glaube aber momentan, dass unos mich ausreichend beruhigt hat :)


    dolbyman Sind die Toshiba nicht lauter als die WD? Ich meine, ich hätte das hier im Forum gelesen... Und wie geschrieben, das Ganze steht später in einem kleinen Wohnzimmer...


    Zu den WD: Also könnte ich unbesorgt die Plus bestellen und muss nicht Pro wählen, war das so gemeint?


    Wie gesagt, Danke euch allen, hilft mir wirklich sehr! Und auch Danke für Eure Geduld, hat ja nicht jede(r).

    BSI Grundschutz sagt dir etwas? ISO 27001, schaue in Dokument mal auf Seite 50.


    Zitat von BSI Grundschutz (PDF Dokument)

    • Den Kern bilden die in drei Gruppen unterteilten Sicherheitsanforderungen:
    – vorrangig zu erfüllende Basis-Anforderungen,
    – für eine vollständige Umsetzung des IT-Grundschutzes und eine dem Stand der Technik gemäße
    Sicherheit zusätzlich zu erfüllende Standard-Anforderungen sowie
    – Anforderungen für den erhöhten Schutzbedarf.

    Da kann sich dann jeder raussuchen was er erfüllen muss, sollte und was man nicht tun sollten und auf gar keinen Fall tun darf.



    Wenn es um IPsec geht dann TR-02102-3.


    Ich hatte nicht geschrieben das man IPsec als Firma nicht nutzen darf, man muss sich jedoch hier an den Stand der Technik halten.


    Da es immer um den Stand der Technik geht, und IKEv1 schon seit langem durch IKEv2 abgelöst wurde, ist das jetzt quasi das was man einsetzen sollte.

    In der TR geht es dann noch um konkrete Empfehlungen für die DH Group, das ist dann aktuell eine Brainpool Kurve die man einsetzten sollte, DH14 ist aber bis dieses oder nächsten Jahr auch noch ok.

    Meine Mobile Client Zugänge sind auch noch AES CBC 256, SHA256 DH14, dass muss ich dann auch noch mal auf DH2x umstellen. Der erste Versuch hat jedenfalls auch nicht spontan funktioniert. Was für einen verregneten Wintertag.


    Zudem ist IKEv1 immer sehr fehleranfällig, IKEv2 ist deutlich besser und vor allem in einer einzigen RFC4306 definiert, das beseitigt ganz ganz viele Probleme die man mit IKEv1 hatte.

    http://www.informatik.hs-furtw…8/IKEv1_vs_v2_handout.pdf


    Ich habe es mit dem User vom Schwiegervatter probiert, ich habe hier eine VM aufgesetzt und einen neuen User angelegt, in der VM sowohl den Shrew Soft als auch die AVM Tools versucht. Noch einen weiteren reinen Testuser angelegt, immer das gleiche.


    Der Tunnel versucht den Aufbau, dann bekommt man auch eine Responder SPI im Wireshark zu sehen, dann passiert aber nix mehr.


    Aber es ist eine 7590, die Konfig wurde meine ich aus einer 7490 übernommen.


    Ggf. müsste man die noch mal komplett killen und alles neu machen. Das haben wir noch nicht versucht, könnten wir noch mal machen.



    Aber es kann auch mit dem VPN jeder halten wie er will, genauso wie jeder auch weiterhin sein NAS über das WAN erreichbar machen kann.

    Darf dann aber im Nachgang aber nicht heulen, wenn alles verschlüsselt wurde.


    Ja das AVM Zeugs ist für den normalen User ein anschließen und läuft Ding.

    Wenn es aber dann um so was wie VPN geht, rufe doch mal bei AVM im Service an und frage nach wann die da mal wieder den VPN Part pflegen. Da bekommst du dann sehr beschämte Antworten am Telefon. Ja weiß ich, das hat aber bisher keine Priorität, da ist das Thema WiFi 6 und IoT erstmal wichtiger.

    Ist ja auch nur Beiwerk für AVM, ja VPN können wir auch, zack fertig.

    Schaue doch mal welche Kisten AES in Hardware können, das sind erst die Kisten aber der 65/75er Generation oder neuer. Alles davor hat das rein in Software gefahren. Wann kamen die Dinger raus, 2017? Ok sind ja auch erst 4 Jahre, das reicht noch nicht um mal ne aktuelle Version vom IPsec um zu setzen.


    Warum gibts OS Mods für die Dinger, die dann Wireguard einbauen?



    Ja ich habe mit dem Zeug Beruflich zu tun, daher habe ich da eine andere Sichtweise auf die Dinger, vor allem wenn du ständig im Kontakt mit dem Informations Sicherheits Beauftragtem bis.



    Zitat von semisecco

    Und wie geschrieben, das Ganze steht später in einem kleinen Wohnzimmer...

    Das ist immer ein Problem, die klackern, kratzen und rattern auch wenn du was mit dem NAS anstellst oder auch wenn hier ein Job vom cron gestartet wird.

    Für einen gemütlichen Abend auf dem Sofa, ein wenig Musik im Hintergrund könnte das Teil auch mit ganz leisen HDs zum nogo werden.

    Kommt halt drauf an wie sensibel du/ihr auf die Geräusche reagiert.

    Aber da sind vermutlich die WDs momentan das leiseste was man bekommen kann.


    Toshiba baut auch gute HDs, aber die sind da im Bereich 7200 RPM angesiedelt wenn es um NAS HDs geht und dann sind die schon mal lauter, weil die schneller drehen. Bei den Server HDs, die haben den besten Pries pro TB, spielt die Lautstärke gar keine Rolle, die sind dann wirklich laut, rennen aber wie doof und kosten dafür am wenigstens pro TB.

    Ok ich antworte nur noch einmal und lass mich auf mein Boot, mein Haus usw danach nicht mehr ein.


    Schau mal was die Telekom z.b. zur Hybrid Cloud für Unternehmen usw. schreibt und was für ein Protokoll das ist (ich sags dir IPSEC), Ferner was das BSI empfiehlt und was da genau zu IKEV1 steht, klar ist V2 besser das bestreitet niemand. Aber V1 ist kein Beinbruch

    Für wirklich große sicherheitsrelevante Unternehmen würde ich es auch nicht empfehlen, da die Gegenspieler auch andere Ressourcen haben.


    Zitat von BSI IPSEC

    Diese Technische Richtlinie (TR) gibt Empfehlungen für die Verwendung von kryptographischen Mechanismen in den Protokollen IPsec (Kurzform für Internet Protocol Security) und IKE (Kurzform für Internet Key Exchange). Sie enthält ausschließlich Empfehlungen für die Version 2 des IKE-Protokolls (IKEv2). In dieser TR werden keine Aussagen zu IKEv1 getroffen; die Verwendung des neueren Protokolls IKEv2 wird für Neuentwicklungen grundsätzlich empfohlen. IKEv2 besitzt Vorteile gegenüber IKEv1, die aber hauptsächlich mit der Komplexität des Protokolls und der benötigten Bandbreite beim Aufbau einer Security Association (siehe auch weiter unten) zu tun haben.


    Zitat von Crazyhorse

    Ja ich habe mit dem Zeug Beruflich zu tun, daher habe ich da eine andere Sichtweise auf die Dinger, vor allem wenn du ständig im Kontakt mit dem Informations Sicherheits Beauftragtem bis.

    Da bist du nicht alleine, wobei ich war schreiben muss. Ich denke du weißt welche Sicherheitssysteme Notare, Rechtsanwälte haben müssen.



    So nun bin ich raus und helfe nur noch bei deinem Schwiegervater.

    Hattest du die Zeile mit Kabel und Vodafone noch gelesen ?

    Ferner brauchst du für die Einrichtung keinerlei Tools auf der 7590 für ein Handy

    Ich trau' mich fast gar nicht nochmal auf meine Fragen hinzuweisen...ich hol' sie einfach nochmal aus der obigen Schublade:


    Sind die Toshiba nicht lauter als die WD? Ich meine, ich hätte das hier im Forum gelesen... Und wie geschrieben, das Ganze steht später in einem kleinen Wohnzimmer...


    Zu den WD: Also könnte ich unbesorgt die Plus bestellen und muss nicht Pro wählen, war das so gemeint?

    Durch die höhere Drehzahl werden die Toshiba schon was lauter sein .. wobei die Zugriffsgeräusche wohl eher als störend empfunden werden.


    Wenns um reine Lautstärke geht, würd ich dann auch WD Plus sagen

    Es gibt neben den Server HDD von Toshiba noch die speziell für NAS entwickelte Serie N300, die sind recht leise, habe selbst 6 Stück davon in meinem Haupt-NAS.

    Zitat von Crazyhorse

    Ja kann die, aber das ist eine total veraltete Implementierung.

    Haben die Fritzboxen nicht kürzlich ein Update bekommen, bei dem auch das VPN signifikant überholt wurde? >7.21 oder so?


    Man kann auch mit einem Raspberry bequem einen Wireguard Server erstellen.

    In der folgenden Anleitung ist das gut erklärt und es ist wirklich nicht sooo schwer.

    -> https://youtu.be/lnYYmC-A4S0

    Einmal editiert, zuletzt von Tonictrinker1 () aus folgendem Grund: Edit1: Wireguard