Beiträge von Zappermaster

Das eigentliche Problem ist ja, dass der Netzwerkadapter 2 solange unerreichbar bleibt, bis ich ihn manuell über einen Ping per SSH (über Netzweradapter 1) wieder aufwecke. Ich hab das jetzt mit folgenden Befehlen in der autorun.sh in Form eines Dauerpings an den entsprechenden Rechner gelöst:

#!/bin/bash
touch /var/run/utmp
export TERM=xterm-xfree86
screen -d -m ping X.X.X.X

Nachdem ich jetzt ein bisschen mit den zwei Ethernet Adaptern herumexperimentiert habe, ist mir aufgefallen, dass der Netzwerkadapter 2 generell nur auf gewisse IPs per Ping, Weboberfläche etc. antwortet. Sobald ich per SSH vom QNAP einen Ping in Richtung eines Client starte beginnt das QNAP Anfragen von diesem Client über Netzwerkadapter 2 zu beantworten. Der Zugriff funktioniert von diesen IPs zumindest bis zum nächsten Reboot. Im Detail betrachtet scheint diese Einschränkung erst nach dem Start von Netzwerk und virtuellem Switch aufzutreten. Hat jemand eine Ahnung woran das liegen könnte?

Ich habe hier ein QNAP TS-543D und seit dem letzten Firmware Update (5.0.0.1932) folgendes Problem:

Netzwerkadapter 1 hängt an einem Switch und ist mit dem allgemeinen Netzwerk verbunden.

Netzwerkadapter 2 wird für eine 2.5 Gbps Direktverbindung per Cat5e zu einem Rechner verwendet.

Wenn dieser Rechner nun in den Standbymodus geht erkennt das QNAP den Netzwerkadapter 2 als 10Mbits anstatt getrennt.

Nachdem der Rechner wieder gestartet wird zeigt dieser zwar eine aktive Verbindung an, dass QNAP reagiert aber am Netzwerkadapter 2 solange nicht auf anfragen (PING, SAMBA etc,...) bis ich mich per Netzwerkadapter 1 über die Weboberfläche anmelde und die Netzwerkeinstellung aufrufe oder per SSH einsteige und einen Ping zum Rechner starte der am Netzwerkadapter 2 angeschlossen ist.

Dieses verhalten is neu seit dem Update auf FW 5.0.0.1932.

Kann man das wohl manuell irgendwie beheben? Ich habe schon überlegt ein Ping Script laufen zu lassen würde mich aber über eine sinnvollere Lösung freuen.

Danke schonmal!

Kurzes Update. Nachdem ich das Netzwerk per 3 Sek. Reset zurückgesetzt habe funktioniert alles auch nach Konfiguration fester IP Adressen solange ich nicht die MTU auf Jumbo Frame 9000 setzte. Wenn ich bei MTU 1500 bleibe funktioniert alles auch nach einem Reboot. Ich vermute ein Problem mit den Realtek Treibern in der aktuellen FW.

Läuft euer System nach dem Downgrade wieder stabil? Ich bin unsicher ob ich das wagen soll...

Die Frage ist auch Downgrade auf 4.5.2.1605 build 20210312 oder 4.5.2.1594 build 20210302.

Bei mir ist übrigens das 3 Sekunden Reset erfolgreich aber wenn zuviel Einstellungen geändert werden gehen die Ethernet Adapter auf getrennt.

Über ifconfig ethX down / ifconfig ethX up lassen sie sich allerdings starten...

Nach dem Update meines TS 453-D zeigt der zweite Ethernet Adapter "getrennt" an und funktioniert scheinbar nicht obwohl die Kontroll LEDs leuchten und die Gegenstelle eine Verbindung anzeigt. Ansonsten läuft QTS seit dem Update gefühlt deutlich schneller.

Mod: Zitat ohne Quellenangabe ... korrigiert! Forenregeln und Die Zitat Funktion des Forums richtig nutzen

Zitat von klabar

- Es gibt einmal die System Root Partition (/dev/md9), die wird automatisch vom System über ALLE Festplatten und SDDs als RAID1 angelegt. Da geht erst etwas verloren, wenn alle Festplatten und SSD ausfallen.

- Das System-Volume wird auf dem ersten Benutzer-Volume angelegt. Unter Speicher/Snapshots wird hinter einem Benutzer Volume "(System)" angezeigt. Wenn das ein ungespiegeltes Volume ist, ist das nicht wirklich günstig. Aber auf dem System-Volume liegen meist "nur" APPS und deren Daten.

Ok. Ja das hilft schonmal sehr. Mit APPS und deren Daten sind vermutlich installierte Apps gemeint die gezielt auf dieser Platte abgelegt wurden(Qumagie, Qsirch etc.) oder auch teile des Systems wie z.B Ressourcenmonitor, Benachrichtigungszentrale oder ähnliche? Was passiert also tatsächlich nach dem Ausfall der Systemplatte? Das System macht ein Rebuild von /dev/md9 auf der Ersatzplatte und bootet das System regulär mit erhaltener Konfiguration aber ohne der auf der Systemplatte installierten Apps und deren Daten?

Auch eine Möglichkeit.... ich hab eher an irgendein schlankes Tool gedacht, dass eventuell direkt am Qnap laufen könnte. Mit PRTG funktioniert die Überwachung per SNMP natürlich einwandfrei...

Gibt es eine einfache Möglichkeit die durchschnittliche CPU Last über eine Woche aufzuzeichnen und darzustellen? QCenter hab ich schon probiert aber das verursacht selbst +15% zusätzliche CPU Last. Bei Openmediavault war so eine Darstellung möglich ohne wirklich Ressourcenzu verbrauchen...

Gibt es eine Möglichkeit die Bilder bei QuMagie in der Weboberfläche in Originalgröße anzeigen zu lassen? In der iOS bzw. Android App ist das ja auch mögölich...

Was passiert eigentlich bei einem Totalausfall der Systemplatte? Ich nehme an das QTS wird auf einer verbleibenden Platte wiederherstellt... Sind die Daten der anderen Platten normal lesbar und nur die Einstellungen weg sofern die anderen Platten nicht verschlüsselt waren und Statische Volumes - Einzellaufwerke - kein Raid?

Also die Daten die ich freigeben möchte müssen weder verschlüsselt übertragen werden noch sind Zugriffsbeschränkungen erforderlich. Geheime Inhalte in dem Sinn gibt es nicht wirklich. Es kann da schonmal um einige 100GB an Daten gehen die temporär schnell zur Verfügung gestellt werden sollen. Mir würde es reichen wenn der Webserver nur nicht als Eintrittskarte dienen kann um das Nas zu übernehmen oder auf andere nicht per Docker - Caddy freigegebene Daten auf dem Nas zuzugreifen. Die NAT Whitelist zu Cloudflare würde ich nicht über die QNAP Firewall sondern direkt über den Router - Unify USG realisieren.

Wenn man den OpenVpn Access Server über Docker am laufen hat bekommt man die aktuelle Version, 2048bit samt Multifaktor über Google Auth direkt am Qnap. Damit unterscheidet sich die Variante ja faktisch wenig von einem extra Netzwerkdevice mit einem aktuellem OpenVPN Access Server und ist vermutlich dem auf einigen Routern vorhandenem OpenVPN Zugang mit eingeschränkten Einstellungsmöglichkeiten überlegen. Den einzigen Vorteil bei der Nutzung des OpenVPN über den QVPN Dienst sehe ich in den möglichen Email Benachrichtigungen bei Zugriff. Aber 1024bit Zertifikate halte ich für keine Option und Kompression sollte schon deaktiviert sein.

Was wären denn denkbare Angriffssszenarien an einen Caddy Webserver in Docker der nur von Cloudflare IPs direkt erreicht werden kann und auf dem keine Scripte laufen?

Und ja... 6x1TB könnte man sich zb über 365Family und Onedrive oft schon ab 50 Euro pro Jahr im Angebot holen.

Man kann auf dem USG manuell einen OpenVpn Server installieren. Ich vermute aber ein OpenVPN Access Server in Docker auf dem Qnap mit Google Authenticator Multifaktor Authentifizierung ist sicherer.

Der Webserver soll eigentlich der schnellen, unkomplizierten Freigabe von grösseren Zip Dateien zb. Gopro Videos für Freunde und Familie dienen. Es sollen auf dem Server als nur. zip Dateien und basale. html Dateien liegen. Damit sollten doch die Angriffsmöglichkeiten beschränkt sein... z.B. code injection ohne PHP oder?

Cloudflare gibts ja in der Basisvariante gratis. Wie wärs mit einem Caddy Webserver als Docker Image und das ganze reverse über Cloudflare mit Cloudflare Only Whitelist am Router NAT.

Ich benötige einen Webserver zur Freigabe von spezifischen Dateien für Bekannte auf meinem Qnap.

Nun bietet so ein Webserver per se ja theoretische Angriffsstellen die ein Sicherheitsrisiko für mein Netzwerk darstellen.

Wäre es sinnvoll den Zugriff auf den Webserver nur per Cloudflare (mittels Whitelist auf der Firewall für das NAT) als eine Art Reverse Proxy zu erlauben?

Wären damit die systembezogenen Angriffssflächen für die jeweilige Applikation wie z.B.: Nginx oder Apache eliminiert?

Gibt es eine Möglichkeit einen OpenVpn Server mit zusätzlicher Authentifizierung per Google Authenticator und einer Email Benachrichtigung bei jeder Verbindung auf dem Qnap zu realisieren?

OpenVpn + Google Auth MultiFA wäre mit einem OpenVPN Access Server per Docker möglich.

Email Benachrichtigung bei einer Verbindung geht glaube ich nur mit einem OpenVpn Server über QVPN. Hier ist glaub ich wieder Google Auth nicht möglich soweit ich weiss.

Weiss jemand wie aktuell die OpenVPN Version in QVPN so gehalten wird im Vergleich zum OpenVPN Authentication Server?

Der Tunnelendpunkt wäre auf dem NAS. Der Port wird per Unifi USG weitergeleitet.

Spricht irgendetwas dagegen das NAS per NAT ausschließlich per OpenVPN ins Netz zu hängen?