Aus Sicherheitsgründen solltest du gar keine Ports vom NAS ins Internet freigeben.
Dazu sollte man einen VPN Zugang verwenden.
In der Vergangenheit kam es durch diese Freigaben immer wieder zu Malware Infektionen und wird hier daher als Sicherheitsrisiko eingestuft.
Da bei den alten Kisten die Listen nicht mehr erweitert werden, halte ich die für begrenzte Sinnvoll.
Laufen werden auch noch größere HDs, also 10er, 12er oder sogar 14er wenn du das Geld ausgeben würdest.
Ich nutze ein USB 3 Dock und meine beiden alten Datenplatten aus dem PC als Backup.
Die kommen in ein Wasserdichtes Case und werden dann extern gelagert.
So habe ich 2 Stände mit allen Daten und die User Ordner sichern jeden Morgen auf eine 2,5er HD die immer dran hängt inkl. Versionierung.
Dann laufen auf dem NAS noch Snapshots für 7 Tage.
Das reicht für meine Belange.
Vor allen wurde das desasta Recovery in der Anfänglichen Bastelphase mehrmals erfolgreich getestet.
Das wird gern vergessen, gehört aber auch zum Konzept dazu.
Dann musst du das Regelwerk zwischen den Netzen kontrollieren.
Denn der LACP überträgt stumpf alles was Layer 2 rein kommt.
Was besagt denn die Warnung genau?
SMART Werte kannst du ja mal als Bild hier posten.
Auch nagelneue HDs können durch einen Schaden auffallen und ausfallen.
Bei mir ist eine von 3 neuen nach kurzer Zeit wegen defekter Blöcke aufgefallen.
Ging dann als DOA zurück und eine neue kam rein, rebuild fertig.
In so einem Fall solltest du dein NAS auf einen funktionierenden DNS Server hin prüfen und ein korrektes Gateway.
Ist das ok, dann ist es mit hoher Sicherheit ein Malware Befall, der als Ursache in Frage kommt.
Papierkorb kontrolliert?
Wenn der aktiv ist wird alles gelöschte hier zwischengelagert und erst nach 90 Tagen wirklich gelöscht.
Das Teil ist ein echt krasses Gateway!
Ob das Teil auch eine VPN Tunnelendpunkt erstellen kann, musst du in der Anleitung oder im Datenblatt finden können.
Ich hoffe das ist dicker als die dort zu findende PDF, die sagt ja mal gar nix aus.
Die Ports einfach so zu öffnen und das NAS damit ungeschützt ins Internet zu stellen, kann ganz böse nach hinten los gehen.
Zugriffsschutz für QNAP Beginner
Wenn die Kiste kein VPN kann, wird es komplexer.
Klar kannst du den openVPN Port auf das NAS freigeben und dann hier einen Tunnelendpunkt aufsetzen, so schön ist das aber nicht, da das NAS darüber wieder direkt angreifbar ist, wenn der Dienst eine Lücke hat.
Zudem musst du dann ein Netz auf die IP des LAN-Port / vSwitch der NAS routen, das dem VPN Server als Internes Netz zugewiesen ist, sonst funktioniert der Rückweg ins VPN nicht sauber.
Geht das alles nicht, kannst du immer noch eine Firewall hinter das Gateway hängen, dahinter dann alle Clients an einem Switch.
Kostet auch Geld, lässt sich für 1Gbit aber machen.
Willst du aber 10G, wird das teuer, da du schon eine richtige Maschine als Host für ne pfSense bauen musst, damit die mit der Masse an Packten fertig wird.
Zudem brauchst du dann richtig gute LAN Karten, wenn du Offloading aktiv lässt.
Willst du alles aufbrechen und deaktivierst das sowieso, spielen die nicht mehr so eine Rolle, da jetzt alles durch die CPU gemacht wird.
Dann brauchst du hier aber ein richtiges Monster.
Wir sprechen hier nicht von 9k Jumbo Frames, sonder von WAN MTUs <1500, da kommen also mächtig viele Packte vorbei und ein jedes muss durch den Zoll.
Sicherheit hat halt ihren Preis.
Kannst deine Daten auch einfach so löschen, geht schneller und kostet deutlich weniger Aufwand!
Mal im Ernst, das einzig sinnvolle hat dir RedDiabolo doch schon genannt, Retour und neue HDs, wenn von WD alle nen Schlag hätten, dann ggf. mal den Hersteller wechseln.
Es kann immer mal eine dabei sein die ne Macke hat, aber bei mehr als einer wird es komisch.
Hat das Teile eine CLI?
Wenn ja, schaue da mal nach dem LACP Status, das steht ggf. mehr als in so einer klicki bunti Oberfläche, wo ein 3 Zeiler zur Klickorgie ausartet.
Ist das ein static oder ein dynamic LACP?
Wenn letzter, dann activ oder passiv?
Denn nur dynamic und dann activ bieten das volle Programm, jeder Port der nicht zum passenden LAG gehört, kommt nicht Up, erst wenn die beiden Enden sich über das Protokolle verständigen können, joint der Port in den Channel und darf Packete schubsen.
Gibt es ein Problem, seit es mit dem Kabel oder der Gegenstelle, und die LACPDUs bleiben aus, fliegt der Port raus und wird auf Wait oder Down gesetzt.
LACPs lassen sich also richtig gut diagnostizieren, so lange es ein dynamic activ LACP ist.
UPnP macht doch lediglich Ports auf.
Das Problem ist der Dienst der auf dem Port läuft, hat dieser eine Schwachstelle, kann man diesen angreifen.
Ist beim Scan des Ports sogar ein Fingerprintig möglich, dann weiß man genau wie man das Ziel angreifen muss.
Das alles passiert inzwischen völlig automatisiert im Internet, daher ist UPnP ein Problem, wenn die Dienste dahinter nicht Updated werden und am besten noch gehärtet sind.
Der eine oder andere betreibt hier auch einen Dienst auf der NAS mit direkter Erreichbarkeit aus dem Internet, ist sich der Sache aber bewusst und zieht den Dienst / die App regelmäßig auf die aktuelle Version.
Also nutze jetzt die Infos hier im Forum, vor allem die Tipps zum Thema Sicherheit solltest du dir anschauen.
Damit sollte so ein Vorfall da nicht wieder passieren.
Die neuen HDs werden erkannt und laufen, das NAS vermisst aber den alten Speicherpool und daher ist der Status rot.
In dem Fall den full Reset durchführen und auf der grünen Wiese anfangen.
Mit der Datentettung kannst du sich am PC beschäftigen. Bei einer Windows Kiste einfach eine Linux VM installieren und dann mal schauen was mit der vom Raidpool noch übrig ist.
Raidpools im laufendem zustand aus einer Bay ziehen kann halt böse enden.
Da ist von jeder Datei 1/4 drauf, das wird komplex.
Kannst die nach dem Ausbau ja an den PC hängen und da löschen lassen, dauert halt.
Wenn noch Garantie drauf ist auf jeden Fall tauschen lassen, so hast du für den nächsten Ausfall vorgesorgt und eine Ersatzplatte.
Andere Möglichkeit, muss der Router aber drauf haben.
Mit QoS oder Trafic Shaping zu arbeiten.
Das ist eine Kanalbündelung mit dem LACP Protokoll 802.3ad und flexiblen Möglichkeiten für den Lastausgleich.
Wenn dein Switch das kann, wovon ich ausgehe, das Datenblatt durchsehen, ist das die beste Lösung.
Wenn du nach QNAP und LACP suchst, findest du sogar Tutorial Videos.
Zudem würde ich mein NAS ins LAN Hängen und keinesfalls in ein Netz mit IOT Schrott, wenn ich das Segmentieren kann.
System und Apps auf die SSD packen und die HDs als Datenfreigabe laufen lassen.
Ohne Cache usw.
Nutzen hier viele so.
Da hilft nur ein Monitor Port am Switch und dann alles mit Wireshark mitschneiden und analysieren.
10.8.0.0/24 ok, wie ist das interne Netz?
Wo ist die Routing Instanz die alle Netze zusammen führt?
Wenn das VPN nicht über diese läuft, sonder auf der NAS, dann musst du da ggf. manuell was routen.
Aber dafür brauchen wir Details deine Netzaufbaus.
Was sagt der der LACP Status der Switchports wenn beide Kabel stecken?
Welche Loadbalancing ist auf NAS und Switch eingestellt? L2 oder L3?
Kontrolliere die Firmware Version vom Seitch, ggf. Updaten.
Das geht auch über VPN.
Die Frage ist, stimmt das Routing?
Die Firewall der VM muss RDP natürlich zulassen, das ist dann notwendig wenn der VPN Pool mit einem eigenem Netz Arbeitet.
