Beiträge von Crazyhorse

    Die habe den Bug vermutlich mit der Version vom 17.12.21 geschlossen.

    Da gabs es auch eine Rundmail von QNAP zu, das hier ein kritisches Update raus ist.


    Da hätte die Auto Update Funktion ggf. helfen können.

    Aber die kann halt auch mal einen Dienst funktional killen.

    HD ans NAS ran und dann Backup aller Daten.

    NAS sauber runter fahren, HDs raus, neuer HD Satz rein.

    NAS neu einrichten, Daten von externer HD wieder rüber ziehen.


    Geht was schief hast du den alten Raidsatz inkl. aller Daten noch.

    Also erstmal gut aufheben bis alle Daten wieder drauf sind.


    Dann kannst dir den Kopf zerbrechen wie du 32TB Daten für die Zukunft sichern kannst.

    Hast schon mal mit dem Backup alles richtig gemacht, Top!


    Hast du noch eine alte HD rumliegen, mit dem du das NAS mal neu aufsetzen kannst um zu schauen ob es dann auch wirklich sauber ist.

    Nicht das du gleich deine ganze HD Farm wieder rein steckst um dann zu merken, verdammt das Zeugs ist ja immer noch da und du kannst wieder x HDs extern killen.


    Wireguard läuft ja auch auf einem Pi4 wirklich gut, der hat inzwischen GBit direkt per PCI integriert, ist aber leider auch nicht mehr lieferbar, der würde sich als Einwahlpunkt gut machen, wenn dein Router das nicht kann.


    Aktuell darf man wirklich nur noch sauber gehärtete Dienste, sprich Firewall Appliances ins Internet hängen und hier ggf. nen reverse Proxy drauf packen und dann von dem weiter ins Interne Netz.

    Ein altes oder nicht sauber gehärtetes Paket reicht scheinbar inzwischen schon aus, das man effektiv angegriffen wird.


    Kannst dich noch an die QVPN Version erinnern, die installiert war?

    Warum zwei Win 10 VMs?

    Weil mal 2 PCs da waren und jetzt jeder auf seiner VM rumschrauben soll?

    Per RDP könnten ggf. mit der passenden Lizenz mehrere Leute auf einer VM arbeiten.

    Das spart massiv Ressourcen.


    Wenn Geld keine Rolle spielt, dann eine gescheite Glasfaser für den Internetzugang irgendwas im Bereich 1000/500MBit und du kannst Backups einfach verschlüsselt in die Wolke schieben.

    Dann ist es egal ob deine Bude brennt, wegschwimmt oder im Urlaub von nem Ateroiden gekillt wird, die Daten sind weiterhin da.


    Was die Firewall angeht, ja das wird es komplexer, da sollte man sich mit den Grundlagen schon echt gut auskennen, ob es jetzt ein OPNsense ist, eine pfSense (würde ich vorziehen, die erste ist teilweise total verbaut in der GUI und man sucht sich das teilweise zusammen, vor allem wenn es ums integrierte Logging geht).

    Oder was ganz anderes wie ne Foritgate, Sophos, Firepower usw. die ziehen dann noch Lizenzkosten hinter sich her, haben dann aber ggf. noch mal mehr zu bieten was IDS/IPS angeht. Wobei ich davon im privaten Umfeld die Finger lassen würde und dann sind wir wieder bei der pfSense mit ihrem pfBlockerNG. Hier die richtigen Listen rein und du wirst das ganze böse Zeugs was einem normalen User so im Internet über den Weg läuft nicht mehr erreichen können. Da hier IP und DNS Listen das blocking übernehmen. Zudem kann das auch eine ganz kleine Hardware stemmen, so laufen bei meinen Eltern auf dem SG-1100 die gleichen Listen (fast 200k effektive Einträge) wie hier und das kleine Teil erledigt das spielend.


    Für alle Listen die es so gibt, brauchst dann aber schon was mit 8GB Ram.


    Ja man kann auch eine Firewall als VM aufsetzen, aber da sollte man den Hypervisor sehr genau auswählen, braucht einen mit genug Netzwerkkarten, denn die Firewall will die NICs am liebsten direkt bis in die VM durchgeschliffen. Sonst leidet die Performance schon massiv, wenn wir damit in den Bereich von 1GBit oder mehr Durchsatz wollen.

    Als kleiner aber sehr Leistungsstarker Hypervisor bietet sich so was wie ein Intel NUC an, da gibts auch Modelle mit 2 NICs sogar mit 2,5G und dann ist das auch eine super Firewall Appliance wenn man in dem Bereich auch Durchsatz haben will. Wobei ein i3 oder i5 der 11Gen oder neuer braucht im Grund schon wieder 10G NICs bei der Leistung die er mitbringt, dann wird das finden der passenden Hardware schon wieder in Richtung basteln oder mehr Geld für was fertiges in die Hand nehmen verschoben.


    Dann muss ein zentraler Switch inkl. strukturierter Verkabelung her, das jedes System was Power hat und benötigt auch mit 10G angeschlossen werden kann und schon sind wir im schlimmsten Fall bei einer Kernsanierung.

    In dem Fall aber auch bitte an gescheite Punkte im Bereich der Decke für APs denken. Ja die meisten Hersteller legen für Deckenmontage aus, weil der AP so die meiste Fläche mit hoher Signalstärke abdecken kann, also eine Doppeldose in 2,45m an die passende Position in der Wand oder gleich in die Decke integrieren. Ja da gibts auch integrierbare Modelle, die verschwinden dann zum Teil in der Decke, was aber wieder nicht optimal für die Abstrahlung der Antennen ist.

    Hier einfach mal einen Blick in das ui.com Portfolio werfen, die kann man mit dem Key als Kontroller auch sauber im Heimbereich bezahlbar als Infrastruktur inkl. fast Roaming betreiben und bis zu 8 SSIDs in verschiedene VLANs hängen. Reicht das nicht, können die auch WPA2 Enterprise und man kann sich über Radius anmelden und noch mehr VLANs an die Anmeldung hängen.


    Um aber auf dem Boden zu bleiben, ne kleine Kiste als Firewall reicht aus, dann ein managed Switch für VLAN Support dahinter, dann gescheite APs die VLANs können und SSIDs auf diese binden können.

    Schon hast du eine gescheite Struktur und kannst auch, hat die Firewall genug Power, Clients, Server, VMs, DMZ, Haustechnik, Gäste, IoT, Gaming Konsole usw. sauber per VLAN und Regelwerk trennen.

    So habe ich das, wobei mit der Einschränkung, das meine Clients mit dem NAS und dem Drucker im gleichen Netz sind.

    Achja, da gehört dann auch eine saubere Netzplanung dazu, sprich wenn man vom Provider Dual Stack bekommt dann bekommt man ja in der Regel ein /56 oder /59. Im letzten sind 32 Netze drin, da reicht also für ein /19er Netz im IPv4 Bereich, so kannst du dann immer ein Ipv4 und IPv6 Netz sauber intern in einem VLAN verwenden und auch hier Dual Stack fahren.


    Also gehe das langsam an, da ist richtig viel zu planen!

    Also: Ich habe jetzt die Festplatten kurz rausgezogen und wieder reingeschoben. Danach über die Power-Taste das NAS runtergefahren.

    Wenn das NAS auch nur noch zum Teil lief, kannst du dir an dieser Stelle den kompletten Raid Verbund gekillt haben.


    Backup scheint es keins zu geben.


    Schon ein Ticket bei QNAP erstellt, die haben ggf. per CLI noch mal ne Idee wie man dein RAID wieder zusammen stecken kann.


    Dann bleibt als letztes Instanz nur der Versuch der Datenrettung am PC, am besten mit einem Image der NAS HDs arbeiten, so hast du mehrere Versuche. Das ganze ist nicht ohne, weil hier der LVM zwischen hängt und das ganze sehr Abstrakt aufgebaut ist.


    Einen Versuch ist ein Blich per SSH (putty, kitty) ins NAS wert, hier kannst du mal schauen ob noch ein intaktes RAID vorhanden ist, der Befehl dazu, nachdem du aus dem Menü raus bist lautet:

    Code
    1. md_checker

    Die Ausgabe kannst du ja mal hier posten, dann wissen wir schon mal ob du überhaupt noch ein Raid hast, was erkannt wird.

    Das mit dem HBS3 war ein Beispiel, das selbst so ein robuster Dienst nix mehr überträgt und den Job abbricht, wenn Vodafone mal wieder einen Störer im Sgement hat und der alle Upstreams im Segment killt.


    Daher die Frage, hast du ein Monitoring wie die Antwortzeiten der jeweiligen Standorte Richtung Internet sind und ob hier schon Verluste auftreten.


    Wie verhalten sich die Ping Zeiten von Standort 1 nach 2 wenn du Daten zwischen diesen überträgst?


    Und HBS3 braucht für 9TB und 455k+ Dateien hier ca. 1h 20Min für den Abgleich, wenn nix großes geändert wurde, man darf nur den Parameter, Dateiinhalte prüfen nicht setzen, denn dann werden immer alle Daten übertragen.

    Ggf. ist das ja, richtig parametriert eine Alternative.


    Ansonsten kannst du SMB vom Client aus ja sehr leicht mit Wireshark mitschneiden und schauen was wann passiert, wie die Antwortzeiten der Gegenstelle sind usw. Das sollte relativ schnell Antworten liefern, wenn sich der Fehler so leicht erzeugen lässt.


    Schon mal an den fraglichen Clients einen IP Stack Reset durchgeführt?

    Code
    1. netsh int ip reset

    Die MTU sollte jeder halbwegs aktuelle Client automatisch sauber aushandeln können.


    Hier hatte ich für VPN auch mal 1340 eingestellt, damit ich sauber übers Handy mit LTE ohne Fragmentierung Daten schubsen kann.


    Die Einstellungen sind in der neuen Version entfallen, aber alle Verbindungen laufen weiter und HBS3 sichert weiterhin wie gewohnt durch die 2 Tunnel und da sind auch schon mal weit über 100GB Daten per Job rüber gelaufen.

    Kannst du dir ein Monitoring von einem Standort zum Anderen bauen?


    Eine Möglichkeit ist z.B. eine Upstream Störung eines Anschlusses, der läuft aber wenn der dann voll ausgelastet wird gehen die Antwortzeiten so nach oben, das die HBS3 dann in den Timeout läuft und der Job mit einem Fehler aussteigt.


    Bei mir kann ich über die pfSense z.B. die Cloudflare DNS Server per ICMP monitoren. Dann sehe ich wenn auf einer Seite die Verbindung spinnt sehr schön als Peak in der Grafik.

    Wenn eine HD im QTS defekte Sektoren hatte, wird die HD im QTS so lange als defekt markiert, bis diese den Oberflächentest im QTS bestanden hat.

    Schafft die das, solltest du die wieder ins Raid integrieren können.

    Das hängt immer vom Hersteller ab ob IP IGMP Snooping per default aktiviert oder deaktiviert ist.

    Bei Cisco, Dell ist das per default aktiv, bei HP aber nicht.


    Durchzug bedeutet in der Regel dass aus Multicast dann Broadcast wird, aber genau das will man nicht erreichen. Damit wird jeder Port dann mit den Streams konfrontiert.

    Bei einer FireTV ok, bei einer Heizungssteuerung aber gar nicht gut.

    Denn je nach Streamer kommen hier ein paar MBit bis ein paar GBit zusammen.


    Und wenn dann die Heizung nur mit 10/100 läuft sind 11MBit ggf. zu viel und das Teil steigt immer wieder sporadisch aus.

    Der Ordner in den den du rein sicherst, der muss auf dem Zielsystem angelegt sein.


    Und ja, es kann mit der Dateinamencodierung zusammen hängen, ich verwende auf meinem NAS Systemen:

    Latein 1

    Findest unter Systemsteuerung, ControlPanel, Allgemeine Einstellungen, Codeseite.

    Wenn ein Pi eh da ist und das ein Pi3+ ist der schnell genug ist, so dass hier der Upload limitiert und nicht das VPN, würde ich das so lassen.


    Denn gerader erst ist eine Sicherheitslücke im VPN Dienst auf QNAP Seite aufgefallen über die man das
    System von außen angreifen und übernehmen kann. Gibt zwar ein Update, aber die Implementierung ist immer noch einige Versionen hinter dem zurück, was du so auf dem Pi bekommst.


    Der Sicherheitsaspekt sollte daher in deine Überlegungen mit einfließen.

    Bei einem Sync muss auf dem Zielsystem der Ordner den du übertragen willst doch schon angelegt sein, prüfe das mal.

    Die Fehlermeldung besagt ja, dass er einen Ordner den er erwartet nicht finden kann.

    Bei QTS kannst du ja schon sehr lange und komplexe Pfade einsetzen, das könnte beim alten Zielsystem ggf. auch ein Problem bereiten.

    Du kannst mit der IP nicht auf das NAS zugreifen oder mit dem Namen?

    Wenn Name, ist das ein FQDN oder einfach nur der Gerätename? Lezter muss dann erst über mDNS z.B. aufgelöst werden muss, was immer wieder Probleme bereiten kann.


    Portbündelung, wie eingerichtet, LACP?


    Wir benötigen mehr Details, sonst können wir uns kein klares Bild machen.


    Ich habe hier ebenfalls eine Portbündelung und dann einen vSwitch dahinter, dieser hat eine IP und unter der ist das NAS immer erreichbar.


    Wenn du dem NAS 4 IPs gegeben hast, könnte das problematisch sein, weil sich die Dienste nicht immer zuverlässig auf die Gleiche IP binden.


    Dann gibt es noch in den QTS Sicherheitseinstellungen den Punkt Servicebindung, hier kann man bestimmte LAN Ports von bestimmten Dienste ausschließen, z.B. auch vom Management.

    Der AMD V1500B hat viel mehr PCIe Lanes als der Intel J4125, besser gesagt hat erste PCIe 3x16 und letzter PCIe 2x6 als Maximum was er anbieten kann.


    Zieht man jetzt alle Lanes ab die hier per Steckplatz oder für die M.2 benötigt werden, blieben noch 6 über, dann noch für jeden LAN Port eine abziehen und wir sind immer noch bei 3x4 für die Backplane, das reicht für 8 HDs die nur mit SATA 3 laufen vollkommen aus.


    Das eine starke CPU mit den passenden HDs auch den Durchsatz liefern kann, wundert nicht. HDs können bei sequenziellen Zugriffen richtig Daten schieben. Das würde aber stark einbrechen, wenn jetzt 2-3 SMB Zugriffe gleichzeitig erfolgen würden.

    Ist das nicht der Fall und hier werden keine VMs, Datenbanken betrieben, dann lohnen sich SSDs weder für den Cache noch für ein schnelles Volume.


    Dann lieber noch ein paar HDs rein stecken, kostet weniger und bietet dann noch mehr Platz.


    Aber bitte das Backup nicht vergessen, denn die x TBs müssen im Fall der Fälle auch extern liegen um wiederherstellte werden zu können.