Beiträge von Crazyhorse

Wie ist die Raid Struktur im NAS?

Einzelne HDs? Oder Ein Thin und ein Thick?

Welche HDs sind das? Unterschiedliche, eine mit CMR eine mit SMR?

Ansonsten reicht ggf. schon Innenspur und Außenspur als Unterschied.

Denke dran dein QTS selber benötigt selber auch noch CPU Ressourcen, daher sollte man nicht alle Kerne in die VM hängen.

Auch die UDM ist extrem eingeschränkt im Vergleich zu einer richtigen Firewall, aber bietet viel mehr Möglichkeiten als jede Fritz Kiste. Aber auch bei Firewalls gibt es unterschiede und vollkommen andere Ansätze.

Inline IDS/IPS machte mal Sinn, dann kam SSL und damit auch TLS 1.3, mit dem es dann nicht mehr so einfach einsetzbar ist.

Auch werden immer mehr Ausnahmen für Dienste oder Webseiten benötigt die eine MITM nicht mit machen und dann halt keine Seite angezeigt wird.

Ich nutze die Firewall auf dem NAS nicht aber alle Fail2ban Einstellungen sind aktiv. Zudem gibt es eine Mail vom NAS bei so einer Aktion.

Die OPNsense hat mit Zenarmor ein schickes Paket, nur der Cloud Kontakt dahinter ist ein wenig naja.

pfSense hat pfblocker und ist komplett bis ins letzte anpassbar.

Ob fertige Listen oder selber gebaute aus dem grep vom Syslog, was auch immer.

Ich mag letzte mehr, das blau ist sehr schick, Tiermutter ist mit der OPN in orange Unterwegs.

Meine SMR Barracudas laufen seit Jahren im Raid 5, wenn die Arbeitslast nicht hoch ist.

Sprich keine VM oder anderes 24/7 da rauf rum schreibt gibt es genug Zeit für die HDs sich neu zu organisieren.

Sprich reine NAS Verwendung ohne Dienste usw. ist damit kein Problem.

Kannst aber z.B. einen Reverse Proxy davor hängen oder mit einer own/next-cloud im Container arbeiten.

Am besten beides.

So könnte man auch wieder direkt Daten vom NAS aus bereitstellen, ist aber eine komplexe Einrichtung.

FTP durch einen VPN Tunnel kann man sehr gut einsetzten, der Tunnel verschlüsselt alles für dritte.

Vorteil FTP, man kann wenn man mehrere Dateien übertragen muss mit mehreren parallelen Streams arbeiten und somit auch die volle Bandbreite im WAN bei hohen Latenzen ausnutzen.

Mit der neuen FTP App war aber irgendwo bei 8 die Grenze.

Habe die im Backup NAS mit 4x4TB Raid 5.

Überschreiben im LAN grausam wenn man x TB rein ballert.

Sichere ich mit 50MBit Upload durch den VPN Tunnel ist das egal.

Bei Uploads von 100+ wird das aber schon wieder zum Limit, da jede HD nur wenige % CMR Cache hat.

Rechner IP auf der Blockliste gelandet?

Ist mir mit nagelneuer Win 10 Installation passiert weil hier mit allen Updates weiterhin SMB 1 ja eins! Aktiv war.

Abschalten per Powershell, Reboot und Fehler weg.

Da kam ich plötzlich auch nicht mehr auf die GUI oder an die Daten.

Kannst mit de App aber freischalten indem man die IP von der Blockliste löscht.

Ich habe halt ein NAS bei meinen Eltern stehen und sichere da hin.

Tante und Schwiegervater sichert hier hin.

Da sind ein paar km zwischen, wenn hier alles abbrennt, sollte da noch was stehen.

So jedenfalls der Plan.

Ja Cloud geht auch, da musst nur auf deinem NAS verschlüsseln.

FFS kann Echtzeit, ich nutze das aber immer gezielt manuell um Daten mit PC, Laptop und NAS abzugleichen, das funktioniert perfekt.

Aber scheinbar hast du dir das Programm nicht richtig angeschaut, denn es ist super Flexibel und erlaub diverse Ordner zu Ordner Kombinationen mit Files die ausgeschlossen werden sollen und das global oder pro Ordnerpaarung. Zudem ist es schnell und transparent, da man zuvor angezeigt bekommt was abgeglichen wird.

Hier kann man auch schauen ob alles korrekt ist, oder eine Aktion für eine einzelne Datei bei dieser Ausführung ändern oder übergehen.

Mein TS-231p schafft als es noch hier stand um die 100MB/s und das Volume war static verschlüsselt, dein TS-431p2 ist neuer und schneller.

Was ist denn das genau für ein Quellsystem, z.B. ein älterer Laptop oder Desktop mit HD, da könnte schon der Flaschenhals liegen wenn da noch keine SSD verbaut ist.

Hast du deine Kids nicht irgendwo weiter ab sitzen, da einen VPN Tunnel hin und hier ein 2 Bay mit dicken HDs und dann über VPN da hin schieben, ist auch eine Option die du noch mal prüfen kannst, mit der Netgate hast du ja schon das passende Geräte auf einer Seite. Auf der anderen tut es auch eine Fritzbox, wenn das eins der neuen Modell ist, geht der Tunnel auch ab.

Ich habe eine daly Backup der wichtigsten Daten mit Versionierung, dann 2 mal die Woche ein Backup auf das extern stehende NAS und dann noch sporadisch, wenn Bedarf besteht auf die externen HDs die ich habe habe eine Sicherung.

Da habe ich aber pro HD einen Job, so kann ich genau sehen welche HD welchen Stand hat.

Gerade wenn mehr Daten da sind als auf eine einzige HD passen ist das praktisch da man so aufteilen kann und doch prüfen kann welcher Job hat wann welche Daten gesichert.

Ein Job für x Datenträger ist da Problematisch.

Lohnt sich bei SSDs nicht die sich alle 2 Jahre im Preis halbieren bei gleiche Kapazität.

Bitte nicht vergessen die TBW ist so was wie das Mindesthaltbarkeitsdatum, ist diese erreicht, ist die SSD nicht gleich Schrott, einige schaffen das x fache dieses Wertes.

Bei Server HDs geht man von 300-600TB Last Pro Jahr aus, also je nach Einsatzzweck könnten die dann in 10 Jahren eher zu klein sein oder nicht mehr in den Nachfolger passen weil es dann keine SATA mehr gibt.

Static und Thick sollten sich nicht viel tun wenn keine Snapshots aktiv sind, was die Performance angeht.

Der i3 Gen 4 ist halt durch die CPU Patch hart ge…. worden und in einen Taschenrechner verwandelt worden. Das hat zum Teil Einbrücke auf 50% gegeben, je nach Anwendung.

Sollte es also mit Static nicht besser sein, wird mit der Plattform dann nicht viel mehr gehen.

Ja aber das kann man mit einem Source NAT vom VPN Netz bei Zugriff auf die NAS IP im Management Netz austricksen.

Da würde dann die Source IP durch die.9 im gleiche Netz ersetzt und das NAS kann dann nicht anders als mit dem Management Adapter zu antworten.

Im gleichen Netz und über einen Router ja, über Netzgrenzen und eine Firewall die statefull arbeitet nicht.

Aber das haben wenige und daher ist eine klare Aussage nicht zu treffen, da es auch immer nur für das Modell mit der Firmware zutreffen würde.

Hält sich QTS an das Strong Host Model, dann gehen alle Anfragen aus dem Interface raus, auf dem sie rein gekommen sind.

Macht QTS das nicht, sondern geht nach Routing Tabelle für das Ziel, dann geht alles was auf dem GBit rein kommt und dessen Quell IP ungleich dem Netz vom GBit Port ist über den 10G Link raus.

Daher testet man so etwas immer, wenn man das aufbaut, denn Theorie ist gut, aber in der Praxis läuft das eine oder andere System dann anders als zuvor vom Marketing versprochen.

Wenn QTS mit 2 verschiedenen Netzen aktiv ist und eine Anfrage auf GBit rein kommt, der anfragenden Client aber aus einem anderen Netz das QTS anspricht, dann könnte QTS über die Default Route antworten.

Ist dann eine Firewall dazwischen wird das wegen asymmetrischem Routing mit deny enden.

GBit 192.168.1.11

1G: 192.168.2.11

Client VPN: 192.168.4.1

Dann würde das wie folgt aussehen:

192.168.4.1

192.168.1.1

192.168.1.11

192.168.2.11

192.168.2.1 -> GW ist jetzt Firewall dann deny weil kein state

Würde QTS aber mit dem strong host Modell auf dem GBit antworten sieht es wie folgt aus.

192.168.4.1

192.168.1.1

192.168.1.11

192.168.1.1

192.168.4.1 -> Client bekommt die Antwort