Beiträge von Anthracite

    Der Router ist die entscheidende Firewall, und für Heimnetze reicht das schon vollkommen aus.


    Die Qnap-Firewall ist dann interessant, wenn Angreifer im eigenen LAN potentiell vermutet werden, und das ist im Firmenumfeld der Fall. Das NAS der Personalabteilung braucht nicht in der ganzen Firma erreichbar zu sein. Die Qnap-Firewall kann dann eventuell eigene Hardware zur Netzsegmentierung ersparen und bietet Schutz gegen Angriffe auf Sicherheitslücken und (wesentlich wahrscheinlicher) Fehlkonfigurationen der Rechtevergabe im NAS.


    Wenn die Firewall nicht benötigt wird, empfiehlt es sich, diese zu deaktivieren (d. h. deinstallieren). Nicht korrekt konfiguriert führt sie gerne dazu, dass irgendwas anderes nicht funktioniert.

    und wie man QNAP dafür zur Verantwortung ziehen kann?

    Wir sind hier keine Juristen, deswegen wird niemand dir darauf eine klare Antwort geben können.


    Eine Möglichkeit könnte sein, auf Qnap zuzugehen und versuchen, sich gütlich zu einigen. Vielleicht sind die bereit, aus Kulanz den Kauf des neuen NAS, der ja überflüssig war, rückabzuwickeln. Ich denke aber nicht, dass du weitere Kosten, insbesondere die für deine Arbeitszeit, auf dem Wege erstattet bekommst.


    Ansonsten hilft nur ein guter Anwalt. Das Problem dürfte aber sein, gerichtsfest nachzuweisen, dass der Fehler bei Qnap lag und nicht durch deine Schusseligkeit verursacht wurde. Dieser Nachweis riskiert schnell, teuer zu werden und in keinem Verhältnis zum Schaden zu stehen. Falls du wirklich vorhast, diesen Weg zu gehen, speichere rechtzeitig die Versionen von qts-Firmware und HBS, die den Fehler verursacht haben.


    Du kannst versuchen, gleichfalls Betroffene zu finden, die ebenfalls Schaden erlitten haben. Das erhöht deine Chancen.

    Wenn es nicht darum geht, die VM als Ganzes zu sichern, sondern man in einer viel benutzen VM auch einzelne Dateien wieder herstellen möchte, kann es sinnvoller sein, in der VM selbst ein Backup-Programm laufen zu lassen. So habe ich in meiner Kubuntu-VM Back-in-Time laufen, und in der Windows-Server-VM läuft Veeam.

    Bei Jobs mit Versionierung ohne QuDedup habe ich schon Backups gelöscht mit (z. B.) rm -rf 202401290129.M

    Bisher hatte ich damit keine Probleme, und ich habe den Job auch nicht neu aufsetzen müssen.


    Ich habe auch schon auf die Art das neueste Backup gelöscht, weil ein abgebrochener Backup-Lauf ein unvollständiges Backup hinterlassen hat. Dann habe ich das vorangegangene Backup in latest umbenannt. Das ging auch.

    Echt? Wo?

    Ich kam auf die Idee, die Zip-Dateien für den Export zu entpacken und ein grep -R auf den Anfang meines Passwortes zu machen.


    Fündig geworden bin ich an zwei Stellen:

    in HBS:

    Code
    cd /share/CE_CACHEDEV1_DATA/.qpkg/
    grep -r Anfang-des-Passwortes HybridBackup
    # oder
    egrep -r '"plain_pwd": "[a-zA-Z0-9]+' HybridBackup

    Fündig geworden bin ich in den beiden Dateien

    Code
    HybridBackup/CloudConnector3/data/server/server.log.2
    HybridBackup/CloudConnector3/data/server/server-error.log

    Bei dem Passwort, das im Klartext auftaucht, handelt es sich möglicherweise um die Passphrase des SSH-Schlüssels; zumindest scheint das im Zusammenhang mit der Synchronisation über Rsync zu stehen.


    Diese beiden Logdateien werden in das Zip des Logs in HBS mit eingeschlossen.


    in der Virtualisierungsstation:


    Code
    cd Verzeichnis/mit/den/virtuellen/Maschinen
    grep '<qvs:graphics ' */.*.meta/[0-9]*.xml

    (wenn's eine Fehlermeldung gibt wg. nicht gefundener Dateien, dann ward ihr im falschen Verzeichnis.)


    Da handelt es sich wohl um das VNC-Passwort für den Konsolenbetrieb. (Und wenn man wie ich dafür das Login-Passwort nimmt, um sich nicht zu viele Passwörter merken zu müssen ...)


    Diese Dateien landen im allgemeinen Zip, das in der Helpdesk-App erstellt wird.


    Ich war doch erstmal geschockt über diese Entdeckungen. Das darf gar nicht sein. Da scheint an einigen Stellen das Sicherheitsbewusstsein der Programmierer mangelhaft zu sein.

    Nur seit dem Update vom HBS3 auf 24.1.0523 werden die Backup Jobs nicht mehr fertig, wenn die allein in der Nacht anlaufen.

    Ich hatte den Fehler mit der Version 24.1.0515, allerdings unabhängig davon, ob der Job automatisch oder manuell gestartet wurde. In der 24.1.0523 wurde an der Stelle vermutlich nichts geändert, da das nur der Patch auf einen fatalen Fehler ist. Nachdem ich auf die 20.0.0304 zurückgegangen bin, war das Problem behoben.


    Welche qts-Version hast du im Einsatz? Der Herr vom Support meinte, ich solle die 5.1.7.2770 nehmen, weil es da Änderungen bzgl. HBS drin gebe. Ob die was mit meinem Problem zu tun haben, ist aber nicht sicher.


    Eine genauere Analyse durch den Support ist daran gescheitert, dass ich nicht bereit war, die dafür nötigen Logdateien zur Verfügung zu stellen. Da standen mir zu viele vertrauliche Daten drin, Passwörter im Klartext zum Beispiel =O .

    Gar nicht mal sooo schlimm ... durchaus überschaubar

    Theoretisch ja, praktisch nicht unbedingt. Ich hatte an anderer Stelle einen Fehler drin, der dazu führte, dass das Gäste-WLAN nach spätestens einer halben Stunde nicht mehr funktionierte. Die GUI wies darauf nicht hin, und offensichtlich war der Zusammenhang nicht. Mit der Fritzbox-GUI wäre eine solche Fehlkonfiguration nicht möglich gewesen.


    Meine Befürchtung ist, bei einem flexiblen aber schwer konfigurierbaren Router durch so einen Fehler einen offenen Eingang für Angreifer zu produzieren. Daher werde ich beim Router bei AVM-Produkten bleiben.

    Zacharias


    Die Fritzboxen sind im privaten Bereich mMn. schon das Beste, was es gibt:

    • Wann man nichts in den Einstellungen ändert und nur das auf der beigelegten Karte aufgedruckte WLAN-Passwort nutzt, hat man eine funktionierende und ziemlich sichere Konfiguration.
    • Wenn man ohne Ahnung in den Einstellungen herumspielt, dann macht man idR. nicht groß was kaputt, was man nicht wieder zurücknehmen kann, und üblicherweise bleibt die Konfiguration sicher.
    • Wenn man Bedarf an vielen Routerfunktionalitäten hat, kann die Fritzbox schon einiges, und was sie kann, ist oftmals leicht zu konfigurieren (z. B. Gäste-WLAN mit einem Klick). Die Konfig der Firewall ist allerdings auf Portweiterleitungen begrenzt.
    • Und die FB sind gut an deutsche Standards, d. h. was die großen Provider in D haben, in Telefonie und Internetzugang angepasst.

    Was mir am ehesten fehlt. ist die Möglichkeit einer DMZ und eventuell VLANs. Aber da sind wir schon klar nicht mehr im privaten sondern im semiprofessionellen Bereich.


    Ich könnte mir natürlich auch einen Router z. B. von Mikrotik hinstellen. Solide Hardware, ähnlicher Preis und sehr viele Möglichkeiten. Da gibt es z. B. direkten Zugriff auf sämtliche Firewall-Regeln und damit alle Möglichkeiten.


    Aber obwohl ich die Produkte von Mikrotik schätze und mit deren Switchen gute Erfahrungen habe, würde ich niemals einen Router von denen nehmen. Obwohl ich durchaus Ahnung von Netzwerken habe, traue ich mir nicht zu, dauerhaft eine sichere Konfiguration einzurichten, und womöglich ist irgendwann mal ein Fehler drin, und dann steht das ganze LAN frei erreichbar im Internet. Wenn ich bedenke, wie viel Aufwand ich betreiben musste, um am Mikrotik-AP ein funktionierendes und sicheres Gäste-WLAN einzurichten...

    Das Problem ist, dyndns kann ich nicht einrichten, ja die Option gibt es aber sie funktioniert nur mit einer öffentlichen IP und die kostet 10 Fr extra.

    Eine einfache und kostenlose Möglichkeit, Dyndns mit einer IPv6-Adresse einzurichten:

    Dyndns.dk

    Wenn du dich eingeloggt und registriert hast, bekommst du eine Crontab-URL angezeigt. Für diese richtest du einen Crontab-Eintrag ein, am einfachsten auf dem Qnap-NAS, welches immer oder zumindest zu bekannten Zeiten läuft und zu Hause steht, mit täglicher Ausführung und einer Uhrzeit kurz bevor du die Adresse brauchst, z. B. in der Crontab

    Code
    00 1,7,14 * * * wget -6 -a /dev/null -O /dev/null --no-check-certificate 'CrontabURL'

    wobei du die Uhrzeiten anpassen musst (1:00 Uhr nachts wie bei mir ist nur für Backupjobs sinnvoll) und CrontabURL durch den dir angezeigten String ersetzen.


    (Mit wget -4 legt man stattdessen eine dynamische IPv4-DNS-Adresse an.)

    Ich habe dasselbe Problem, Cache gelöscht, Im Router ist der Name mit der IP verknüpft, andere Rechner im Netzwerk finden das NAS über den Namen.

    Bitte einmal DNS-Einstellungen kontrollieren. Welcher DNS-Server ist auf dem Gerät, wo es nicht funktioniert, eingestellt?


    Dann gibt es nicht nur einen Browsercache, sondern auch einen DNS-Cache. Diesen musst du auch löschen. Bei Mac und PC reicht dafür ein Reboot (geht auch ohne Reboot, wenn man weiß, wie).


    Wenn der eingetragene DNS-Server nicht derjenige Server ist, auf dem der NAS-Name eingetragen ist (vermutlich die Fritzbox), sondern nur indirekt darauf zugreift, dann hat auch dieser DNS-Server einen Cache.


    Ein falscher (alter) Eintrag in /etc/hosts kann auch die Ursache sein.

    Ich bin neugierig, ob es das Update auf 24.04 noch geben wird. Ich habe das Gefühl, dass die Linux-Station etwas stiefmütterlich behandelt wird und die Virtualisierungsstation den Vorzug bekommt.

    Das halte ich eher für "sub-optimal", 1G und 10G im selben Subnetz.

    Wenn schon ein 10GbE-Switch da ist. dann würde ich die 10GbE-Anschlüsse schon im gleichen Subnetz lassen und stattdessen einfach die "langsamen" Gigabit-Stecker im NAS und PC rausziehen. Das ist viel einfacher und garantiert auch, dass die Daten über die schnelle 10GbE-Verbindung gehen. 10GbE, Gigabit und 100MbE (d. h. Fast-Ethernet) hat man dann im gleichen Subnetz, und das ist überhaupt kein Problem. Die zwischen zwei Partnern maximale Geschwindigkeit wird erreicht.

    Wie kann man das RAID1 denn auflösen?

    Eine Platte entnehmen.

    Mit mdadm die verbliebene Platte zur Einzelplatte erklären.

    Entnommene Platte formatieren und wieder einsetzen.

    Siehe hier.


    Auf Synology habe ich das mit Erfolg durchgeführt, auf Qnap noch nicht probiert.


    Aus der Einzelplatte kannst du aber vermutlich kein Raid 0 machen. (Ich würde ohnehin zwei Einzelplatten vorziehen. Wenn man nicht gerade 10GbE hat, bringt Raid 0 keine Vorteile, aber Nachteile beim Tausch einer Platte.)


    Raid 1 zu Raid 0 geht wohl nur, indem du alle Volumes und Pools löschst und neu als Raid 0 einrichtest. Das System und die Einstellungen (nicht aber die Apps) sollten dabei erhalten bleiben.

    Muß/kann ich Windows aktivieren, Windows lizenz

    wird vermutlich benötigt?

    Wenn du Windows Server nimmst, die kostenlose Evaluierungslizenz ist 180 Tage gültig und kann fünfmal verlängert werden. Wenn du zum richtigen Zeitpunkt verlängerst, kannst du fast drei Jahre Windows Server kostenlos nutzen. Das ist ein gutes Angebot.


    Intel sagt was anderes, und die haben den Prozessor entwickelt/hergestellt

    Zum Zeitpunkt der Entwicklung gab es womöglich noch nicht die 32GByte-Riegel, weswegen der Prozessor dafür nicht offiziell spezifiziert ist. (Ob das auch hier der Fall ist, weis ich nicht, aber oft ist so etwas der Grund für eine Einschränkung.)

    Falls Ihr ganz anders vorgehen würdet, dann immer raus damit!

    Ja! Ticket bei Qnap aufmachen.

    Die haben Experten, die sich genau damit auskennen, und andere Forenteilnehmer haben schon berichtet, dass der Qnap-Support hilfreich war und ein Raid hat wiederherstellen können.


    Ich habe mdadm auch schon mal benutzt, und vielleicht könnte ich auch was dazu schreiben, aber die Gefahr ist zu groß, dass ich mit meinem Halbwissen die "Tipps" gebe, die das Raid endgültig ruinieren.