Ford Prefect

Members
  • Posts

    4302
  • Joined

  • Last visited

  • Days Won

    10

Ford Prefect last won the day on May 20 2023

Ford Prefect had the most liked content!

Converted

  • Gender
    Undisclosed
  • Personal Text
    Don't Panic!

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

Ford Prefect's Achievements

Experienced

Experienced (11/14)

646

Reputation

40

Community Answers

  1. Also beide Varianten nutzen letztendlich ZFS on Linux/OpenZFS...bei gleicher Hardware und ZFS Raid-Konfig sind substantielle Unterschiede nur bei unterschiedlichen Konfigurationen zu erwarten. Wenn ich die Zahlen Deiner Erzählung mal bewerten darf, so glaube ich, dass Du hier keine Leistung verglichen hast die mit ZFS auf dem Fileserver zu tun hat. Selbst Deine älteren WD-Reds in einer z2 Konstellation sollten weit über 300MB/s read (Edit: raid-z2 hat kein write-gain, nur read) oder write schaffen. Die von Dir in beiden Fällen geschilderte, geringe Leistung um/unter 100MB/s ist wohl durch das LAN begrenzt und wohl auch vom Client auf der anderen Seite abhängig. (Edit: wobei eben kein write gain...eine alte WD-Red liegt so bei 80MB/s. Natürlich kannst Du mit unraid mehr anstellen, als mit einem einfachen Fileserver...ZFS ist nutzbar, funktioniert auch sehr gut aber ist bisher noch am wenigsten konfigurierbar ins Web-UI integriert....es fehlt aber mMn nix, was ein Normaluser brauchen würde. Die Frage ist ja eher, was Du konkret für Use-Cases hast? Video-Schnitt oder Foto-Bearbeitung?...was noch? Sollen 100MB/s oder 1000MB/s erreicht werden? Wie gesagt die 60-80MB/s sollten nicht am ZFS, weder auf Ubuntu oder unraid, liegen und auch mit der S1155er Plattform sollte was ordentliches hinbekommen können.
  2. ...Häh?...Nein! ...was bringt DIch auf diesen schmalen Pfad?
  3. Unraid ist UN-Raid, eben kein klassisches Raid...das Konzept von unraid-Array+(unraid-)Pool(s) bzw Primary/Secondary Storage solltest Du Dir erstmal ansehen, ausprobieren, verinnerlichen. Das vorausgeschickt, solltest Du den ZFS-Pool später durchaus weiter in unrad verwenden können, allerdings nur als unraid-Pool/Secondary storage, nicht im unraid-Array. Die Grundlage dafür ist, dass der ZFS-Pool noch im alten System (Ubuntu) exportiert wird....dann kann man ihn in unraid wieder importieren (zfs export / zfs import). Das solltest Du Dir genau ansehen. Am besten, zum üben die "alten" Disks des ZFS-Pools erstmal vom Controller trennen und ohne diese mit unraid spielen. Erst wenn Du mit dem Basis-System zufrieden bist (Du hast noch eine SSD - nimm diese als Cache Pool - und nimm einen anderen USB als Array), kannst Du versuchen den ZFS-Pool in einen unraid-Pool/seconday Storage einzuhängen. Das hier gibt Hinweise: ...und Backups machen
  4. Dienste, weil Server/geräte ja auf unraid virtualisiert sind....und nein, natürlich tut unraid das nicht (es gibt eine kleine Ausnahme bei Dockern, aber genau dieses Sicherheitsfeature schalten viele aus). ....ich habe die starke Vermutung, dass Dir nicht klar ist, wie Netzwerke wirklich funktionieren, auf der Software-Seite und wie man diese überwacht, wie ein Switch (auf OSI-Layer 2) und ein Router (auf OSI-Layer 3) und eine Firewall (OSI Layer 2-7) funktionieren/angewandt werden (sollten/können). ..sie sind nur eindeutig erreichbar, aber nicht getrennt im Sinne von Sicherheit. Siehe meine Anmerkung oben.... Wie in Deinem anderen Faden schon gesagt, mach Dir einen Plan. Du musst besser verstehen wie Netzwerke und Netzwerk-Kommunikation funktioniert. Das hier kann helfen: https://www.freecodecamp.org/news/osi-model-networking-layers-explained-in-plain-english/ (sorry, ich habs nur auf Englisch). Getrennnte Netze heisst das Geräte/Server einer "Gruppe X" in einem eigenen Netzwerk der Gruppe X verbunden sind. Am einfachsten eben mit physischen Netzwerk-Verbindungen untereinander, zB mittels Netzwerkkarte und Verbindungs-Patchkabel zu einem Switch. Hat man nicht genug Möglichkeiten zur physischen Netzwerk-Trennung kann man auch virtuelle Netzwerke (VLANs) verwenden. Innerhalb dieser Gruppe/des gleichen Netzwerks können sie frei miteinander kommunizieren. Das ist keine Forderung, sondern ein Grundprinzip. Beispiel: Im Netzwerk X ist das IP-Segment 192.168.X.0/24 definiert. das Gateway zu andere Netzen ist der Router, zB 192.168.X.1. Alle Geräe/Dienste innerhalb dieses Netzwerkes kommunizieren untereinander *nicht* über die jeweilige IP (und den Router/die Firewall), sondern über die OSI-Schicht darunter (dafür sorgt das Address-Resolution-Protokoll (ARP) das die Geräte nutzen, sobald sie feststellen, dass sie mit einem Gerät im gleichen IP-Netz kommunizieren sollen/wollen). Will man das ändern, muss man extra Regeln in dieser Schicht unterhalb IP installieren (IP ist Layer 3, darunter ist Layer 2), zB im Switch -> Managed Switch. Das hier bedeutet aber auch, das "Nodes"/Geräte im gleichen Netzwerk untereinander *nicht über die Firewall (den Router) kommunizieren und die Firewall als Sicherheits-Komponente für Nodes innerhalb eines Netzwerk sinnlos ist. Um Nodes gegeneinander abzusichern nutzt man eben mehrere Netzwerke (X, Y, Z, K, ...) um die Kommunikation zwischen Nodes durch die Firewall zu "erzwingen". Mit dem Gesagten...wie ist der Zugriff auf das unraid Web-UI gesichert, wenn der unraid Host, Docker und VMs alle im gleichen Netzwerk (ein IP-Segment) sind? Wie sind Nodes (Docker/VMs) gesichert gegeneinander und wie ist der UnRaid-Host durch Angriffe von diesen Nodes gesichert? Das geht, wenn man es korrekt und sicher machen will, nur indem man in unRaid VLANs aktiviert und dem unraid Host(-Node) (und nur dem und keinem anderen Node auf Unraid) eine IP im Management VLAN gibt. In dem Management VLAN sind nach gleichem Prinzip auch nur die Admin-Zugänge von Switches, Routern, Firewalls und keine "normalen" Nodes. Edit: und ja, man braucht VLANs, weil nur das die Netze im virtuellen Switch in unraid wirklich trennt...zwei Netzwerkkrten und separate Netzwerke/IP-Segmente reichen *nicht*. Mac-Adressen kann man in Nodes frei einstellen, also fälschen.
  5. ...also mit WAF war jetzt wirklich was anderes gemeint 🤣 ...es ging um diese Aussage von Dir: -> ein physischer Host mit unterschiedlichen Diensten....davon einer als Firewall, eine OPNSense. Das bedeutet, dass auf dem Host eine OPNSense als Virtuelle Maschine läuft. Wenn diese Firewall die zentrale Firewall sein soll, dann macht man das nicht mit einer VM !!! -> das war meine Aussage. Hintergrund: hat der Server mal "Wartung", steht die Firewall. Das bedeutet im besten Fall ungemach mit der Familie und/oder Ärger mit Firmenkunden/Mitarbeitern.
  6. Ich habe nicht von der roten gestrichelten Liniie, sondern von der Verbindung Firmenserver (der Mini) zur Firewall gesprochen. Das Beispiel ist einfach: Du schreibst ja selbst, von Innen und Aussen erreichbar. Und jeder Server hat eine System-/Verwaltungs-Ebene und eine Applikations-Ebene. Beim Beispiel unraid möchtest Du das Web-Interface zur Konfiguration nicht im gleichen Netz haben ueber das auch die externen Nutzer auf die anderen Dienste/Apps/... zugreifen. im "echten" Leben ist ein Host in der "demilitarisierten Zone (DMZ) *zwischen* zwei Firewalls - eine zwischen DMZ und I-Net und eine zwischen DMZ und Heimnetz. Sind die Dienste auf dem Server in der DMZ virtualisiert, macht es das noch komplizierter. Nein, das kann er nicht, weil er eben nicht mehrere Netze kann. Um diese Dienste anzubieten musst Du die Firewall quasi teilweise durchlöchern. Das gilt auch bei deinem Telekom-Router...das Problem: er kann nur ein Netz...ist die Verbindung kompromittiert, ist das eine/ganze Netz kompromittiert. Hast Du nun mehrere Netze, schön durch Firewalls getrennt, ist dann eben (hoffentlich) nur das eine Netz kompromittiert....mehrere Netze machen es also nicht sicherer, sondern senken nur das Risiko eines "Totalschadens". Blacklistes, Adguard usw sind Services, die auf die Teilnehmer im internen Netz "wirken"...Portweiterleitungen sind für Zugriffe von Aussen nach Innen. Das sind getrennte Perspektiven.
  7. In dem Kontext ging es um das Handy...ein Gerät, das naturgemäss zu Hause dann in zwei Netzen gleichzeitig ist (WLAN und "telekom") und sozusagen aus der Perspektiive Deines Heimnetzes eine potenziell "unerlaubte" Netzkopplung darstellt (praktisch ein WAN, dass Du nicht mit Deiner Heim-Firewall kontrollieren kannst). Deshalb macht es Sinn da eine Firewall/Security App zu installieren. Unraid ist ein Linux und hat einige Firewall-Elemente drin, die aber nicht aktiv zugänglich (und sicher eingestellt) sind. Grundsätzlich stellt man unraid selbst eben *nicht* ins Internet. Man kann eine Firewall-Appliance als VM drauf installieren und dann Docker/VMs netzwerktechnisch trennen, überwachen usw...aber das kannst Du auch auch mit einer zentralen Firewall machen. Wichtig also die Dienste sinnvoll zu trennen. Für Android würde ich tatsächlich SEP-Mobile nehmen....ich glaube die ist sogar kostenlos (bei uns in der 4ma Standard und Pflicht). Bei Linux Clients bin ich ehrlich gesagt unschlüssig...SEP gibt es, glaube ich nur noch für Enterprises. Mit Linux ist das Risiko für Viren bedeutend geringer als bei Windoof (bei Windoof reicht der Standard MS Defender). Cloudflare bietet viele Services, aber eben im Internet, nicht fürs innere Deines Netzes. Indem Du die Dienste (Docker, VMs) in separate Netze trennst und vor allem auch das Management-Interface (das Web-UI) nur aus einem inneren, vertrauenswürdigen Teil des Netzes zugänglich machst. Diesen Teil nennt man das Management-(V)LAN. Symantec gehört zu Broadcom...OK, hmmm...böse Chinesen sind das nicht, aber Alternativen gibt es auch wenige...aber da gibt es sicher Leute mit mehr Meinungen hier. Also bitte keine Panik...abermache Dir klar, dass das grösste Risiko vor der/Deiner Tastatur sitzt
  8. Nein, das ist ein Hardware-Router, mit RouterOS. ja, das schon...allerdings wäre entweder Adguard oder Pihole...zusammen macht nirgends Sinn ...ich weiss nicht, von was immer da die/Deine Rede ist...kannste bei OPNSense auch nicht. Aber wie schon gesagt, RouterOS ist keine leichte Kost....da Du Dich da wohl garnicht auskennst, würde ich sagen lass es. Es gibt mehr Videos, die Du kopieren kannst von OPNSense/PFSense.... In Deinem Plan erkennt man keine IP-Segmente, nur Netzwerk(Kabel)Verbindungen ...oder was soll jedee Verbindung in dem Bild darstellen? Wenn es ein Netzwerk-Segment darstellen sollte, hast Du da schon einen Fehler, denn um das korrekt zu bauen, braucht es auf dem "Firmensoftware-Server" mehr als ein Netzz-Segment... Nein. Du gehst davon aus, dass der "Firmensoftwareserver" nur ein Segment braucht...das ist falsch...zumindest wenn Du es sicher machen willst. Und im inneren willst Du vielleicht ja auch mehr als eines brauchen.... Ich glaube der bietet für den Zweck ausreichend Schutz. Da dort der User die Firewall nicht kaputt konfigurieren kann, bietet er genaugenommen weniger Risko für den Normalo-User als wenn dieser mit einer OPNSense o.ä. spielt. gut gekontert, aber in dem Kontext geht es um WiFi und genau das habe ich Dir nicht in einem Gerät empfohlen. -> Wife Acceptance Factor Yepp...genau...mach das mal...aber komm bitte nicht hierher, wenn Dir der WAF im Nacken sitzt Also, bevor das hier zu weit abdriftet....gegen Deine grundsätzlichen Ansprüche an Sicherheit ist ja nix einzuwenden, aber bei der Umsetzung schiesst Du - mein Eindruck - etwas übers Ziel hinaus - und über Deine Fähigkeiten, vermutlich. Nur weil eine Lösung sowas kann, ist sie nicht so einfach zu bedienen, wie der Heim-Router. Der ist genauso sicher im Rahmen der Möglichkeiten, die er bietet...kann aber komplexere Netzwerk-Setups nicht, aber dafür kann der User nicht viel falsch machen und die Sicherheit unterlaufen. Bei einer "frei konfigurierbaren" Lösung ist das anders...nicht umsonst werden diese Instanzen in einer 4ma von Profis betreut (normalerweise). Du solltest das etwas minimalistischer angehen. Auch eine OPNSense ist mit wenigen Einstellungen erstmal sicher...mit jedem Register, das man danach zieht steigt das Risiko, dass man etwas verkonfiguriert, statt es noch sicherer zu machen.
  9. Die gängige Praxis ist, das Gerät selbst mit einer Firewall und Security-Lösung zu sichern. Den Netzwerktraffik mitzuschneiden und Bedrohungen per Analyse zu erkennen kannst Du vergessen, da der Traffik ja in der Regel verschlüsselt ist. Da gibt es Lösungen, aber die sind eher staatlichen Institutionen zugänglich. Wenn Du niemandem vertraust, ausser Dir selbst empfehle ich Dir mit dem Handy offline zu bleiben....oder das OS und die Apps eben ausschliesslich selbst zu entwickeln. Das Problem bist nicht Du, sondern die bösen Anderen...eine App, die Du nicht kontrollierst kann dynamisch Daten teilen/Schadcode nachladen usw. Die Leistung des Phone reicht allein nicht aus um das zu prüfen und Bedrohungen sind schon lange nicht mehr statisch und auf Viren beschränkt.
  10. ...es ist nur ein Netz-Segment, da wird nix geroutet. Statische IPs werden am Endpunkt(client, server, gerät) direkt eingestellt. Das oben Beschriebene geht auch mit 192.168.178.xxx statt 10.10.10.xxx
  11. ...der Angriffsvektor über ein Smartphone ist ein anderer. Da hilft auch keine opnsense wirklich, da Du ja auf dem Smartphone den Tunnel durch die opnsense einrichten musst und diese Lücke in der opnsense bewusst öffnen musst. Es gibt auch entsprechende Firewalls und Sicherheitssoftware (Apps) für das Smartphone, denn das Gerät selbst ist zu sichern, nicht nur die Verbindung/der Tunnel nach Hause. Such mal nach SEP mobile...
  12. Nein das ist ein Router *und* ein Switch. Der Mini-PC, den Du als Router auserkoren hast hast zwar ein paar Netzwerk-Ports, wenn Du aber Netze trennen willst und je Netz-Segment nicht willst (das willst Du nicht) das der Traffik immer durch den Router muss, dann braucht es einen Switch. Ein Switch bietet Hardware-Unterstützung dafür, dass Teilnehmer im Netz, obwohl an unterschiedliche Ports angeschlossen, mit maximaler Geschwindigkeit miteinander kommunizieren können. Er hat dazu einen Switch-Chip eingebaut (quasi eine kleine CPU, die auf Netzwerk-/Ethernet-Traffic und -kommunikation getrimmt ist). Der Mini-PC/Router aus Amazonien hat so einen Switch-Chip nicht!! Das man also einen Switch nutzen kann/muss hast Du prinzipiell auch erkannt, aber nicht bedacht, dass man bei Nutzung von verschiedenen Netz-Segmenten diese auch im Switch trennen muss. Daher ist ein unmanaged Switch wie Deiner ungeeignet. Es gibt mehr als ein Derivat von der Router-Software, die Du angedacht hast ...PFSense oder OPNSense --- was Du nimmst ist eigentlich egal...wenn man ein paar Bytes sparen will, schreibt man Sense Nein, mein Hinweis war nur, dass Du für weniger Geld viel mehr Leistung bekommst mit dem Mikrotik. Unter anderem musst Du auch keinen managed Switch mehr kaufen. ...vielleicht siehst Du es noch nicht, kommt aber bestimmt noch. Wenn Dein mini Air Dingsbums ein unraid host (oder Proxmox oder was anderes in der Art) ist, dann brauchst Du entweder mehr physische Ports um die Software-Komponenten (Host/Verwaltung, Dienste/Server/VMs/Docker) auf Netzsegmente zu trennen oder VLANs. Denke nicht in Kabeln, sondern in Netz-Segmenten (= IP-Segemente)...male das Bild mal damit neu...wo landet der Mini Air dann, in Deinem Diagramm am besten? Ein Switch ist aber genau das...die Frage ist, wie viele LAN-Segmente, die voneinander getrennt sein sollen, brauchst Du...ein unmanaged Switch sieht alle Ports als ein LAN. Klar...aber wie kommt sie den heute ins Internet? Warum? Willst Du ne Eierlegende Wollmilchsau (eine Fritz)box nachbauen? Nimm einen normalen AP....den kannst Du auch noch in der Position im Haus etwas besser verändern um die WLAN Versorgung zu optimieren. Du weisst wahrscheinlich nicht, was ein WAF ist Ausserdem ist das Teil da nur ein Adapter...fehlt noch die WLAN-Karte und Antenne...und die Karte musst Du danach aussuchen, das OPNSense dafür Treiber hat (wenn es überhaupt welche für sowas bietet) und hoffen, dass die Treiber auch bei Updates noch da sind/mitgepflegt werden. Ich würde es *nicht* so machen.
  13. Nein, das Gateway in der Fritz (zu 10.10.10.0/24 (NM 255.255.255.0), also Beispielsweise die 10.10.10.1) muss aus dem Bereich des Netzwerkes der Fritz sein (zB 192.168.178.12) und dahinter muss sich ein Host/Router verbergen, der das Netz 10.10.10.0/24 kennt. Die Fritz (192.168.178.1) kennt die Route zu 10.10.10.1/24 nicht.
  14. OK, warum bist Du nicht zufrieden? Die Karte hat doch jetzt wohl einen 10G Link (siehe oben). Wie hast Du die jetzt mit dem Switch verbunden, mit nur einem 10G-T Transceiver?
  15. ...ganz schön starker Tobak, fürn Frischling. Die Community macht das hier freiwillig und Servicezeiten am Sonntag sind selbst bei "payed Services" eingeschränkt...merkste was? ...es gibt keinen Standard und keine Garantien, das SFP+ Transceiver überhaupt was anderes als 1G/10G unterstützen (SFP/SFP+ Abwärtskompatibilität). Warum willst Du unbedingt 2.5G mit ner 10G Karte? Wenn Du den HP direkt mit dem Switch (SFP+ Uplink Port nehmen) verbindest (also ohne Kupfer und LAN-Dosen über Geschosse hinweg), versuche bis 7m Länge ein DAC Kabel oder ein LWL-Patchkabel...das spart auch Strom. ...aus Deiner Diagnostics/ethertool.txt: ettings for eth0: Supported ports: [ FIBRE ] Supported link modes: 1000baseT/Full 10000baseT/Full Supported pause frame use: Symmetric Receive-only Supports auto-negotiation: No Supported FEC modes: Not reported Advertised link modes: 10000baseT/Full Advertised pause frame use: No Advertised auto-negotiation: No Advertised FEC modes: Not reported Speed: 10000Mb/s Duplex: Full Auto-negotiation: off Port: FIBRE PHYAD: 1 Transceiver: internal Supports Wake-on: g Wake-on: g Current message level: 0x00000000 (0) Link detected: yes ...was zu beweisen war.