Ford Prefect

...schau in die Einstellungen ins BIOS....die CPU sollte DDR-4800 unterstützen ..versuche das XMP-Profile.

..das heisst, das Motherboard hat 8 SATA Anschlüsse oder ist ein extra SATA Controller vorhanden? Welches Motherboard ist es denn genau? Sag am beten mal, was alles für Komponeten in dem Ding stecken, inkl. PCIe Adapter/Controller usw. Ich dachte beim Mini Air nur an das ERP Datei/Mainserver für Firma/Kunden als Nextcloud #1 auf unRaid-Host Date/Mainserver für private Zwecke als Nextcloud #2 auf unraid-Host ...alles in getrennten (V)LANs, damit der Traffik zwischen Instanzen auch immer durch die Firewall durch muss, wenn es mal solche Verbindungen gibt.

...also, basierend auf Deiner oben angeführten Hardware, inkl. der Mini-Firewall aus Amazonien, würde ich folgendes machen: ...das wird Dein zentraler Unraid-Server.....was für ein i5 ist es genau? ist die Nvidia nötig oder hat de CPU eine interne Grafik (IGP)? Welches MB ist es genau..sind de 8xSATA on-board oder ist das nur der Platz im Gehäuse..was für ein NT ist da drin? Ich würde Datei/Bild-Server für Firma und Privat komplett trennen..über VLANs und eigene, getrennte Instanzen einer Nextcloud....das ist weniger anfällig gegen Fehler in der Konfiguration...als Frontend nach Aussen und/oder auch Innen kannst Du immer noch ein SWAG, am besten mit 2FA nutzen. unraid Host selbst auf eigenem (Management-)VLAN. Wenn Du meinst das 1xGBit Bandbreite für alles nicht reicht: Hast Du evtl. noch Platz für eine weitere Dual- oder gar Quad-Netzwerkkarte? (eine i350-T2 oder -T4, z.B. sowas...) ...den nimmst Du für Deine Firmen-ERP-Lösung (wenn die da rauf läuft...hast Du das schon probiert? fürs Backup? Keine Ahnung, was das Ding wirklich kann und wie man da die 2x3.5HDDs anschliesst ohne das die irgendwie rumfliegen (passen die *in* das Blade?) ...den nimmst Du jetzt für Deine PFsense/OPNSense Firewall....inkl. Adguard, unbound, wireguard, .... ...jo, da nimmst Du was Neues inkl. Management und VLANs, Auswahl hier ...ich empfehle zB Zyxel, Dlink oder Mikrotik

Systemplatte gibt es als solches bei unraid nicht. das System bootet immer vom USB-Stick (an den ist die Lizenz gebunden..Du brauchst einen hochwertigen, mit echter GUID) und läuft komplett im RAM. Die NVME kannst Du dann als Storage einsetze, zB für Docker, VMs, Cache-Pool...schau Dir die Themen ml an...unraid ist "anders": Bei Deinem kleinen System wahrscheinlich wenige 10mW bis 1W...die Netzteil-Verluste werden das Gros ausmachen. Das Asus hat nur 1xSATA, wenn ich richtig sehe...soll also alles auf diese NVMe oder kommt noch was dazu?...mit einem PCIe-x1 gibt es nicht viele Möglichkeiten für eine SATA-Karte. Mit nur einer Disk im Array hast Du keine Chance auf Parity/Redundanz. Natürlich kannst Du eine 4-8TB NVMe einbauen.... Wenn Du so klein bleiben willst, suche Dir evtl. ein MB mit direktem DC-Anschluss.

Also beide Varianten nutzen letztendlich ZFS on Linux/OpenZFS...bei gleicher Hardware und ZFS Raid-Konfig sind substantielle Unterschiede nur bei unterschiedlichen Konfigurationen zu erwarten. Wenn ich die Zahlen Deiner Erzählung mal bewerten darf, so glaube ich, dass Du hier keine Leistung verglichen hast die mit ZFS auf dem Fileserver zu tun hat. Selbst Deine älteren WD-Reds in einer z2 Konstellation sollten weit über 300MB/s read (Edit: raid-z2 hat kein write-gain, nur read) oder write schaffen. Die von Dir in beiden Fällen geschilderte, geringe Leistung um/unter 100MB/s ist wohl durch das LAN begrenzt und wohl auch vom Client auf der anderen Seite abhängig. (Edit: wobei eben kein write gain...eine alte WD-Red liegt so bei 80MB/s. Natürlich kannst Du mit unraid mehr anstellen, als mit einem einfachen Fileserver...ZFS ist nutzbar, funktioniert auch sehr gut aber ist bisher noch am wenigsten konfigurierbar ins Web-UI integriert....es fehlt aber mMn nix, was ein Normaluser brauchen würde. Die Frage ist ja eher, was Du konkret für Use-Cases hast? Video-Schnitt oder Foto-Bearbeitung?...was noch? Sollen 100MB/s oder 1000MB/s erreicht werden? Wie gesagt die 60-80MB/s sollten nicht am ZFS, weder auf Ubuntu oder unraid, liegen und auch mit der S1155er Plattform sollte was ordentliches hinbekommen können.

...Häh?...Nein! ...was bringt DIch auf diesen schmalen Pfad?

Unraid ist UN-Raid, eben kein klassisches Raid...das Konzept von unraid-Array+(unraid-)Pool(s) bzw Primary/Secondary Storage solltest Du Dir erstmal ansehen, ausprobieren, verinnerlichen. Das vorausgeschickt, solltest Du den ZFS-Pool später durchaus weiter in unrad verwenden können, allerdings nur als unraid-Pool/Secondary storage, nicht im unraid-Array. Die Grundlage dafür ist, dass der ZFS-Pool noch im alten System (Ubuntu) exportiert wird....dann kann man ihn in unraid wieder importieren (zfs export / zfs import). Das solltest Du Dir genau ansehen. Am besten, zum üben die "alten" Disks des ZFS-Pools erstmal vom Controller trennen und ohne diese mit unraid spielen. Erst wenn Du mit dem Basis-System zufrieden bist (Du hast noch eine SSD - nimm diese als Cache Pool - und nimm einen anderen USB als Array), kannst Du versuchen den ZFS-Pool in einen unraid-Pool/seconday Storage einzuhängen. Das hier gibt Hinweise: ...und Backups machen

Dienste, weil Server/geräte ja auf unraid virtualisiert sind....und nein, natürlich tut unraid das nicht (es gibt eine kleine Ausnahme bei Dockern, aber genau dieses Sicherheitsfeature schalten viele aus). ....ich habe die starke Vermutung, dass Dir nicht klar ist, wie Netzwerke wirklich funktionieren, auf der Software-Seite und wie man diese überwacht, wie ein Switch (auf OSI-Layer 2) und ein Router (auf OSI-Layer 3) und eine Firewall (OSI Layer 2-7) funktionieren/angewandt werden (sollten/können). ..sie sind nur eindeutig erreichbar, aber nicht getrennt im Sinne von Sicherheit. Siehe meine Anmerkung oben.... Wie in Deinem anderen Faden schon gesagt, mach Dir einen Plan. Du musst besser verstehen wie Netzwerke und Netzwerk-Kommunikation funktioniert. Das hier kann helfen: https://www.freecodecamp.org/news/osi-model-networking-layers-explained-in-plain-english/ (sorry, ich habs nur auf Englisch). Getrennnte Netze heisst das Geräte/Server einer "Gruppe X" in einem eigenen Netzwerk der Gruppe X verbunden sind. Am einfachsten eben mit physischen Netzwerk-Verbindungen untereinander, zB mittels Netzwerkkarte und Verbindungs-Patchkabel zu einem Switch. Hat man nicht genug Möglichkeiten zur physischen Netzwerk-Trennung kann man auch virtuelle Netzwerke (VLANs) verwenden. Innerhalb dieser Gruppe/des gleichen Netzwerks können sie frei miteinander kommunizieren. Das ist keine Forderung, sondern ein Grundprinzip. Beispiel: Im Netzwerk X ist das IP-Segment 192.168.X.0/24 definiert. das Gateway zu andere Netzen ist der Router, zB 192.168.X.1. Alle Geräe/Dienste innerhalb dieses Netzwerkes kommunizieren untereinander *nicht* über die jeweilige IP (und den Router/die Firewall), sondern über die OSI-Schicht darunter (dafür sorgt das Address-Resolution-Protokoll (ARP) das die Geräte nutzen, sobald sie feststellen, dass sie mit einem Gerät im gleichen IP-Netz kommunizieren sollen/wollen). Will man das ändern, muss man extra Regeln in dieser Schicht unterhalb IP installieren (IP ist Layer 3, darunter ist Layer 2), zB im Switch -> Managed Switch. Das hier bedeutet aber auch, das "Nodes"/Geräte im gleichen Netzwerk untereinander *nicht über die Firewall (den Router) kommunizieren und die Firewall als Sicherheits-Komponente für Nodes innerhalb eines Netzwerk sinnlos ist. Um Nodes gegeneinander abzusichern nutzt man eben mehrere Netzwerke (X, Y, Z, K, ...) um die Kommunikation zwischen Nodes durch die Firewall zu "erzwingen". Mit dem Gesagten...wie ist der Zugriff auf das unraid Web-UI gesichert, wenn der unraid Host, Docker und VMs alle im gleichen Netzwerk (ein IP-Segment) sind? Wie sind Nodes (Docker/VMs) gesichert gegeneinander und wie ist der UnRaid-Host durch Angriffe von diesen Nodes gesichert? Das geht, wenn man es korrekt und sicher machen will, nur indem man in unRaid VLANs aktiviert und dem unraid Host(-Node) (und nur dem und keinem anderen Node auf Unraid) eine IP im Management VLAN gibt. In dem Management VLAN sind nach gleichem Prinzip auch nur die Admin-Zugänge von Switches, Routern, Firewalls und keine "normalen" Nodes. Edit: und ja, man braucht VLANs, weil nur das die Netze im virtuellen Switch in unraid wirklich trennt...zwei Netzwerkkrten und separate Netzwerke/IP-Segmente reichen *nicht*. Mac-Adressen kann man in Nodes frei einstellen, also fälschen.

...also mit WAF war jetzt wirklich was anderes gemeint 🤣 ...es ging um diese Aussage von Dir: -> ein physischer Host mit unterschiedlichen Diensten....davon einer als Firewall, eine OPNSense. Das bedeutet, dass auf dem Host eine OPNSense als Virtuelle Maschine läuft. Wenn diese Firewall die zentrale Firewall sein soll, dann macht man das nicht mit einer VM !!! -> das war meine Aussage. Hintergrund: hat der Server mal "Wartung", steht die Firewall. Das bedeutet im besten Fall ungemach mit der Familie und/oder Ärger mit Firmenkunden/Mitarbeitern.

Ich habe nicht von der roten gestrichelten Liniie, sondern von der Verbindung Firmenserver (der Mini) zur Firewall gesprochen. Das Beispiel ist einfach: Du schreibst ja selbst, von Innen und Aussen erreichbar. Und jeder Server hat eine System-/Verwaltungs-Ebene und eine Applikations-Ebene. Beim Beispiel unraid möchtest Du das Web-Interface zur Konfiguration nicht im gleichen Netz haben ueber das auch die externen Nutzer auf die anderen Dienste/Apps/... zugreifen. im "echten" Leben ist ein Host in der "demilitarisierten Zone (DMZ) *zwischen* zwei Firewalls - eine zwischen DMZ und I-Net und eine zwischen DMZ und Heimnetz. Sind die Dienste auf dem Server in der DMZ virtualisiert, macht es das noch komplizierter. Nein, das kann er nicht, weil er eben nicht mehrere Netze kann. Um diese Dienste anzubieten musst Du die Firewall quasi teilweise durchlöchern. Das gilt auch bei deinem Telekom-Router...das Problem: er kann nur ein Netz...ist die Verbindung kompromittiert, ist das eine/ganze Netz kompromittiert. Hast Du nun mehrere Netze, schön durch Firewalls getrennt, ist dann eben (hoffentlich) nur das eine Netz kompromittiert....mehrere Netze machen es also nicht sicherer, sondern senken nur das Risiko eines "Totalschadens". Blacklistes, Adguard usw sind Services, die auf die Teilnehmer im internen Netz "wirken"...Portweiterleitungen sind für Zugriffe von Aussen nach Innen. Das sind getrennte Perspektiven.

In dem Kontext ging es um das Handy...ein Gerät, das naturgemäss zu Hause dann in zwei Netzen gleichzeitig ist (WLAN und "telekom") und sozusagen aus der Perspektiive Deines Heimnetzes eine potenziell "unerlaubte" Netzkopplung darstellt (praktisch ein WAN, dass Du nicht mit Deiner Heim-Firewall kontrollieren kannst). Deshalb macht es Sinn da eine Firewall/Security App zu installieren. Unraid ist ein Linux und hat einige Firewall-Elemente drin, die aber nicht aktiv zugänglich (und sicher eingestellt) sind. Grundsätzlich stellt man unraid selbst eben *nicht* ins Internet. Man kann eine Firewall-Appliance als VM drauf installieren und dann Docker/VMs netzwerktechnisch trennen, überwachen usw...aber das kannst Du auch auch mit einer zentralen Firewall machen. Wichtig also die Dienste sinnvoll zu trennen. Für Android würde ich tatsächlich SEP-Mobile nehmen....ich glaube die ist sogar kostenlos (bei uns in der 4ma Standard und Pflicht). Bei Linux Clients bin ich ehrlich gesagt unschlüssig...SEP gibt es, glaube ich nur noch für Enterprises. Mit Linux ist das Risiko für Viren bedeutend geringer als bei Windoof (bei Windoof reicht der Standard MS Defender). Cloudflare bietet viele Services, aber eben im Internet, nicht fürs innere Deines Netzes. Indem Du die Dienste (Docker, VMs) in separate Netze trennst und vor allem auch das Management-Interface (das Web-UI) nur aus einem inneren, vertrauenswürdigen Teil des Netzes zugänglich machst. Diesen Teil nennt man das Management-(V)LAN. Symantec gehört zu Broadcom...OK, hmmm...böse Chinesen sind das nicht, aber Alternativen gibt es auch wenige...aber da gibt es sicher Leute mit mehr Meinungen hier. Also bitte keine Panik...abermache Dir klar, dass das grösste Risiko vor der/Deiner Tastatur sitzt

Nein, das ist ein Hardware-Router, mit RouterOS. ja, das schon...allerdings wäre entweder Adguard oder Pihole...zusammen macht nirgends Sinn ...ich weiss nicht, von was immer da die/Deine Rede ist...kannste bei OPNSense auch nicht. Aber wie schon gesagt, RouterOS ist keine leichte Kost....da Du Dich da wohl garnicht auskennst, würde ich sagen lass es. Es gibt mehr Videos, die Du kopieren kannst von OPNSense/PFSense.... In Deinem Plan erkennt man keine IP-Segmente, nur Netzwerk(Kabel)Verbindungen ...oder was soll jedee Verbindung in dem Bild darstellen? Wenn es ein Netzwerk-Segment darstellen sollte, hast Du da schon einen Fehler, denn um das korrekt zu bauen, braucht es auf dem "Firmensoftware-Server" mehr als ein Netzz-Segment... Nein. Du gehst davon aus, dass der "Firmensoftwareserver" nur ein Segment braucht...das ist falsch...zumindest wenn Du es sicher machen willst. Und im inneren willst Du vielleicht ja auch mehr als eines brauchen.... Ich glaube der bietet für den Zweck ausreichend Schutz. Da dort der User die Firewall nicht kaputt konfigurieren kann, bietet er genaugenommen weniger Risko für den Normalo-User als wenn dieser mit einer OPNSense o.ä. spielt. gut gekontert, aber in dem Kontext geht es um WiFi und genau das habe ich Dir nicht in einem Gerät empfohlen. -> Wife Acceptance Factor Yepp...genau...mach das mal...aber komm bitte nicht hierher, wenn Dir der WAF im Nacken sitzt Also, bevor das hier zu weit abdriftet....gegen Deine grundsätzlichen Ansprüche an Sicherheit ist ja nix einzuwenden, aber bei der Umsetzung schiesst Du - mein Eindruck - etwas übers Ziel hinaus - und über Deine Fähigkeiten, vermutlich. Nur weil eine Lösung sowas kann, ist sie nicht so einfach zu bedienen, wie der Heim-Router. Der ist genauso sicher im Rahmen der Möglichkeiten, die er bietet...kann aber komplexere Netzwerk-Setups nicht, aber dafür kann der User nicht viel falsch machen und die Sicherheit unterlaufen. Bei einer "frei konfigurierbaren" Lösung ist das anders...nicht umsonst werden diese Instanzen in einer 4ma von Profis betreut (normalerweise). Du solltest das etwas minimalistischer angehen. Auch eine OPNSense ist mit wenigen Einstellungen erstmal sicher...mit jedem Register, das man danach zieht steigt das Risiko, dass man etwas verkonfiguriert, statt es noch sicherer zu machen.

Die gängige Praxis ist, das Gerät selbst mit einer Firewall und Security-Lösung zu sichern. Den Netzwerktraffik mitzuschneiden und Bedrohungen per Analyse zu erkennen kannst Du vergessen, da der Traffik ja in der Regel verschlüsselt ist. Da gibt es Lösungen, aber die sind eher staatlichen Institutionen zugänglich. Wenn Du niemandem vertraust, ausser Dir selbst empfehle ich Dir mit dem Handy offline zu bleiben....oder das OS und die Apps eben ausschliesslich selbst zu entwickeln. Das Problem bist nicht Du, sondern die bösen Anderen...eine App, die Du nicht kontrollierst kann dynamisch Daten teilen/Schadcode nachladen usw. Die Leistung des Phone reicht allein nicht aus um das zu prüfen und Bedrohungen sind schon lange nicht mehr statisch und auf Viren beschränkt.

...es ist nur ein Netz-Segment, da wird nix geroutet. Statische IPs werden am Endpunkt(client, server, gerät) direkt eingestellt. Das oben Beschriebene geht auch mit 192.168.178.xxx statt 10.10.10.xxx

...der Angriffsvektor über ein Smartphone ist ein anderer. Da hilft auch keine opnsense wirklich, da Du ja auf dem Smartphone den Tunnel durch die opnsense einrichten musst und diese Lücke in der opnsense bewusst öffnen musst. Es gibt auch entsprechende Firewalls und Sicherheitssoftware (Apps) für das Smartphone, denn das Gerät selbst ist zu sichern, nicht nur die Verbindung/der Tunnel nach Hause. Such mal nach SEP mobile...