RAID1 und Vollverschlüsselung

S-Man42

Benutzer
Mitglied seit
11. Jan 2025
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Hi,

ich bin neu hier und bin auch erst gestern zu Synology gewechselt (bzw. warte jetzt auch das neue Spielzeug :) ). Freue mich schon.

Bisher hatte ich eine 2-Bay QNAP und habe aus verschiedenen Gründen entschieden, mich von dieser Firma abzuwenden. Der Hauptgrund ist folgender: Ich habe meine Festplatten mit deren internen Tool vollverschlüsselt als RAID1 betrieben, wie es jetzt auch mit der Syno DS224+ zu tun gedenke. Allerdings haben die irgendwas in ihrer Firmware versaut und es ist nun nicht mehr möglich, in deren Speicherverwaltung zu gelangen. Es öffnet sich schlicht nie das entsprechende Fenster. Etliche User beschreiben das. Das Problem ist, dass ich Zugriff auf die Speicherverwaltung benötige, um nach einem Reboot (zB wegen eines Updates) die Festplatten wieder zu entschlüsseln. Folglich habe ich toll gesicherte Daten, aber komme nicht drauf. Lösung war dann nur ein Downgrade auf eine Firmware-Version mit bekannten Sicherheitslecks. Lange Rede, kurzer Sinn: Das war die Spitze des Eisbergs, ich bin jetzt abgekehrt von QNAP.

Wozu habe ich die NAS? Ursprünglich war es tatsächlich ein reines BackUp-System. Gearbeitet hatte ich immer direkt auf meinen Rechnern, Daten dort gespeichert, etc. und bei größeren Änderungen manuell auf die NAS geschoben, dort gespiegelt. (Ja, ich habe auch zwei externe Backups davon an verschiedenen Orten rumzuliegen ;) ). Inzwischen arbeite ich oft direkt auf der NAS, d.h. ich lade Dateien direkt von dort und speichere dort auch direkt wieder ab, spare mir also den Zwischenschritt mit dem Rechner, dessen Platte nur noch "Arbeitsspeicher" ist, wenn man so will: Der hat also nur Arbeitsstände, aber keinen kompletten Datenbestand mehr. Demnach ist die NAS schleichend mehr zu sowas wie einem FileServer geworden.

Was will ich nun mit der DS224+ (intern 2 WD Red Plus 6TB, davor eine Eaton ECO 650 USV) tun? Mir ist das bisher betriebene Setup eigentlich wichtig und würde es weiter betreiben: RAID1, vollverschlüsselt. Allerdings hat mich das QNAP-Desaster ein wenig abgeschreckt, irgendwelchen internen, proprietären Verschlüsselungstools zu vertrauen und bei plötzlichem Nichtsupport der Funktion (und absolutem Nichtstun seitens des Herstellers) plötzlich vor zwei Festplatten zu stehen, die zwar toll verschlüsselt sind, ich aber mangels irgendwelchem Support ausgesperrt bin. Meine Idee war eigentlich, jetzt lieber einen großen Veracrypt-Container auf die NAS zu legen und diesen immer zu mounten. Das hat meiner Meinung nach schon einmal den Vorteile, dass ich den Container im Zweifel überall hinkopieren kann und somit die externe Sicherung unter Wahrung der Verschlüsselung ein Kinderspiel wäre - und den ich jederzeit von überall wieder mounten könnte.

Frage 1: Wie würde sich das mit dem RAID1 vertragen? Hat schon jemand Erfahrungen gemacht, (sehr große) Veracrypt-Container zu synchronieren?
Frage 2: Wie kann ich prüfen, dass die Synchronisierung wirklich funktionert (auch unabhängig von Verschlüsselung): Kann ich gezielt Platte 1 oder Platte 2 ansprechen und mal schauen, was auf den jeweiligen Platten wirklich drauf ist? Oder muss ich blind vertrauen, dass die Syno das schon irgendwie macht?

Ich habe nun gelesen, dass die Syno selbst auch Vollverschlüsselung anbietet. Ja, damit würde ich mich wieder dahin beheben, wo ich bereits war: In die Hände proprietärer Verschlüsselungstools. Falls sich aber die Sache mit dem Veracrypt-Container nicht vernünftig macht (Ich denke primär daran, dass ich auf den Container ggf. von unterschiedlichen Geräten gleichzeitig zugreifen werde), dann bliebe diese Option erstmal noch - in der stillen und verzweifelten Hoffnung, dass da nicht auch so ein QNAP-Ding passiert.
Frage 3: Funktioniert das Setup, so wie ich es mir vorstelle, bzw. wie es bei QNAP auch ging? Vollverschlüsselung irgendwo in der Syno einstellen und das wird dann auf die andere Platte direkt gespiegelt? Manuelle Entschlüsselung nach Booten, da ich den Key nicht irgendwo ablegen will. (Was mich dann zurück zu Frage 2 führt: Wie kann das im Zweifelsfall mal direkt prüfen?)

Ist schon wieder ein langer Text geworden: Dank an jeden, der sich meine unbedeutenden Probleme anhört!
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.805
Punkte für Reaktionen
709
Punkte
134
Synology verwendet m.W.n. LUKS zur Vollverschlüsselung, also nix eigenes.D.h. man kann sicherlich auch die Platten am Rechner auslesen (wenn man den Key hat).
Den Schlüssel kannst du auch extern auf einen KMIP-Server(z.b. Raspi) auslagern.
Selbst wenn du an deine Platten nicht mehr ran kommst hast du ja sicherlich noch dein verschlüsseltes Backup 😏.
 

S-Man42

Benutzer
Mitglied seit
11. Jan 2025
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Das war fix :)

Synology verwendet m.W.n. LUKS zur Vollverschlüsselung, also nix eigenes.D.h. man kann sicherlich auch die Platten am Rechner auslesen (wenn man den Key hat).
OK, klingt plausibel. Und funzt das theoretisch auch mit RAID1?

Den Schlüssel kannst du auch extern auf einen KMIP-Server(z.b. Raspi) auslagern.
Hm, ich bin nicht sicher - ich weiß nicht, was ein KMIP-Server ist; lese ich gleich nach - und vielleicht ist das genau das Problem. Aber nach meinem Verständnis macht es doch wenig Unterschied, wo ich den Schlüssel hinlege. Solange da irgendwas automatisch passiert, um meine Platten automatisch zu entschlüsseln, könnte das auch ein Angreifer manuell tun. Ist doch egal, ob der Schlüssel in der Syno abgelegt ist oder in einem Raspi nebenan, oder?

Selbst wenn du an deine Platten nicht mehr ran kommst hast du ja sicherlich noch dein verschlüsseltes Backup 😏.
Natürlich. Nur vielleicht nicht ganz der neueste Stand. Die externen Backups werden in etwas größeren Abständen gezogen, weil ich die externe Platte ja primär woanders lagere und nicht dauerhaft am Gerät habe.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.805
Punkte für Reaktionen
709
Punkte
134
Ich habe 2 x Raid1 und 1 x RAID5 Pools auf meiner 1621+.Alle Verschlüsselt und bis jetzt noch nie Probleme damit gehabt.
Der Raspi sollte natürlich nicht neben der Station stehen, der kann auch an einem anderen Ort stehen und sich per Vpn mit deinem Router verbinden.Ist deine Station weg, ist sie nicht mehr in deinem Netz und hat demzufolge auch kein Zugriff auf den Schlüssel.
 

S-Man42

Benutzer
Mitglied seit
11. Jan 2025
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
OK, danke :)

Bleibt Frage 2: Wenn ich RAID1 zu laufen habe, gibt es eine simple Möglichkeit, dediziert auf beide Platten einzeln draufzuschauen, um zu prüfen, ob die Synchronisierung sauber ist? Insbesondere, wenn man mit Veracrypt-Containern (auch in kleineren Dimensionen) rumspielt, um zu schauen, dass beide Platten wirklich den gleichen Stand haben. Vertrauen ist gut, ...
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.805
Punkte für Reaktionen
709
Punkte
134
Du kannst die Datenbereinigung regelmäßig ausführen lassen, dann wird das geprüft, andere möglichkeit wüsste ich jetzt nicht.
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
937
Punkte für Reaktionen
377
Punkte
83
Finde eigentlich nur ich den Namen "Datenbereinigung" für diese Funktion völlig Banane?
 

S-Man42

Benutzer
Mitglied seit
11. Jan 2025
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Wäre jetzt auch nicht der Punkt unter dem ich das Prüfen einer RAID-Funktionalität suchen würde. Datenträgerbereinigung klingt immer nach rumfuhrwerken auf der Platte und davor schrecke ich aus schlechten Erfahrungen immer zurück. ABer wenn das die Prüfung der Synchonisation ist, dann klingt das schonmal gut.

Wäre es vielleicht auch ein einfacher Weg, einfach mal eine Platte auszuhängen? Dann müsste die NAS doch eigentlich automatisch auf der anderen arbeiten. Und schon kann man mal Stichprobem machen, oder?

Zu Frage 1: Hat jemand schon einmal Erfahrungen mit dem Sync von VC-Containern gemacht? Also kann man sicher sein, dass die Container aktualisiert werden? Da gabs ja früher immer Probleme, weil die Timestamps ggf. nicht aktualisiert wurden (was man ja bei VC einstellen kann, soweit ich weiß)?
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.805
Punkte für Reaktionen
709
Punkte
134
Eine Platte im Raid1 aushängen geht, ist aber eine schlechte Idee, in dem Moment wo die Platte draußen ist, ist das Raid degradiert, d.h. die Daten logischerweise nicht mehr synchron, sobald du die Platte wieder reinsteckst muss das ganze Raid wieder neu aufgebaut werden, was Stress für die Platten heißt und sicherlich nicht zur Lebensdauer beiträgt.
Davon abgesehen ist die Funktion eines Raid 1 ja das die Daten auf allen Platten gleich sind und das bekommt die darunterliegende Software auf ein paar Millionen Systemen glaub ich mal ganz gut hin, also sicherlich auch bei dir.
Es ist nicht so das eine Datei auf einer Platte vorhanden ist und auf der andern nicht.
 
  • Like
Reaktionen: ctrlaltdelete

S-Man42

Benutzer
Mitglied seit
11. Jan 2025
Beiträge
5
Punkte für Reaktionen
0
Punkte
1
Ja, ich würde beim Aushängen natürlich darauf achten, keine Schreiboperationen auszuführen. Dann sollte es doch gehen, oder?
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.419
Punkte für Reaktionen
6.289
Punkte
569
Nein, das RAID muss danach syncen bzw. repariert werden, weil das System dauernd irgendwas schreibt.
 
  • Like
Reaktionen: Rotbart


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat