Vorwort
Wie bereits in der Community versprochen, möchte ich euch meinen Umbau des NAS DS918+ beschreiben bzw. lasse euch an meinen Erfahrungen teilhaben und vielleicht nimmt es auch dem einen oder anderen Neuling die Angst vor größeren Aufgaben.
WARUM?
Ich habe 2018, als ich mich mit meinem Arbeitskollegen unterhalte habe, das Interesse an einem NAS gefunden. Meine Filme lagen bisher auf 5 verschiedenen USB-Festplatten. Somit war das Anschauen
Und für Neulinge VOARB: Die Stromkosten müsst ihr mit einrechnen, wenn ihr die Investition mit einem Cloudspeicher vergleicht. Auf lange Zeit ist der Cloudspeicher mittlerweile wahrscheinlich preiswerter, ABER warum doch ein NAS:
Nach reichlicher Überlegung, ist es eine DS918+ mit 4x 6TB Seagate Ironwolf geworden. Die Datensicherheit vom DSM, die Möglichkeiten und die doch einfache Bedienung am Anfang haben zur Entscheidung beigetragen. Da auch natürlich die Fotos von unseren Kindern und auch geschäftliche Daten meiner Frau lagern, war für MICH die Entscheidung auf ein RAID 6 gefallen, also die Ausfallmöglichkeit von gleichzeitig 2 Laufwerken. Ob die Entscheidung richtig war und ob ich heute genauso entscheiden würde? Dazu später mehr.
WAS WOLLTE ICH MACHEN?
Neben der Datensicherheit, war natürlich auch die Entscheidung für die DS918+ dahingehend getroffen, weil 4-Bay -> was also ein RAID 6 überhaupt erst möglich macht, die Möglichkeit NvME zu verbauen und der „relativ“ starke Prozessor – für damalige Verhältnis. Folgende Szenarien wollte ich durchführen:
Umbau
Ablauf des Umbaus
Dort klicken und man kann die zuvor gesicherten Daten wieder herstellen. Nachdem die wichtigsten Daten wiederherstellt waren, habe ich die großer Wiederherstellung der Filme angeschoben und bin ins Bett. Kleine Erkenntnis: Die Freigegebenen Order können ruhig schon angelegt werden. Die Daten bei Wiederherstellung werden in den richtigen Ordner gelegt, solange der auch gleich heißt.
MEINE Einstellungen für Ordner / Benutzer / Sicherheit
Hier geht es nun um MEINE Einstellung, bei denen ich denke, dass diese zu mindestens halbwegs sicher sind. Ich möchte mein NAS für bestimmte Dienste im Internet bereitstellen und habe als Firewall eine OpnSense.
HINWEISE und ungelöste Probleme (Tipps von euch gern gesehen)
Ich weiß, es war viel Text und hoffe, ihr hattet dennoch etwas Spaß beim Lesen. An die Neulinge: Vorbereitung ist alles. Und ruhig auch hier in der Community Fragen zur Installation UND zur Nutzung stellen, BEVOR EIN NAS GEKAUFT UND INSTALLIERT IST. Es gibt hier großartige Forummitglieder, die sehr gern helfen und großartiges Fachwissen haben. Zum Beispiel:
@Benie , @alexhell , @dil88 , @maxblank , @ctrlaltdelete , @plang.pl ,@*kw* , @Benares , @metalworker , @Jim_OS um nur einige zu nennen.
Macht euch Gedanken, was ihr JETZT mit dem NAS machen wollt, wie viel Datenbedarf ihr JETZT habt und in 5 Jahren!!! Das wird leider häufig unterschätzt und man beginnt nach 2 Jahren wieder mit einem neuen NAS. Und macht euch auch Gedanken über eine Backupstrategie nach der 3-2-1 Regel. Oft ist hier was von 20TB, 30TB an Daten und mehr zu lassen. Aber oft wird auch NICHT gesichert, weil keine Backupstrategie für diese großen Datenmengen existiert. Ein RAID, egal welches, ist KEIN BACKUP. Und hier gilt auch der Spruch aus der IT: "Kein Backup, kein Mitleid"!!! Bitte bedenkt auch dies. UND VORALLEM!!!
Der Ton macht die Musik. Wenn ihr Hilfe möchtet und Fragen stellt, denkt bitte auch an die richtige Wahl des "Tons". Oft vergessen hier einige gewisse "Kniggeregeln" und vergessen anscheinend, dass sie Hilfe suchen. Beim falschen Ton ist auch mal ganz schnell Schluss mit Hilfe. Und sollte euch geholfen werden können - auch von EXTERN, wie zum Beispiel dem Synology Support - dann vergesst euch auch mal nicht zu bedanken und die Lösung kurz mitzuteilen, auch wenn ihr selbst die Lösung gefunden habt. Nur so helft ihr auch Anderen, die vielleicht nur mitlesen oder über die Suchfunktion stöbern.
Wie bereits in der Community versprochen, möchte ich euch meinen Umbau des NAS DS918+ beschreiben bzw. lasse euch an meinen Erfahrungen teilhaben und vielleicht nimmt es auch dem einen oder anderen Neuling die Angst vor größeren Aufgaben.
WARUM?
Ich habe 2018, als ich mich mit meinem Arbeitskollegen unterhalte habe, das Interesse an einem NAS gefunden. Meine Filme lagen bisher auf 5 verschiedenen USB-Festplatten. Somit war das Anschauen
- Nur im Wohnzimmer möglich
- War in Kodi recht mühsam
Und für Neulinge VOARB: Die Stromkosten müsst ihr mit einrechnen, wenn ihr die Investition mit einem Cloudspeicher vergleicht. Auf lange Zeit ist der Cloudspeicher mittlerweile wahrscheinlich preiswerter, ABER warum doch ein NAS:
- Die Daten liegen bei mir und nur bei mir.
- Kapazitätsengpässe können relativ leicht beseitigt werden.
- Man ist nicht auf die Internetleitung angewiesen. Weder auf Stabilität, Funktionalität und auch nicht auf irgendwelche Down-/Uploadraten.
Nach reichlicher Überlegung, ist es eine DS918+ mit 4x 6TB Seagate Ironwolf geworden. Die Datensicherheit vom DSM, die Möglichkeiten und die doch einfache Bedienung am Anfang haben zur Entscheidung beigetragen. Da auch natürlich die Fotos von unseren Kindern und auch geschäftliche Daten meiner Frau lagern, war für MICH die Entscheidung auf ein RAID 6 gefallen, also die Ausfallmöglichkeit von gleichzeitig 2 Laufwerken. Ob die Entscheidung richtig war und ob ich heute genauso entscheiden würde? Dazu später mehr.
WAS WOLLTE ICH MACHEN?
Neben der Datensicherheit, war natürlich auch die Entscheidung für die DS918+ dahingehend getroffen, weil 4-Bay -> was also ein RAID 6 überhaupt erst möglich macht, die Möglichkeit NvME zu verbauen und der „relativ“ starke Prozessor – für damalige Verhältnis. Folgende Szenarien wollte ich durchführen:
- Filme auf mehreren Geräten im Haushalt abspielen.
- Eine virtuelle Win 10 Maschine, um das Buchhaltungs- und Bankprogramm für meine Frau nutzen zu können.
- MariaDB für meine Filmdatenbank aus KODI.
- Synology Drive Server und Synology Photos, um meinen Onkel mit anbinden zu können.
- Weitere VM für Home Assistant
- Docker für Unifi Controller
- Später Digital Zeiterfassung mit Kimai für die Angestellten meiner Frau.
- ecoDMS und ecoMailz als Container
- VM Win 10 jetzt Win 11
- VM Home Assistant
- Unifi Controller läuft jetzt als LXC
- Jellyfin läuft als LXC
- MariaDB läuft als LXC
- VM Home Assistant
- Surveillance Station wird jetzt durch die Reolink Integration von Home Assistant ersetzt
- Audio Station -> etwas besser als Jellyfin
- Synology Photos -> etwas besser als Jellyfin
- Synology Drive Server -> ich hab noch keine Zeit für Nextcloud gehabt
- Hyper Backup
- evtl. kommt noch Active Backup for Business dazu
Umbau
- RAID 6 weg -> „Verschwendung“ -> nicht einen Fehler in den 5 Jahren
- Bond der 2 Netzwerkschnittstellen auflösen, aber über die OpnSense die Verteilung auf die 2 NICs steuern, in dem ich die in getrennte Netze packe.
- 1x RAID 1 mit 2x 4TB SSD für das DSM, die Apps und die wichtigen Daten
- 1x RAID 1 mit 2x 16TB HDD für Backups und die Filme
Ablauf des Umbaus
- VORHER Einstellungen speichern und den Ablauf den Umbaus AUFSCHREIBEN!!! bei mir waren es 9 Seiten in WORD -> so geht es schneller und man vergisst nix
- Backup ALLER Daten auf eine externe 14TB HDD: 29.05.2024 – 31.05.2024
- Backup aller Daten AUßER Filme auf eine 6TB HDD 02.06.2024
- Backup der Filme auf 3. externer 5TB USB HDD
- Finales Backup der Daten und Filme auf der 14TB Platte am 08.06.2024 (17:30 Uhr – 18.00 Uhr)
- Quick Connect deaktiviert, DDNS gelöscht, Synology Konto getrennt und NAS aus dem Online Konto bei Synology gelöscht
- NAS heruntergefahren
- Nvme’s ausgebaut
- 4x Seagate Ironwolf 6TB HDDs aufgebaut
- 2x WD Red 4TB SSD eingebaut und NAS gestartet: Es ist 19:00 Uhr
- DSM 7.2 installiert
- Alternatives Aminkonto eingerichtet. Standard-Adminkonto DEAKTIVIERT.
- Updates eingespielt ab 19:13 Uhr in 2 Schritten
- 2x 16TB HDDs installiert und Speicherpool 2 eingerichtet 19:30 Uhr
- Freigabe Ordner angelegt bis 19:48 Uhr
- Einstellungen, Benutzer bis 00:17 Uhr
- Stand 09.06.2024 08:18 Uhr – Wiederherstellung läuft noch
- Die ersten Benutzer sind auf 2FA umgestellt. Für diese Benutzer wurde bereits das DSM blockiert. Es ist nur noch Zugriff auf File / Audio und Photo über den Reverse Proxy der Firewall verfügbar.
- Apps installiert und die Berechtigungen gesetzt
- Rücksicherung der Daten die dringend sind -> Schuldaten der Kinder, Daten für das Geschäft meiner Frau und die Homes Ordner *1
Dort klicken und man kann die zuvor gesicherten Daten wieder herstellen. Nachdem die wichtigsten Daten wiederherstellt waren, habe ich die großer Wiederherstellung der Filme angeschoben und bin ins Bett. Kleine Erkenntnis: Die Freigegebenen Order können ruhig schon angelegt werden. Die Daten bei Wiederherstellung werden in den richtigen Ordner gelegt, solange der auch gleich heißt.
MEINE Einstellungen für Ordner / Benutzer / Sicherheit
Hier geht es nun um MEINE Einstellung, bei denen ich denke, dass diese zu mindestens halbwegs sicher sind. Ich möchte mein NAS für bestimmte Dienste im Internet bereitstellen und habe als Firewall eine OpnSense.
- Benutzer bekommen NUR den Zugriff, den sie unbedingt brauchen!!! Das gilt für Ordner wie auch für Apps.
- Gruppen habe ich wie folgt angelegt: Administratorgruppe, Familie, Server und User extern. Hier muss man gut überlegen, dass man sich "kein Bein stellt"
- ALLE Nutzer die Personen sind und auf das NAS zugreifen, müssen die 2FA nutzen -> ALLE!!!
- kein Benutzer darf mein erstelltes Passwort ändern
- kein Benutzer, außer mir mein Admin-Konto, darf DSM nutzen
- HyperBackup sollte entsprechend eingestellt werden
- Snapshot Replication nutzen und entsprechend einstellen
- auf der OpnSense ist Crowdsec installiert
- auf der OpnSense ist HAProxy als Reverse Proxy installiert -> somit muss ich überhaupt keine Ports öffnen, außer den für den Drive Client und es läuft alles über Lets Encrypt Zertifikate
- ALLE Ports für DSM und die Anwendungen abändern
- Umleitung zu https aktivieren
- Benachrichtigungen einrichten
- ich lasse mich bei Updates nur informieren, wann und ob ich die einspiele, entscheide ich!!!
- die 2 NIC haben getrennte Adressen und ich kann somit über die OpnSense steuern, welche Anwendung auf welche Netzwerkschnitte zugreift -> setzt aber einen Router voraus, der auch VLAN kann!!!
- Unbedingt bei Sicherheit - Konto den Kontoschutz aktivieren. Ich habe eingestellt: 3 Logins / in 10 Minuten / Kontoschutz aufheben 999 Minuten bzw. 3 Logins / in 10 Minuten / Kontoschutz 240 Minuten
- und automatische Blockierung -> 3 Logins / in 10 Minuten -> KEINE Aufhebung -> ABER ACHTUNG BEI NUTZUNG Reverse Proxy!!! WICHTIG FÜR NEULINGE!!! Nutzt ihr einen Reverse Proxy, wird bei Falscheingang automatisch die IP Adresse des LAN NICs gesperrt -> heißt bei mir 192.168.1.1 . Das muss man wissen. Umgehend kann man das, indem man sich mit der internen IP des PCs/Laptops statt der Subdomain anmeldet und den Schutz wieder aufhebt. Ich lasse meine "unbedarften" Nutzer das Passwort auch in Chrome oder Firefox abspeichern. Warum? Es wird auch dort verschlüsselt, sie haben keine Adminrechte UND sie müssen sowieso 2FA nutzen!!!
HINWEISE und ungelöste Probleme (Tipps von euch gern gesehen)
- die Blockliste der Länder bringt in meiner Konstellation auf der Synology NICHTS -> Warum? Wenn ich den Reverse Proxy auf der OpnSense nutzen, kommt alles über das Netz des jeweiligen NICs. Das heißt, die Anfragen kommen über 192.168.1.1. Daher macht die Länderblockliste auf der Synology keinen Sinn. ABER ICH HABE AUF DER OPNSENSE eine Geoblockliste!!! Ich könnte hier spezielle Dienste für die einzelnen NICs sperren, aber da ist der Aufwand höher und ich hätte fast keinen wirklichen Nutzen davon.
- Die App Audiostation auf dem Smartphone(s) geht über die Subdomain Adresse wunderbar. Die File Station App nicht. Warum nicht? Kein Ahnung. Im Reverse Proxy ist alles korrekt auf den separaten Port der File Station "umgebogen". Gebe ich die Subdomain im Browser ein, funktioniert es wunderbar. In der App auf dem Smartphone geht es nur mit der IP der DS918+ und dem Port.
- Da ich nicht mit Portzusatz in der Domain arbeite, kann ich leider den Hardwaretoken (Yubikey) nur bei DSM nutzen. Bei der Filestation oder Drive Station geht nur 2FA OTP. Stört mich das: NEIN. Ist es schade? JA. Aber ich nutze die 2FA OTP ebenso über den Yubikey. Also alles gut.
- Das NAS bzw. der Name des NAS wird in Windows 11 in der Netzwerkumgebung NICHT MEHR angezeigt. Das mit den alten Einstellungen und dem altem NAS "DS918" war es normal zu sehen. SMB Einstellungen habe ich mehrfach geprüft, mehrfach den WS Discovery Dienst aus und wieder eingeschalten. Ich vermute, dass es hier irgendwas mit den Anmeldeinformation (Windows Anmeldeinformationen) zutun hat. Habe aber noch nichts entdecken können. Vielleicht hat ja jemand von euch einen Tipp?
- Ich habe mein separates Lets Encrypt Zertifikat für den Synology Drive Server importiert und bei der Anwendung hinterlegt. Dennoch meckert er im Client rum, dass das SSL Zertifikat nicht stimmt. Ideen eurerseits?
Ich weiß, es war viel Text und hoffe, ihr hattet dennoch etwas Spaß beim Lesen. An die Neulinge: Vorbereitung ist alles. Und ruhig auch hier in der Community Fragen zur Installation UND zur Nutzung stellen, BEVOR EIN NAS GEKAUFT UND INSTALLIERT IST. Es gibt hier großartige Forummitglieder, die sehr gern helfen und großartiges Fachwissen haben. Zum Beispiel:
@Benie , @alexhell , @dil88 , @maxblank , @ctrlaltdelete , @plang.pl ,@*kw* , @Benares , @metalworker , @Jim_OS um nur einige zu nennen.
Macht euch Gedanken, was ihr JETZT mit dem NAS machen wollt, wie viel Datenbedarf ihr JETZT habt und in 5 Jahren!!! Das wird leider häufig unterschätzt und man beginnt nach 2 Jahren wieder mit einem neuen NAS. Und macht euch auch Gedanken über eine Backupstrategie nach der 3-2-1 Regel. Oft ist hier was von 20TB, 30TB an Daten und mehr zu lassen. Aber oft wird auch NICHT gesichert, weil keine Backupstrategie für diese großen Datenmengen existiert. Ein RAID, egal welches, ist KEIN BACKUP. Und hier gilt auch der Spruch aus der IT: "Kein Backup, kein Mitleid"!!! Bitte bedenkt auch dies. UND VORALLEM!!!
Der Ton macht die Musik. Wenn ihr Hilfe möchtet und Fragen stellt, denkt bitte auch an die richtige Wahl des "Tons". Oft vergessen hier einige gewisse "Kniggeregeln" und vergessen anscheinend, dass sie Hilfe suchen. Beim falschen Ton ist auch mal ganz schnell Schluss mit Hilfe. Und sollte euch geholfen werden können - auch von EXTERN, wie zum Beispiel dem Synology Support - dann vergesst euch auch mal nicht zu bedanken und die Lösung kurz mitzuteilen, auch wenn ihr selbst die Lösung gefunden habt. Nur so helft ihr auch Anderen, die vielleicht nur mitlesen oder über die Suchfunktion stöbern.
.
