Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Hm.. 20-stelliges Passwort beim Start? Mal blöd gefragt, was machst du, wenn du zB via SSH ein Update machst und die Kiste neustarten musst? An meinem Server sind weder Maus, Tastatur noch Bildschirm dran, ich wüsste gar nicht wo/wie ich ein Boot-Passwort oder dergleichen eingeben sollte.. "Normalerweise" startet der Server ja in die Konsole. Da müsste man sich eh einloggen, um etwas am Server zu machen. Mir erschließt sich der Sinn daher nicht so recht..
Dafür ist der USB Stick als zweitschlüssel da. Sobald der am NAS steckt, wird das system und dir 2. HDD automatisch entschlüsselt. Steckt der stick nicht, muss man eine Tastatur anschließen und das Passwort eingeben. Außerdem hat man durch die luks verschlüsselung gar keinen Zugriff auf die Dateien wenn man das Passwort nicht kennt oder die keyfiles hat.
So. Zurück aus dem Urlaub und mal wieder fleissig am NAS arbeiten.
Bin gerade dabei OpenVPN einzurichten. In der Datei vars in /etc/openvpn/easy-rsa2 stehen folgende Dinge:
Code:
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="US"
export KEY_PROVINCE="CA"
export KEY_CITY="SanFrancisco"
export KEY_ORG="Fort-Funston"
export KEY_EMAIL="me@myhost.mydomain"
export KEY_OU="MyOrganizationalUnit"
Muss ich diese wahrheitsgemäß angeben? Zum Beispiel meine private mail-adresse?
Im Prinzip kannst du das so lassen oder irgendeinen Müll eintragen. Die Zertifikate sind ja nur in deinem privaten Umfeld gültig. Diese Daten werden im Zertifikat hinterlegt, um es zu identifizieren. Der entscheidende "Name" des Zertifikats ist aber der "Common Name". Anhand dieses Namens kann man beim Verbindungsaufbau serverseitig verschiedene Optionen setzen.
Der Eintrag für die eMail ist optional, der Rest wird aber ins Zertifikat eingefügt. Das sieht dann ungefähr so aus:
subject= /C=DE/ST=Hamburg/L=Hamburg/O=SonneVPN/OU=Family/CN=Raijin <-- "ID-String" des Zertifikats
Ist es sinnvoll für die Schlüssel auch Passwörter zu setzen?
Code:
sudo -E ./build-key-pass ersterclient
Diesen müsste man doch dann bei jeder Anmeldung über VPN eingeben oder?
Sollten also Zertifikate in fremde Hände gelangen, benötigen die noch das Passwort oder?
Wenn das Zertifikat mit einem Passwort versehen wurde, muss man es in der Tat bei jeder Verbindung eingeben. Ohne das Passwort ist das Zertifikat nicht gültig.
Grundsätzlich ist es natürlich mit einem Passwort sicherer. Ob man eins vergeben will, muss jeder selbst wissen. Falls man keins vergibt und es verloren geht (zB Laptop-Diebstahl), kann man das betroffene Zertifikat am Server sperren. Problematisch wird es aber dann, wenn man nicht bemerkt, dass ein Zertifikat kompromittiert wurde (zB duch Trojaner geklaut oder unbeobachtet vom Laptop kopiert).
beim Punkt LAN einbeziehen komme ich auch nicht weiter. Benötige ich das LAN einbeziehen überhaupt? Ich möchte ja eigt. nur auf das NAS zugreifen, theoretisch nicht oder?
Hab das bisher einfach alles gelassen und weiter gemacht. So bei einem Windows Client muss ich ja die client.ovpn in den conf Ordner packen. Dort habe ich als IP normal wie im Server 1194 eingegeben. Als IP Adresse habe ich den Common Name der auch gleichzeitig der DynDNS Name ist eingegeben. Ich bin bis jetzt in meinem LAN konnte es aber schon testen und er hat sich verbunden. Muss das gleich mal von außerhalb testen. Als IP habe ich aber diese 10.x...... bekommen.
edit: Von außerhalb verbindet er sich, ich kann aber nicht auf die Netzlaufwerke mit \\mynas zugreifen.
meinst du mit dieser IP "10.8.0.6" ? Falls ja, das ist die IP deines Gerätes, mit dem du die VPN Verbindung aufbaust. OpenVPN vergibt standardmäßig dem "Server" (in diesem Falle ist deine NAS ja dein Server) die erste IP im VPN-Netz, in diesem Falle wäre dies die 10.8.0.1 .
Man kann die DNS-Auflösung "umgehen", indem man auf dem Client-PC in der hosts Datei einen Eintrag hinzufügt. Dann klappt's auch mit \\servername\share
Der Server hat im VPN-Subnetz immer die erste Adresse, in der Regel also die .1. Allerdings habe ich bei mir nach der Umstellung meines VPNs von TCP nach UDP bemerkt, dass mein Gateway auf die .5 umgestellt wird. So ganz nachvollziehen kann ich das nicht, weil ein tracert über die .1 geht und mir als WAN-IP auch korrekt meine Heim-IP angezeigt wird. Ich weiß nicht genau warum das so ist, aber bei dir könnte das zu ähnlichen Verwirrungen führen wie bei mir
Bevor ich das ausprobiere habe ich da noch eine Frage offen. Kann ich mich auch nur mit Username und Password am VPN authentifizieren, sprich ohne Zertifikate? Das wäre nämlich viel einfacher für mich. Sichere Passwörter nutze ich sowieso
Der Thread ruht ja nun schon ein paar Wochen, trotzdem mal die Frage: Noch zufrieden mit dem System?
Ich möchte mich am YaCy-Projekt beteiligen und hatte letzten Winter schon mit preiswerten Systemen, auch was Stromverbrauch betrifft, rumexperiment: Auf ARM-Basis mittels Raspberry und CubieTruck. CubieTruck (ARM Core-A20, mit 2GByte RAM und SATA; wenige Watt, wenn die 2 Kerne nichts weiter zu tun haben) liegt bei um die 100 Euro und ist damit preislich vergleichbar mit dem von Dir verwendeten System. Ich denke, dass der Intel-Chip das mehrfache an Leistung raus holt. Natürlich auch mit etwas mehr Strom. Aber YaCy benötigt zumindest spitzenweise mehr Leistung. Mit dem Dual-Core-ARM des CubieTruck ist jedenfalls bei dieser Anwendung kein Blumentopf zu gewinnen.
Hast Du inzwischen mal mit einer PicoPSU testen können? Die Angabe mit 80% Wirkungsgrad des ATX-Netzteils bei 10% Leistungsabgabe wäre ja eigentlich sehr gut. Kann ich kaum glauben. 10% sind also 30 Watt und davon 20% Verlust sind 6 Watt.
Da YaCy 24/7 laufen soll, ist der Stromverbrauch im Vergleich zu den Anschaffungskosten der Hardware nicht zu vernachlässigen.
Ich überlege, das DC-Board (Q1900DC-ITX) dieser Reihe von ASROCK zu kaufen. Die geben an, dass im Idle nur noch 12 Watt und bei Volllast 24W benötigt werden. Aber auch ein externes Schaltnetzteil (also kein ATX) wird irgendwo zwischen 80...85% Wirkungsgrad liegen. Ich befürchte, dass die 12 Watt nur gelten, wenn man alle Peripherie abschaltet und keinen RAM-Riegel steckt. ;-)
Inklusive dem externem Netzteil wird man also bei um die 120 Euro für das Motherboard liegen. Da kommst Du mit dem ATX-Netzteil eigentlich günstiger. Was denkst Du?
Viele Grüße
Frank
Ergänzung ()
Noch ein Gedanke dazu: Windows soll bessere Stromsparmöglichkeiten haben als Linux (Ubuntu). Man könnte ein nahezu "leeres" Windows installieren und mit einer VirtualBox das Ubuntu laufen lassen. Hat sowas schon mal jemand probiert? Wäre zwar von hinten durch die Brust, aber wenn das Ergebnis ok ist, ist das zumindest eine Möglichkeit.
Da das Linux mit dem Netz kommuniziert und Windows faktisch "zu" gemacht werden kann, könnte man mit einem WinXP auskommen. Kleiner als Win7 und dafür findet sich sicher ein Nachbar mit inzwischen ungenutzer Lizenznummer.
Hi.
Erstmal vorab ein kleines Update von mir.
Da mir die Einrichtung von VPN zu umständlich wurde und ich dann noch meinen Mitnutzern des Systems hätte alles erklären müssen, bin ich anders vorgegangen. Ich installierte Apache und OwnCloud. Das ganze dann über eine SSL-Verschlüsselung und einen alternativen Port. Somit habe ich im Router nur 2 Ports die offen sind: SSH und ownCloud. Mehr benötige ich auch nicht. Das System läuft mittlerweile produktiv und wird von meinen Mitbewohnern fleißig genutzt. Cloud, File Server sowie ein DLNA Server für die Wiedergabe am TV oder Smartphone. Den Kauf bereue ich absolut nicht. Es erleichtert mir sehr die Arbeit, insbesondere wenn es dann heißt: "Kannst du meinen PC mal neuinstallieren, der läuft nicht mehr gut." Daten liegen sowieso auf dem Server. Oftmals kann einfach die Windows-Installation direkt gestartet werden. Die Server Backups laufen mit rsync alle paar Tage mal durch auf eine externe Festplatte. Was evtl. Anfang nächsten Jahres noch kommt ist ein neues Gehäuse von Lian-Li mit 6 HDD-Slots. Da mein jetziges alle Slots belegt hat und die Temperaturen ruhig etwas niedriger sein können. Zu guter Letzt kann ich es nur nochmal betonen: "Wer sich überlegt ein NAS anzuschaffen wird eine Menge Spaß damit haben!"
So.... nun zu dir
Ja, mit meinem System bin ich absolut zufrieden. Die Pico PSU konnte ich noch nicht testen, da ich die ersten Monat viel zu sehr mit dem System beschäftigt war. Es gibt eine Vielzahl von Möglichkeiten die man damit hat. Bei vielen Dingen muss man sich auch erstmal für die richtige Lösung entscheiden. Das ganze sollte man natürlich erstmal in einer virtuellen Umgebung testen.
Auch bin ich mit dem Durchschnittsvverbrauch von 20W absolut zufrieden. Wenn mal Hochbetrieb ist geht der Verbrauch bis ca. 24W-25W, aber mehr auch nicht. Das NAS läuft solange ein Rechner oder TV im Haus an ist. Sind die Rechner oder Tvs länger als 1 Stunde aus, so fährt auch das NAS herunter. Somit läuft es Nachts so gut wie nie. Den Vorteil den ich bei einer Pico PSU noch sehe ist der erhebliche Platzgewinn. Welche du jetzt nehmen solltest kann ich dir nicht sagen. Beide haben ihre Vor- und Nachteile. Ich kann sagen, dass ich mit meinem ATX Netzteil und den Werten zufrieden bin.
Zum Thema Window vs. Linux. Windows braucht jedenfalls mehr Resourcen. Da ich mit meinen Werten zufrieden bin, würde ich immer wieder zum Ubuntu Server greifen. Dieser läuft sehr stabil. Ich hatte noch keinen Absturz oder Leistungseinbrüche. Desweiteren gibt es mit Ubuntu/Linux sehr viele Möglichkeiten. Der Ubuntu Server kommt als File Server auch gut mit Windows Clients klar. Im Endeffekt müsstest du es entscheiden. Ich habe mich in ca. 4 Monaten gut in Ubuntu eingearbeitet (Kommandozeilen Hokus-Pokus ) und kann es nur weiterempfehlen. Egal welches OS man nehmen sollte, man muss bei beiden neu anfangen. Ob der Stromverbrauch wirklich geringer wird durch einen Windows Server mag ich anzuzweifeln und wenn dann wahrscheinlich nur gering.
Der Stromverbrauch ist aber gewaltig. Mit dem Q1900-DC + billige Notebook Netzteil habe ich 7 Watt IDLE und 12W mit aktiver Platte. ATX Netzteile taugen echt nicht viel. Um die 5 Watt bekommst du mit dem tool TLP noch raus, das legt USB Ports schlafen usw.
Für SSH von außen müssen die passenden Ports zum Rechner weitergeleitet werden.
Viel muss da nicht gemacht werden. Mach gleich den login per PW dicht und nutze auth keys. Ein Fehler ist allerdings Ubuntu Server, da man das normale Ubuntu auch ohne GUI booten kann, umgekehrt aber nicht.
Windows Server auf keinem Fall nehmen, habe da noch Lizenzen für die Datacenter Version.
Die Tools da drauf sind einfach nur für Anfänger Admins gemacht, die nicht den brutalen Prügel eines Linux Terminals bezogen haben ^^
WIN verbraucht sogar mehr, weil es sich nicht 100% kontrollieren lässt. Z.b. ungewollte HDDs SpinUPs trotz SSD und Schwierigkeiten mit non-Windows Systemen, mickrigen multi user support, sowie fehlenden tools (hdparm, tlp..). Trauen würde ich einem US Unternehmen auch nicht mehr.
Hey. Danke für deine Rückmeldung. Also SSH nutze ich über ein 20-stelliges PW durch KeePass Das passt schon so. Ich habe sowieso nur einen speziellen User für SSH freigegeben und root ist deaktiviert für SSH. Das mit dem Notebooknetzteil ist aber schon krass. Kannst du mir da eins empfehlen? Ist ja bald Weihnachten
edit: Reicht der Anlaufstrom einer Pico PSU für 3-4 HDDs + SSD?
Jein, man kann eine GUI auch bei Ubuntu Server nachinstallieren - auch wenn ich es nur im Notfall tun würde... Grundsätzlich empfiehlt es sich aber, für Server-Zwecke stets auch Server-Versionen zu verwenden. Zum einen wegen des Supports, Stabilität, etc und zum anderen weil jede zusätzliche Software natürlich auch zusätzliche Sicherheitsrisiken bedeuten kann. Je weniger zusätzlicher, ungenutzter Kram im System ist, desto überschaubarer ist auch die Installation. Ich will jetzt keine Grundsatzdiskussion lostreten, aber Sicherheitslücken zB in "OpenOffice" oder sonstigen klassischen Desktop-Installationen können einen Server nicht beinträchtigen, wenn sie überhaupt nicht installiert sind. Für den (relativ) unkritischen Heimbetrieb tut's aber sicher auch eine Desktop-Variante. Letztendlich ist es alles nur eine Frage der Konfiguration des Betriebssystems und wie gut man sich mit potentiellen Sicherheitslücken, Fallstricken, etc. auskennt - bei Server- und Desktop-Versionen gleichermaßen
Seh ich genauso. Deshalb installiere ich alle meine Server-VMs nur noch entweder mit Debian Stable "netinst" (nur mit SSH) oder CentOS 7 "Minimal Installation". Weniger Angriffsfläche, aber vor allem kürzere Installation- und Update-Dauer.
Werde wohl wahrscheinlich nach Weihnachten auf ein anderes Gehäuse gehen. Grund: Das jetzige ist sehr kompakt und ich bin ganz sicher, dass die 2. HDD nicht an die Seite passt aufgrund der ganzen Kabelage vom Netzteil. Oder ich nehme zu erst die PICO PSU. Den Platz könnte ich dann für eine 2. HDD doch noch nutzen. Hmmm.
Habe bei amazon aber gelesen dass manche PICO PSUs bei der Stromversorgung schwanken. Deswegen traue ich den Dingern noch nicht. Ich möchte schließlich die restlichen Komponenten nicht beschädigen. Kann mich jemand aufklären?
