Raspery Pi als Online NAS

[1337LEET]

Hey.

Ich bin auf der Suche nach einem Online NAS auf das ich von überall auf der Welt zugreifen kann (über lokalen Ordner auf meinem Notebook wie bei Dropbox)

Das ganze sollte wohl so aussehen: Raspery Pi mit 2 USB Festplatten und Anbindung ans Internet über Ethernet.

Die Daten möchte ich mit Truecrypt (wenn es das fürs Raspery OS gibt) verschlüsseln (also das komplette Laufwerksvolumen beider Festplatten).

Auf einer der HDD´s sollen die Daten mit dem Ordner auf dem PC gesynct werden, auf der zweiten Festplatte soll automatisch einmal am Tag ein Backup von der anderen Festplatte erstellt werden (natürlich nicht jedes mal 100 % der Daten sondern nur die die neu dazu gekommen sind oder so - ich denke da gibt es schlaue Lösungen)

Dass das ganze inklussive Backuperstellung und Verschlüsselung sehr Rechenkraftintensiv sein wird weiß ich auch... aber ich habe Zeit. Hochgeschwindigkeitsübertragungsraten strebe ich nicht an... es soll einfach nur stabil laufen.

Meine Frage:
1. Ist das grundsätzlich möglich?
2. Schaffe ich das auch als nicht Netzwerkfachmann?

 

[freeriders]

Schaue dir mal Seafile an.
Ist quasi eine Art eigene Cloud.
Gibt sehr viele Anleitungen im Netz dazu. Noch nicht selbst genutzt aber schon einiges darüber gelesen.
Verschlüsselung ist möglich.

 

[Pitam]

Da ist grad was in arbeit was wie Google Drive/Owncloud ablaufen soll. Hab das Projekt grad aus den Augen verloren steht aber auf meiner Wunschliste.

https://arkos.io/


Da ist die Seite, ist noch alles in ner sehr frühen Phase also etwas umständlich, aber vllt ist es ja was für dich.

 

[Shaddix]

Vielleicht gibts es Leute hier die das bereits verwenden und mehr dazu sagen können. Ich verwende einen PI mit Ex. HDD. Auf dem Pi ist RASBMC installiert, sprich es fungiert als Mediaserver.Filme kucken ist kein problem. Datein hin und her verschieben in lokalen Netzwerk allerdings nicht sehr prickelnd und das ist nichtmal remote. Über die stabiliät kann ich nicht klagen.

Hier ein Video von einem NAS Setup:
http://www.youtube.com/watch?v=3Tn184NhMRI

 

[1337LEET]

Das Semper-Video habe ich jetzt mal kurz überflogen.
So wie ich das sehe schafft man es so aber maximal, dass die Festplatte als Laufwerk angezeigt wird.

Das ist schonmal ein guter Anfang.
Da fehlt aber: automatisches Backup, Verschlüsselung und Remotezugriff

 

[Sputnik1983]

Meine Frage:
1. Ist das grundsätzlich möglich?
2. Schaffe ich das auch als nicht Netzwerkfachmann?

zu 1. Ja!
zu 2. Ja!

Du solltest bedenken, dass der RPi nur ein 10/100-MBit-Ethernet-Controller hat, der soweit ich das verstanden habe auch noch den einzigen USB-Port durchleitet (der 2te USB Anschluss am B-Modell ist nur ein interner-HUB). Das beschränkt den Datendurchsatz schon enorm!

Außerdem brauchst du an den HDDs eine externe Stromversorgung.

Ich informiere mich gerade wegen einer ähnlichen Lösung:
Meine Empfehlung wäre eine ein wenig potentere ARM-Plattform!
Im Moment sehe ich da besonders:

Cubietruck
CuBox i
Wandboard
UDOO

... als deutlich bessere Basis.

Hauptvorteil neben deutlich besserer Performance ist insbesondere das Vorhandensein eines SATA Anschlusses.

Dann einfach eine Linuxdistribution drauf (ich tendiere arg zu ArchARM) und die Möglichkeiten sind grenzenlos!
Truecrypt sollte problemlos möglich sein.
Inkrementelle Backups gehen zB via rsync.
Für den Netztwerkbetrieb lautet das Schlagwort dann wohl Samba, da habe ich mich aber auch noch nicht eingelesen...

Bleibt noch genug an Ressourcen um beispielsweise einen Music Player Daemon (MPD) laufen zu lassen oder XBMC

 

[1337LEET]

Das mit der externen Stromversorgung ist schonmal hinderlich.
Habe hier 2 USB HDD´s. Eine mit / eine ohne externe Stromversorgung.... die ich eigentlich auch verwenden wollte.

Wie gesagt... der Datendurchsatz ist mir relativ egal.
Was gehen sollte wäre ein Streamen von Videodateien. Also dass ich auf meinem Notebook ein Video öffne welches auf der Raspery HDD gespeichert ist - ohne es vorher auf mein Notebook zu ziehen.

Falls du da gerade dran bist und hardwaretechnisch irgendetwas anderes am Start hast und das irgendwann mal läuft wäre ich dir sehr verbunden, wenn du davon berichten könntest.

PS: kenne mich mit Linux absolut garnicht aus - dementsprechend überfordert mich auch die krytische CMD-Bedienung.
Solange ich die Befehle alle habe, alles einmal aufsetze und es dann läuft habe ich nichts dagegen.
Wenn ich allerdings immer mal wieder etwas ändern muss / möchte versuche ich auf Linux zu verzichten bzw. etwas Windowsähnliches wie Ubuntu zu verwenden.

 

[Sputnik1983]

PS: kenne mich mit Linux absolut garnicht aus - dementsprechend überfordert mich auch die krytische CMD-Bedienung.
Solange ich die Befehle alle habe, alles einmal aufsetze und es dann läuft habe ich nichts dagegen.
Wenn ich allerdings immer mal wieder etwas ändern muss / möchte versuche ich auf Linux zu verzichten bzw. etwas Windowsähnliches wie Ubuntu zu verwenden.

An Linux wirst du wohl eher nicht vorbei kommen... soweit ich das beurteilen kann.
Entweder halt Raspbian (Debian) - Stabilität
Oder halt ArchARM (Archlinux) - KISS - Individuell - Aktuell
Arch hat zudem vielleicht das beste Wiki in der Linux-Welt.
Sprich: Viele gute Anleitungen und schnelle kompetente Hilfe im Forum.
Läuft bei mir seit 2-3 Jahren auf dem Desktop und Laptop. Bisher ohne Beanstandung.

Eventuell noch BSD aber da kann ich garnix zu sagen...

Entgegen ersten Annahmen wird die Linuxdistribution Ubuntu nicht auf dem Raspberry Pi zu installieren sein, da Ubuntu nur die ARMv7-Architektur (Cortex-Familie) unterstützt, der Raspberry Pi hingegen die ARMv6-Architektur (ARM11-Familie) verwendet.

 

[1337LEET]

Was mir gerade noch zum gesamten Thema eingefallen ist.

Ist es möglich alle Ports (und was noch so dazu gehört) zu sperren bis auf den Einen über den man auf die Daten zugreift?
Sinn dahinter sollte sein, dass niemand einen Angriff auf das Gerät starten kann um die übertragenen Daten abzufangen.

 

[Sputnik1983]

Per se, schließt man Ports nicht, sondern deaktiviert /deinstalliert den Service/ das Programm, das den Port nutzt.
Ob das nun immer Sinn macht, ist wohl vom Einzelfall abhängig.
Ehrlich gesagt habe ich mich mit dem Thema aber nicht wirklich beschäftigt, kann dir von daher auch nicht wirklich viel sagen, würde aber arg bezweifeln, dass du ALLE Ports (bis auf den einen) schließen kannst, da du ja selbst auch noch irgendwie Zugriff aufs System brauchst...

Das sollte helfen:
https://wiki.archlinux.org/index.php/Port_Knocking

 

[Raijin]

Für den Zugriff von außen würde ich immer über einen VPN-Dienst gehen, da man

a) nur einen Port öffnen muss (evtl. noch zusätzlich einen Port für SSL-Zugriff auf die Serverkonsole)
b) die Verbindung verschlüsselt ist
c) je nach Konfiguration 1:1 im Heim-LAN unterwegs sein kann

Punkt c) äußert sich zB darin, dass man problemlos auf dem heimischen (Netzwerk)Drucker drucken vom NAS Filme/Musik streamen oder aber über den Telekom-IP-Anschluß telefonieren kann (wird von der Telekom sonst geblockt, wenn man nicht von zuhause telefonieren will).

Auf meinem Server läuft zB OpenVPN und nur dieser eine Port ist auch von außen erreichbar (alle anderen werden vom Router geblockt/nicht weitergeleitet). Über den VPN-Tunnel sind dann wiederum alle Dienste, die man zu Hause laufen hat verwendbar (NAS, etc.).

Truecrypt: Wenn die Verbindung, über die du die Daten ziehst, verschlüsselt ist (VPN eben), dann musst du die Festplatten nicht zwangsläufig mit Truecrypt verschlüsseln. Der PI hat nur begrenzte CPU-Ressourcen und da kann es schon mal eng werden, wenn man ihm zuviel zumutet. Außerdem ist das ungefähr so als wenn du als Schutz vor Dieben deine Schränke und Schubladen abschließt (HDD-Verschlüsselung), deine Haustür aber offen lässt ("offener" Zugang von außen). Lieber die Tür richtig verschließen (VPN) und dann die Schränke ruhig auch mal offen lassen können ;-)

 

[1337LEET]

Und im optimalen Fall Haustür + Schrank abschließen.

Die Verschlüsselung soll ja eher vor Diebstahl (oder anderem Abhandenkommen) der HDD Hardware Schützen.

Du wärst also in der Lage das alles so aufzubauen und einzurichten, dass das per VPn läuft, die Haustür "abgeschlossen" ist und die Verschlüsselung + Backup eingerichtet wird?

Würde auch bezahlen, wenn mir das jemand nach meinen Wünschen (und seinem know-how) einrichtet.

Grüße

 

[Radde]

Du könntest dir mal die aktuelle c't anschauen. Da sind verschiedene Artikel über den Raspberry Pi und ähnliche Platinen drin.
U. a. eben auch über den Cubitruck. Im Gegensatz zum Raspberry Pi hat der nämlich einen Gigabit-Netzwerkport, eine SATA-Schnittstelle für 2,5 Zoll Festplatten, wlan und sogar 3 USB-Ports an Bord.

Schau dir das mal an, ich denke als NAS hat man mit dem Board auf dauer mehr Spaß als mit dem Raspberry Pi. (Dafür kostet er natürlich auch 90€...)

 

[1337LEET]

Die 40 € mehr stören mich nicht.
Aber für´s Pi gibts deutlich mehr Anleitungen (zumal ich das so wie ich es möchte ohne Anleitung sowieso nicht hinbekomme)

 

[Raijin]

Klar, Haustür und Schränke abschließen ist natürlich das sicherste. Allerdings muss man beim Pi dann etwas aufpassen, weil gleich 2x verschlüsselt wird, einmal die Daten selbst und einmal der VPN-Tunnel. Der PI hat alledings keine crypto Einheit in der CPU, muss also alles in Software ver- bzw. entschlüsseln. Keine Ahnung wie gut das mit der CPU klappt, aber man sollte ihm nicht zuviel zumuten. Ich habe ich es aber nicht getestet und es läuft vielleicht 1A :-)

OpenVPN ist nicht sonderlich schwierig. Paket installieren, Zertifikate generieren (Skripte liegen bei), Konfigurationsdateien editieren (zB Port, etc). Es ist sogar schon eine Standardkonfiguration dabei. Auf dem Client ist es ähnlich (bis auf die Zertifikatsgenerierung). Im übrigen ist es dabei vollkommen egal ob du einen PI mit Raspbmc oder eines der oben genannten Alternativ-Boards nimmst. Solange darauf ein Linux läuft ist es bis auf marginale Unterschiede der Distribution (Paketmanager zur Installation und installierte Editoren, etc.) mehr oder weniger identisch. Zumindest kann man sich in die Abweichungen relativ schnell einlesen..

Ob ich mir jetzt zB noch nen PI kaufen würde, weiß ich selbst nicht. Es gibt soviele schöne Konkurrenten, die wie Radde schon andeutet schicke Features haben wie GB-LAN, SATA, etc.. Als "dummes" VPN-Gateway reicht der PI aber allemal, da stören auch die 100 MBit/s LAN nicht, weil da letztendlich der heimische Internet-Upload den Fuß auf der Bremse hat.. Bei einem Home-Medien-Server oder im reinen NAS-Betrieb sieht das natürlich wieder anders aus..

 

[1337LEET]

Also ich fasse nochmal zusammen.
Ich möchte ein NAS auf welches ich über einen lokalen Ordner auf dem Notebook remote zugreifen kann.

1. Daten sollen per VPN (auch Remote) übermittelt werden
2. 2 Festplatten die Beide mit TrueCrypt (3-fach) verschlüsselt sind
3. Automatisches Backup (einmal am Tag)
4. Möglichst sicher vor Zugriffen jeder Art (kein Abfangen der remote übermittelten Daten, kein Zugriff auf das Gerät über W-Lan des Heimnetzwerks, keine Angriffe auf Daten übers Internet)

Ich selbst kenne mich überhaupt nicht mit Netzwerken oder Linux aus, und da meine Ansprüche doch recht speziell sind gibt es keine step-by-step Anleitungen die alles beinhalten.

Weiß jemand wie ich das ganze trotzdem umsetzen kann?

Bringt ja nichts wenn ich mir das gerät zulege und nichts damit anfangen kann.

 

[Raijin]

Natürlich gibt es keine Anleitung zur "eierlegenden Wollmilchsau". Das wäre auch äußerst sperrig und unpraktisch. Alle 4 Punkte sind aber auch vollkommen unabhängig voneinander, dem VPN-Tunnel ist es vollkommen egal was für Daten übertragen werden, ob das ein Film, Bilder, Dokumente oder ganze Truecrypt-Container sind. Das Backup wiederum hat nix mit dem Zugriffsschutz zu tun, etc..

Fazit: Teile deine Anforderungen in Einzelaufgaben auf und arbeite sie nach und nach ab.

1.) VPN => OpenVPN ist da eine gute Wahl. Gibt etliche Tutorials dazu und sogar schon eine lauffähige Standardkonfiguration (nur für Tests). Für den Zugriff von außen musst du dann lediglich einen Port im Router an den VPN-Server weiterleiten. Inhouse kannst du natürlich auch per VPN verbinden, aber das halte ich zumindest im LAN für unnötig, bei WLAN kann man drüber streiten.

2.) Truecrypt: Wie bereits erwähnt kann es mit der Performance auf dem PI problematisch werden. Getestet habe ich es bisher noch nicht, aber da der PI keine Crypto-Einheit hat, muss alles in Software ver- bzw. entschlüsselt werden. Gerade, wenn parallel noch andere Aufgaben zu erledigen sind (zB VPN-Verschlüsselung, u.U. Medienstreaming, etc.). Google macht auch hier schlau ;-)

3.) Backup: Es kommt darauf an was du willst. Täglich alle Daten archivieren und .. .. behalten? Ersetzen? Evtl. ist eine Backupstrategie wie "Sonntags Vollbackup, Mo-Sa inkrementell". Das spart Speicherplatz und man kann trotzdem noch ein paar Tage "zurück" gehen. Auch dafür gibt es etliche Tutorials im Netz.

4.) Zugriffsschutz: Die Remote-Daten laufen über den VPN-Tunnel, der seinerseits verschlüsselt und mit SSL-Zertifikaten gesichert ist. Solange du nicht leichtfertig mit den Zertifikaten auf den Endgeräten (zB Laptop) umgehst, hat ein Angreifer nur wenig Angriffspunkte. Anderweitige Angriffe aus dem Internet scheitern daran, dass lediglich der VPN-Port zum Server durchgereicht wird. Viel mehr kann ein Hacker da auch nicht tun, wenn die anderen Türen zu sind. Zugriffe vom WLAN aus sind meines Wissens nach nur bedingt blockbar. Sofern dein WLAN-Router WLAN-Clients IP-Adressen in einem bestimmten Bereich zuweist (zB 192.168.43.100-200) und kabelgebundene Geräte im Bereich darunter angesiedelt sind, könntest du die Firewall mit einer entsprechenden Regel versehen ("blockiere alles außer von .1-.99")
Aber auch da machst du dich lieber bei google schlau. Zu Firewall, Routing, etc. gibt es auch Tutorials zu Hauf (Stichwort: iptables).

Schau dir am besten auch nochmal die alternativen Board weiter oben an. Ich stecke da nicht mehr so aktuell drin, aber wenn man für wenig Euronen mehr zB SATA und Gigabit-LAN bekommt, ist das schon ein deutlicher Mehrwert. Die CPU hat in der Regel auch deutlich mehr Dampf. Obige Tutorials sind rein von der Installation und Konfiguration völlig unabhängig davon ob sie auf einem 30€ PI oder einem 5000€ Server erledigt werden - mal von unterschiedlichen Linuxdistributionen abgesehen..


Sorry, dass ich dir jetzt keine konkreten Links gebe, aber bei sowas liest man sich besser selbst ein. Anders habe ich es auch nicht gemacht ;-)

 

[IndianaX]

Ich hatte auf meinem PI mal eCryptFS (AES256) laufen, die Datenrate sank über SMB von knapp 10MiB/s auf gerade mal 1MiB/s. Für Remote mag das gehn, mir war es zu langsam. Wenn du auf so ein strom spar wunder bestehst aber mehr Leistung brauchst solltest du dir wirklich das cubietruck anschauen.

 

[Raijin]

Hab mir das gerade mal angeschaut: Cubietruck (Cubieboard 3) sieht wirklich gut aus, ich kannte nur das ursprüngliche Cubieboard 1. Da sind wirklich ein paar nette Features dabei. 90€ gegenüber 35€ sind absolut gerechtfertigt, weil WLAN und Bluetooth auch mit dabei sind. Ein Gehäuse und einige Kabel sind auch schon dabei. Das kommt beim PI alles extra oben drauf.

 

[1337LEET]

Ich denke ich lege mir das Teil mal zu und probiere es....
Ich sehe zwar nur sehr geringe Erfolgschancen da ich mich mit Linux einfach viel zu schlecht auskenne.... aber naja.

Aber gerade bei solchen Sachen wie VPN sollte das ganze schon richtig laufen.... bringt mir ja nichts wenn ich da irgendwas installiere und deke das es funktioniert und am Ende tut es garnichts und ich weiß es bloß nicht weil ich mich damit nicht auskenne...

Hat jemand einen Link zu diessem Cubietruck? Habe gerade geschaut und verschiedene Versionen gefunden. Möchte die neuste und leistungsstärkste. (Wenn dann richtig )

PS: weiß jemand ob die USB Ports des Cubietruck genügend Energie für eine externe 2,5" Platte ohne Netzteil liefern?
Frage nur weil die Platte an meinem Hub z.B. nicht läuft.