Asus Nimbustor 4

Im QNAP TS-563 wurde der Slot 5 unzuverlässig. Im Syslog fanden sich öfters Meldungen, daß die Festplatte offline wäre, eine Sekunde später war sie wieder da.

Da sich im Web einige Berichte über diesen Fehler finden (Slot 4 kommt danach), scheint mir das ein Serienfehler dieser Baureihe zu sein. Ich war über zehn Jahre sehr zufrieden mit verschiedenen QNAP-Geräten, aber die Reaktion des QNAP-Supports zu diesem Thema hat mir gar nicht gefallen.

Also flog das Gerät raus und ein neues NAS musste her: Asus Nimbustor 4. Leise, NBase-T, 4 Slots, drei Jahre Garantie, guter Energieverbrauch… klingt gut.

Ist auch gut. Die HW ist einfacher als bei QNAP: mehr Kunststoff, weniger Metall, die HDDs werden nur geklemmt und nicht geschraubt, … ist aber für den Heimgebrauch völlig ausreichend. Die SW ist auch einfacher als bei QNAP. QNAP hat bei jedem Service immer noch einen Tick mehr an Features und Konfigurationsmöglichkeiten. Insbesondere die Netzwerk-Funktionen sind bei QNAP deutlich mächtiger, aber ob man das für zuhause braucht? Eher nicht.

Die Datenverschlüsselung macht Asus nicht als Full-Disk-Encryption, sondern sie benutzen ecryptfs. Das scheint dann alles in Software ohne AES-NI zu laufen, jedenfalls ist das schnarch-langsam. Der Prozessor kann AES-NI.

Praktisch ist, daß man die Verschlüsselung pro Share an-und ausschalten kann. Dafür handelt man sich die ecryptfs-Eigenarten (kurze Pfade, …) ein. Elcomsoft hat eine schöne Erklärung, was Asus da eigentlich genau macht. Die Asus-Implentierung ist recht einfach gestrickt. Synology z.B. kann den Schlüssel auf einem externen USB-Stick speichern, das kann Asus nicht. Aber falls man mal einen defekten Datenträger entsorgen muss, reicht das aus um eine neugierige Nase auf dem Schrottplatz von „Mal einen Blick werfen“ abzuhalten. Mehr Ansprüche darf man an so ein Gerät nicht haben.

Das Samba ist in der Version 4.4.3 installiert, das ist von 2016 und damit immerhin schon vier Jahre alt. Ab 4.7 könnte Samba das AES-NI benutzen, was SMB-Encryption deutlich beschleunigen würde. Aktuell bricht die Übertragunsrate des Asustor bei aktiver SMB-Encryption mächtig ein. Von den ganzen Bugfixes der letzten Jahre mal ganz abgesehen.

Die Konfigurations-GUI lässt einige Dinge nicht zu, die Samba könnte. Bei Samba kann man (im Gegensatz zu Windows) SMB-Signing und Encryption pro Share steuern, die Asus-GUI lässt das aber nur ale globale EInstellung für alle Shares zu. Ebenso kann man als Minimum Protokoll kein SMB3 auswählen. Wenn man die Änderungen per SSH direkt in der smb.conf macht, geht das aber alles. Und die GUI scheint die manuellen Einstellungen auch nicht kaputt zu machen.

Deinstalliert man bei aktiver Firewall einen Dienst, werden die dazugehörigen Firewall-Regeln nicht gelöscht.

DLNA-Services gibt es gleich mehrere. Unsere Teufel Streaming Lautsprecher sind da nicht so wählerisch, denen scheint das ziemlich egal zu sein. Aber der Mediaplayer ist deutlich zickiger, da experimentiere ich noch welcher Dienst mit welchen Einstellungen wohl besser ist.

Die Festplatten gehen zuverlässig in den Ruhemodus, da habe ich bei QNAP immer Ärger mit gehabt. Asus hat ein ausführliches Protokoll, welcher Dienst die Platte aufgeweckt hat, das gefällt mir gut. Ebenso geht das ganze System problemlos in den Standby und kommt (per Wake on LAN) auch sehr schnell wieder hoch. Das konnte der QNAP TS-563 gar nicht. Auch die externen Platten lassen sich beim Energiesparen konfigurieren.

Das Backup per rsync funktioniert, ist aber etwas undurchsichtig. Es gibt eine Fortschrittsanzeige, aber die steht immer bei 0%. Das Sichern von neuen Dateien klappt gut, was er leider nicht kann, ist gelöschte Dateien auch auf dem Rsync-Ziel zu löschen. Ein echtes Backup, kein Sync.

Bei den Backups auf externe Datenträger (z.B. USB-Platten) wäre eine Verschlüsselung sinnvoll. Wenn die Dateien per ecryptfs bereits verschlüsselt sind, kopiert er die auch so rüber. Aber unverschlüsselte Dateien wären auf sicheren Datenträgern auch besser aufgehoben.

Rsync, FTP- und Cloud-Backup bieten ebenfalls keine Verschlüsselung. Auf Webdav-Server kann das Asus leider gar nicht sichern. Der FTP-Dienst umfasst FTP (welches verboten gehört) und FTPS, aber kein SFTP.

Ein echten Bug steckt (glaube ich) im Virenscanner. Findet sich irgendwo im Pfad ein Leerzeichen, ein Sonderzeichen oder ein Umlaut, scheint er die Datei nicht zu scannen. Jedenfalls beschwert er sich im Log immer mit „Empty file“. Da muss ich mal ein Ticket bei Asus aufmachen. Das sieht man aber auch erst, wenn man ins ClamAV-Log reinschaut.

Die Hardware kann richtig Durchsatz vorlegen. Man darf nur die Verschlüsselung nicht nutzen. Weder die für Datenträger noch für SMB, dann geht es ordentlich in den Keller; weit unter 1 Gigabit/s runter. Würde Asus den Samba aktualisieren und AES-NI dann auch nutzen, könnte das mindestens teilweis behoben werden.

Ingesamt bin ich mit dem Gerät zufrieden. Die Hardware ist gut, die Software ist befriedigend. Wenn Asus sich mal um den Samba und die Verschlüsselungs-Themen kümmert, kann die auch gut werden.

NBase-T Upgrade Teil 2

So sieht das dann in Aktion auf der Macbook-Seite aus:

Und so sieht das auf der NAS-Seite aus:

2.5 GigaBit/sec lesen und schreiben vom Macbook auf das NAS. Nbase-T geht durch den USB 3 Port also anstandlos durch. Dafür, daß USB mal als Ersatz für die serielle Schnittstelle angefangen hat, ziemlich beeindruckend.

Netzwerk Upgrade: NBase-T und 10 Gigabit Ethernet

Gigabit-Ethernet ist ein echtes Erfolgsmodell, aber auch schon ganz schön alt. Da muss mal ein kleines Upgrade her. Immerhin ist 10 Gigabit Ethernet auch schon von 2006.

Ich habe lange mit den Netgear-Geräten geliebäugelt, denn der Markt für NBase-T (2,5 und 5 Gigabit) und 10 Gigabit Ethernet Switche ohne Lüfter ist sehr übersichtlich. Aber der Netgear GS110MX hat leider nur 2 schnelle Ports, einen für den Uplink und einen für das NAS und schon ist alles dicht. Und die Netgears mit mehr Ports haben leider wieder alle Lüfter.

Zyxel hat neue Switche rausgebracht 🙂 Mein letztes Gerät von Zyxel war ein analoges Modem (U-1496), Gott ist das lange her.

Die kommmen in zwei einfachen braunen Kartons, was völlig ok ist. Niemand braucht für diese Geräte eine Hochglanz-Verpackung, die kauft ohnehin niemand nach Aussehen im Supermarkt.

Acht mal Gigabi, zweimal NBase-T und zweimal SFP+ und das ohne Lüfter; wahlweise mit (Zyxel XGS1210-12) oder ohne (XGS1010-12) Management-Interface. In die SFP+ Slots passen die 10GBase-T Module für Cat6A Kupferkabel rein, die sind inzwischen recht preiswert geworden. Da macht sich die Cat6A-Verkabelung im Haus endlich bezahlt. Also kommt ein Modell mit Management-Modul in das Rack und ein Modell ohne Management in das Büro. Dazwischen gibt es dann eine 10GbE Uplink Verbindung.

Die Inbetriebnahme ist harmlos, ist halt ein Switch. Komisch ist nur, daß bei dem Modell mit Management das DHCP abgeschaltet ist; dafür ist eine IP-Adresse voreingestellt. Das voreingestellte Passwort muss direkt geändert werden, sehr vernünftig. Dafür kann das Management-Webinterface kein HTTPS sondern nur HTTP, was schade ist. SNMP oder SSH etc kann das Gerät gar nicht, andere offene Ports findet nmap auch nicht.

Die Geräte werden doch recht warm. Insbesondere die SFP+ Slots werden sehr sehr warm. Fasst man die Geräte dort unvorbereitet an, lässt man sie spontan wieder fallen. Laut FritzDect 200 Energiemessung verbraucht der XGS1010-12 mit 6 aktiven Gigabit-Ports und aktivem 10GbE-Uplnk gut 11 Watt.

Das Management-Modul des XGS1210-12 ist recht einfach gehalten, so richtig viel kann man dort nicht machen. Das war für den Preis aber auch nicht zu erwarten.

Das Trunking des Switches ist Murks. Das ist kein 802.3ad sondern irgendwas selbstgebautes von Zyxel. Was dort genau passiert ist nur sehr ungefähr beschrieben. Und mit dem QNAP NAS TS-469L habe ich den Trunk gar nicht zum Laufen bekomen. Sobald ich das Trunking im Switch aktiviert habe, war das QNAP nicht mehr zu erreichen. Die verschiedenen Trunk-Modi auf dem QNAP habe ich alle durchprobiert, das ändert auch nichts.

Das 802.3AZ ist merkwürdigerweise im Auslieferzustand abgeschaltet. Ich konnte noch keinen Unterschied messen, aber vielleicht sind die Fritzdosen dafür auch einfach nicht genau genug.

Postiv ist, daß der Switch IGMPv3 kann. Aber MLD fehlt leider, IPv6 wird halt immer noch stiefmütterlich behandelt. Telekom Entertain sollte damit funktionieren, habe ich aber noch nicht ausprobiert.

Das einzige Feature welches mir echt fehlt, ist eine Möglichkeit die Ports zu beschriften, damit man noch weiß, welches Gerät in welchem Port drinsteckt.

Installiert war eine Firmware vom November 2019, da gibt es schon eine deutlich neuere auf den Support-Seiten.

Das Macbook bekommt ein Club 3D USB Nbase-T Interface. In dem USB-Adapter steckt ein Realteak RTL8156 Chip drin. Nach Installation des Treibers sieht das dann so aus:

Geht auch mit Automatik, ist dann aber schlechter zu lesen:

Etwas blöd ist, daß man einen Treiber installieren muss. Es gibt einige Macs mit NBase-T Ports, MacOS muss also Treiber dafür haben. Vermutlich sind das aber irgendwelche Chips, die man einzeln für USB-Adapter nicht bekommt, da sie in einem Chipsatz drinstecken.

Bis dato gefallen mir die Switche gut: stabiles Metall-Gehäuse (brauchen die bei der Wämeentwicklung auch), lautlos, ein vernünftiger Preis und bislang laufen sie stabil (sind jetzt aber auch erst ein paar Tage alt).

Die alten Cisco-Switche haben nach neun Jahren würdige Nachfolger bekommen. Die Ciscos können zwar ordentliches IPv6 (inkl. MLD), statisches Routing, … das braucht man allerdings in einem Heimnetzwerk nicht wirklich. Das hatte zwar einen gewissen Spielwert, aber der nutzt sich ab. Und weniger Strom verbrauchen die ZyXELs auch noch. Wobei Geräte ohne NBase-T und ohne 10 Gigabet-Ethernet natürlich noch weniger Energie verbrauchen würden. Irgendwas ist halt immer.

FIDO2 mit SoloKey

FIDO2 ist in letzer Zeit ja immer wieder durch die Presse gerauscht, da musste ich mir das mal in live anschauen.

Fedoraproject.org verwendet seit Ewigkeiten die Yubikeys, die fand ich immer etwas suspekt. Bei den Yubikeys war mir die Funktionsweise nie so ganz klar, zumal man für die Yubis (zumindest die klassischen) auch ein Yubi-Backend braucht. Zumindest für Fedora werde ich meinen alten Yubi-Key aber wohl noch eine Weile weiter benutzen müssen.

FIDO2 funktioniert so ähnlich wie eine Smartcard, nur daß dort nicht nur ein Zertifikat drauf ist, sondern der Key für jeden Dienst ein eigenes Schlüsselpaar erzeugt. Da ist auch keine PKI oder so im Spiel, das PKI-Konzept skaliert ja nicht so richtig gut. Im Prinzip sind das Wegwerf-Zertifikate, die werden pro Dienst erzeugt, wenn man sich bei einem Dienst anmeldet. Kommt doch mal eines abhanden (wie auch immer das passieren sollte), ist daher auch nur der eine Dienst betroffen

Die FIDO2 Leute haben da eine sehr schöne Zusammenfassug was bei der Registrierung und dem Login passiert: How FIDO Works.

Ich habe mir drei Solokeys bestellt. Zwei mit USB-C (NFC) und einen mit USB-A.

Einrichten muss man da nichts (zumindest unter MacOS und Linux), keine Treiber, keine Tools. Wennn man den Stick z.B: be Gitlab angemeldet hat, kommt beim Anmelden dieser Dialog im Browser hoch:

Dadurch fängt der Stick an zu bllnken und man bestätigt per Knopfdruck.

Einzig um meinen USB-Port habe ich da etwas Angst; wenn man von oben drauf drückt, biegt der sich doch ganz gut durch. Zumal man für den Button etwas Kraft aufbringen muss, nix mit Touch. Aber zum Glück sind weitere Gummihüllen dabei:

Das sind perfekte Abstandshalter für Macbook Pros, als wenn die dafür gemacht wären.

Verliert man einen Stick, oder geht einfach mal einer kaputt, meldet man am besten noch einen zweiten beim Dienst an. Oder alternativ ein OTP über einen SW-Authenticator. Gitlab, Google, Github, … bieten auch noch Recovery-Codes an.

Ich finde, daß ist ein richtiger Fortschritt zum Thema Sicherheit. Jetzt müssen nur noch mehr Dienste das supporten, die US-Firmen sind da leider deutlich weiter als deutsche Firmen.

GPG für Apple Mail auf dem Mac

Die die PGP-verschlüsselten Mails in letzter Zeit wieder mehr werden, musste mal etwas mehr Komfort her. Und das GPG-Plugins für Apple Mail ist wirklch gut. Nach der Installation muss es noch angeschaltet werden; das ist in der FAQ recht weit unten etwas versteckt beschrieben.

Die Aufregung wegen der Kosten kann ich nicht so ganz nachvollziehen. Da stecken ein paar Leute Arbeit rein und legen dann auch noch den Code offen. Die 20€ finde ich ok, die werden da vermutlich keine Millionen Umsatz mit machen. Und wenn sich dann jemand um die Fehler-Behebung kümmert, ist doch alles gut. Und wenn die Leute da Millionen Umsätze mit machen, freuen wir uns alle, das eMail-Sicherheit endlich einen Sprung nach vorne macht.

Hinten kommen dann ordentlich verschlüsselte Mails raus:

Content-Type: multipart/encrypted;
boundary=“Apple-Mail=_C980E551-3324-4331-AE9F-8F28638F4042″;
protocol=“application/pgp-encrypted“
Subject: Test Test
This is an OpenPGP/MIME encrypted message (RFC 2440 and 3156)
–Apple-Mail=_C980E551-3324-4331-AE9F-8F28638F4042
Content-Transfer-Encoding: 7bit
Content-Type: application/pgp-encrypted
Content-Description: PGP/MIME Versions Identification

Version: 1

–Apple-Mail=_C980E551-3324-4331-AE9F-8F28638F4042
Content-Transfer-Encoding: 7bit
Content-Disposition: inline;
filename=encrypted.asc
Content-Type: application/octet-stream;
name=encrypted.asc
Content-Description: OpenPGP encrypted message

—–BEGIN PGP MESSAGE—–
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=SE59
—–END PGP MESSAGE—–