iSCSI und TrueCrypt

[syntologe]

Moin,

habe in meiner DS209+II jetzt eine 2TB Hitachi-Platte drin und darauf ein 1,8TB großes iSCSI-Target erstellt. Das Target habe ich mit meinem XP-Rechner (wahlweise Win7) über das Gigabit-Netzwerk mit dem iSCSI-Connector von Microsoft verbunden und das komplette Volume mit TrueCrypt verschlüsselt (also KEINE Containerfile).

Seit heute habe ich diese Lösung produktiv im Einsatz, das heißt ich nutze aktuell nichtmehr den Terrabyte großen Speicher der lokal eingebauten Festplatte, sondern habe nurnoch das Target als Datenplatte verbunden und mit TrueCrypt gemountet. Darauf liegen jetzt meine Multimediafiles, Programme, persönliche Daten usw...

Bisher gibts keinen Grund zur Klage, funktioniert einwandfrei... Weiteres Feedback folgt

 

[jahlives]

Du hast damit aber keine Chance an die Daten zu kommen, sollte die DS mal crashen (wollen wir ja nicht hoffen, aber passieren könnte so was schon).

 

[syntologe]

Kannst du das etwas genauer ausführen? Welches Szenario sprichst du an?

Kann man das iSCSI-Target nicht kopieren/sichern und auf ner frischen Installtion ans laufen bekommen ?

 

[jahlives]

Kannst du das etwas genauer ausführen? Welches Szenario sprichst du an?

Kann man das iSCSI-Target nicht kopieren/sichern und auf ner frischen Installtion ans laufen bekommen ?

Bei iSCSI liegen die Daten ja selber in einer Art Container. Und den Inhalt dieses Containers (mit deinen TrueCrypt Parts) wirst du nicht so ohne weiteres an einem PC auslesen können. An die Rohdaten des iSCSI wirst du einfach rankommen, aber damit kann dann TrueCrypt nix anfangen.
Hast du hingegen einen "einfachen" TrueCrypt Container in einer Freigabe hast, kannst du die Daten relativ einfach an einem PC kopieren und mit einer lokalen TrueCrypt Installation schnell wieder an die Daten kommen.

Mein Ausdruck "keine Chance" war vielleicht etwas zu ungenau: Es wird sehr sehr sehr mühsam werden die Inhaltsdaten eines iSCSI targets auszulesen und wieder zu verwenden. Zumindest wird das sehr viel Zeit in Anpsruch nehmen.

Gruss

tobi

p.s. ist natürlich schon ein Worst-Case-Szenario, aber durchaus möglich

 

[syntologe]

Natürlich hab ich mir darüber auch gedanken gemacht. Ein TC-Containerfile hat die von dir angesprochenen Vorteile. Allerdings dürfte es nicht so performant sein die Daten per SMB zu übertragen. iSCSI ist hier eher auf Geschwindigkeit in der Netzwerkübertragung ausgelegt.

Wie sieht es nun aus? Ein iSCSI-Target liegt auf der Synology als Container-Datei. Kann man so eine Datei (ggf mit Konfigurationsdateien, sofern diese extra abgelegt werden) sichern, auf einer frisch installierten DS-Installation ablegen und das Target dort wieder verfügbar machen?

Wenn das geht, ist es mMn völlig egal, ob ich nun einen TrueCrypt Container von einer gecrashten DS-Installationsplatte sichere oder ein iSCSI-Targefile. Letzteres setzt halt voraus, dass ich dann wieder eine laufende DS bereitstehen habe und erhöht den Aufwand um an die Daten ran zu kommen. In den Rohdaten des iSCSI-Containers müsste ich dann aber nicht nach dem TrueCrypt-Volume stochern - was ggf aussichtslos sein kann.

 

[jahlives]

Auf einer baugleichen DS dürfte es klappen. Ich meinte eher die Datenrettung am PC.
Und bei verschlüsselten Containern und Partitionen ist ein Stromausfall zum falschen Zeitpunkt sehr oft tödlich für die Daten.

 

[syntologe]

Weiß man, ob die iSCSI-Lösung die Synology verwendet ein bereits existierends Open-Source Produkt ist oder ist das was selbstgestricktes?

Eventuell gibt es hier Tools, mit denen man solche Targets einbinden kann.

 

[itari]

Probiere mal mit einem sehr kleinen iSCSI-Container auf der DS alle dir einfallenden Backup-Varianten, lösche dann den iSCSI-Container und versuche ihn wiederherzustellen. Wenn das zufriedenstellend für dich geht, dann hast die Möglichkeit für dich gefunden.

Ich kann mir nicht vorstellen, dass Synology Entwickler hat, die etwas, was es als GPL oder OpenSoruce gibt noch einmal nacherfinden. Sie erweitern es höchstens, was ich mir bei den iSCSI-Geschichten aber nicht vorstellen kann.

Randbemerkung: Wenn du nur iSCSI nutzt, dann könntest auch was Preiswerteres als die DS auf dem Markt finden

Itari

 

[syntologe]

Ehrlich gesagt hab ich keinen Bock mehr auf rumtesten. Die Box hat mir schon genug Nerven und Zeit geraubt. Ich lasse es einfach darauf ankommen, zumal ich sowieso vorhabe die Daten am iSCSI-Client auf ne externe Platte zu sichern.

Welchen iSCSI-Daemon nutzt Synology nun?

Ich hab mir schon Gedanken über eine Alternative zur DS209+II gemacht, aber gefunden hab ich bis jetzt noch nix vergleichbares was Performance und Stromverbrauch angeht... Evtl. ein Intel SS4200-E, denn darauf soll auch Windows, Freenas, evtl Openfiler laufen und bietet somit unheimlich großen Funktionsumfang - nur frisst die Kiste gut 65Watt.

 

[BiteWar]

Ich kann dir nur dringend davon abraten, eine iSCSI-Partition mit TruCrypt zu verschlüsseln.
Ich habe ein ähnliches Szenarieo. Nutze QNAP als iSCSI-Server (20 Watt bei 4 x 2 TB -Festplatten, aber nicht ganz billig), hatte eine iSCSI als Device mit TruCrypt verschlüsselt. Klappte alles bisher einwandfrei.
Dann habe ich heute ein Neustart des QNAP-servers durchgeführt, ohne die TruCrypt-Partition zuvor wieder zu unmounten. Seit dem kann ich die Partition nicht mehr mit TrueCrypt Mounten.

Also auch das solltest du in dem Test mit einbeziehen, abruch der Netzwerverbindung oder Neustart des Servers.

 

[syntologe]

Hi BiteWar,

ich nutze TC immer noch auf der Syn und hab das iSCSI-Volume auf Dateisystemeben verschlüsselt. Es funktioniert bei mir seit der Installation problemlos. Meine Syn läuft, genauso wie mein PC (auf den ich das Volume verbinde) 24/7.

Ich hatte schon einige Szenarien, die ich im Voraus nicht getestet habe, die meine Umgebung aber ohne weiteres weg gesteckt haben:

- Stromausfall / gezogene Steckdosenleiste an der Synology
- Abstürze des PCs
- Umstellung des PCs von XP auf Win7
- Neustart des Switches / Änderungen der Client-IP ohne Disconnect des ISCSI-Devices / Gezogene Netzwerkkabel
- Zugriff über WLAN auf das iSCSI-Device
- Disconnect des ISCSI-Devices ohne TC zu unmounten

Alles in allem kann ich behaupten, dass ich mit der Lösung arbeiten kann und soweit - zumindest was die Zuverlässigkeit angeht - keine Probleme habe.

 

[BiteWar]

Ich glaube, ich weiß warum es bei mir zum Datenverlust kam. Ich habe auf dem Server Schreibcache aktiviert und beim Herunterfahren des Servers ist ann der Fehler passiert.
Im Zweiten Anlauf habe ich Schreibcache deaktiviert und gezielt beim Server einen Neustart durchgeführt, obwohl der Client mit TC mit der "Partition" verbunden war und einen Kopiervorgang durchgeführt hat.
Die Kopie hat narütlich nicht geklappt, aber ich konnte danach wieder über TC darauf zugreifen.

Also vorsichtshalber überprüfen, ob der Schreibcache auf dem Server deaktiviert ist.

 

[jahlives]

Also vorsichtshalber überprüfen, ob der Schreibcache auf dem Server deaktiviert ist.

Das ist auch ein wichtiger Punkt bei lokalen TC-Containern resp Partitionen. Wenn du z.B. eine USB Platte mit TC verschlüsselst und den Schreibcache aktiviert hast und dann die Platte/Stick einfach ausstöpselst, dann sind die Chancen auch sehr gross, dass die Daten futsch sind

 

[pipone]

super Thread - genau sowas suche ich.
Mit welchen Geräten komm ich dann an die mit TC verschlüsselten Daten ran? Kann z.B. die PS3 auch auf die Dateien zugreifen?

Will meine Daten auch mit TC sichern, jedoch weiß ich nicht mit was ich dann noch alles auf die Daten zugreifen kann.

Nutze in meinem Desktop PC zur Zeit TC und muss eben nach jedem neustart die Platten neu mounten. Wie wird das mit Platten, welche im NAS verbaut sind" gehandhabt?

Grüße

 

[drmaniac]

ich weis Uralter Thread, aber falls mal jemand nachliest der neu in dem Thema ist so wie ich, vielleicht hilfts...

Hab seit ein paar Tagen eine DS2411+ und eben mal zum Testen ein iSCSI Target eingerichtet, 1GB zum testen halt...

Auf dem Windows7 Rechner eingebunden und die Partition dann ganz normal mit Truecrypt formatiert.

Klappt soweit alles bestens, Geschwindigkeit ist Top (normales 1Gbit Netzwerk). Videos und co ruckelfrei
(hab als Versuch einfach ein paar 300MB Avis, also none-hd, getestet).

Wenn ich die NAS runterfahre solange der PC noch läuft und TC gemountet ist, dismountet TC dann irgendwann automatisch (bzw kickt das Laufwerk, weils ja nicht mehr da ist ),
nach Neustart der NAS bindet der PC das iSCSI Device automatisch wieder ein. Nur in TC muss man dann eben das Drive neu
mounten. sieht also alles gut aus.

Werde die Tage noch weiter testen (was passiert wenn, Datenverlust möglich bei...usw)
bevor ich die NAS richtig befülle.

 

[syntologe]

Solang das iSCSI kein Caching in irgend einer Art und weiße aktiviert hat, passiert da auch nix wenn man NTFS oder andere journaling Filesysteme nutzt. Hat man natürlich nen cache an, schreibt das Betriebssystem oder ein Programm munter auf der Partition rum und merkt nicht, dass die Änderungen nur im Cache des PCs oder NAS weg geschrieben wurden. Tritt dann ein Stromausfall oder PC-Absturz auf, kanns da schon einiges zerhageln...