HP ProLiant MicroServer Gen8 G1610T - Homeserver einrichtung/upgrade

[aemonblackfyre]

Hallo,
nachdem ich schon länger mit dem Gedanken gespielt habe und es letztens günstige 3TB HDDs gab hab ich mich dazu entschieden Nägel mit Köpfen zu machen und mir einen eigenen Server zu gönnen.
Als Basis dient der HP ProLiant MicroServer Gen8 G1610T mit 4 HDD einschüben, Dual Lan, gesockelter CPU und 2 RAM Slots.

Jetzt bin ich schon dabei mich in die Materie einzulesen.

Das primäre einsatzziel ist erstmal als NAS. Das kriege ich denke auch ohne Hilfe problemlos hin.

Was ich wünschen würde aber noch nicht sicher bin ob und wie ich das ganze durchführe:
-Transcodieren von Videos. Primär 1080p falls das von der Leistung her klappt auch gerne 4k.
-Daten verschlüsseln (AES vllt aber dann wäre wohl eine stärkere CPU bzw eine mit AES-NI)
-Netzlaufwerk auch übers Internet (eher dyndns, feste IP oder VPN?)
-evtl eigenen email server (das wäre mir aber nicht sonderlich wichtig und nur die Kirsche auf dem Sahnehäubschen)

Momentan tendiere ich zu FreeNAS + plexserver
Dazu würde ich wohl noch den RAM upgraden müssen auf 12 oder falls nötig 16gb ECC (momentan sind 1*4gb verbaut).

Klappt das mit der vorhandenen Hardware (G1610T+12gb ECC+4*3TB Raid5/Z)? Reicht der RAM schafft die CPU das auch ohne AES NI bzw schafft die CPU das Transocodieren? Schafft die CPU beides zusammen?

Transcodieren ist mir wichtiger als Verschlüsselung. Verschlüsseln könnte ich im Zweifel ja auch Client seitig.

Welche Methode würdet ihr empfehlen um das Laufwerk auch außerhalb des Heimnetzes anzubinden?

Wollte mal eure Einschätzung dazu hören bevor ich es ausprobiere.

 

[Crispy Bearcon]

Wieso benötigst du so dringend das Transcoding?

Feste IP macht eigentlich wenig Sinn da diese in der Regel sehr teuer sind. Dyndns Dienste sind da schon recht einfach einzustellen und gibt viele kostenlose.
VPN nimmt dir nen teil der Bandbreite für den Overhead wodurch alles etwas langsamer wird. Fürs Streamen würd ich jetzt nicht unbedingt VPN nehmen.

Ich benutze zu Hause lieber OMV + Plex aber das ist sicher Geschmackssache.

Da plex auch auf dem Pi3 läuft sollte bei der Ram Auswahl Plex die kleinste rolle haben. Ich denke aber das für diese Anforderungen dicke 8 GB reichen, da ja auch kein Windows eingesetzt wird. Aber wenn du günstig an 12 GB ran kommst auch ok.

Zum Thema Transcoding hab ich mich noch nicht wirklich beschäftigt aber Plex gibt da relativ hohe anforderungen an für die Transkodierung.

If you want very basic minimum suggestions:
No transcoding: Core 2 Duo 1.6GHz (NAS devices based on ARM or PowerPC processors should also be capable of at least one stream with no transcoding)
Single 720p transcode: Core 2 Duo 2.0 GHz
Single 1080p transcode: Core 2 Duo 2.4GHz

 

[mtbriderlm]

ich habe mich eben wegen dem Transcoding für einen Eigenbauserver mit i5 entschieden (16GB Ram)

 

[Raijin]

Für den Zugriff von außen würde ich ausschließlich über ein VPN gehen. Gerade dann, wenn du dich "in die Materie einlesen" musst, wirst du sonst im Zweifelsfalle das neueste Mitglied im Botnetz von Hackergruppe xy werden...

Bei VPN stellst du nach außen hin nur den/die Port(s) frei, auf dem/denen das VPN verschlüsselt arbeitet. Über die VPN-Verbindung kannst du dann ganz normal arbeiten als wenn du daheim auf der Couch sitzen würdest. Du kannst also die Netzlaufwerke vom Server auch im Hotel-WLAN anbinden und keiner kann mitlesen. Durch den Protokolloverhead bzw. die Verschlüsselung schluckt ein VPN in etwa 10-20% von der Bandbreite. Via VPN kann man auch gefahrlos Dienste im Netzwerk nutzen, die im offenen Internet fatal wären. Beispielsweise ein unverschlüsselter FTP. Da wird der Login nämlich in Klartext übertragen, ist also im Café am Nachbartisch ganz easy mitzulesen. Über eine VPN-Verbindung ist FTP dagegen unkritisch. Ähnlich ist es mit Netzlaufwerken. Sie sind konzeptionell nicht für das Internet gedacht, sondern für private Netzwerke. Via VPN kein Thema, offen im Netz fatal..

Eine feste IP brauchst du nicht. Ein DDNS-Dienst deiner Wahl und gut is. Dann hast du zB sowas wie samsemilia.no-ip.org o.ä. Auf dem Server richtest du dann nur einen DDNS-Client ein und der macht dann vollautomatisch die Updates beim Account, wenn sich deine öffentliche IP geändert hat.

 

[Crispy Bearcon]

Dyndns heist nicht direkt Botnetz..... Wenn man sein System vernünftig sichert und nicht Standard Passwörter nimmt und nicht unnötige Dienste / ports öffnet ist man auch relativ sicher.

Die Botnetz betreiber suchen ja primär nach den Einfach gesicherten Systemen da der auffand dort der kleinste ist.

 

[LieberNetterFlo]

ich hab zu Hause mittlerweile einen Homeserver/NAS mit unRAID stehen (ATX Board, Xeon CPU, 16GB RAM, genügend HDDs/SSDs), darauf ein Plex Docker, da brauchst nur den Plex Port weiterleiten und du kannst überall auf deine Filme/Serien/Musik/Bilder zugreifen.

 

[Raijin]

Dyndns heist nicht direkt Botnetz.....

Hab ich auch nicht gesagt. Du rätst aber von VPN ab mit dem Argument, dass Dyndns nicht direkt Botnetz heißt?!? Das sind zwei vollkommen verschiedene Dinge und haben nichts miteinander zu tun.

DynDNS ist nur eine Technik, mit der man eine dynamische IP-Adresse wie bei herkömmlichen privaten Internetanschlüssen unter einer statischen URL erreichen kann. Das sagt noch überhaupt nichts über Sicherheit aus, weil es nur eine vereinfachte Adresse ist, wie ein zentrales Postfach bei der Post statt einer langen, kryptischen Straßenadresse, Appartment 9b, hinten links, rote Tür, obere Klingel.

VPN hingegen ist eine verschlüsselte Verbindung zwischen zwei Orten. Das kann über eine DynDNS-Adresse als Ziel gehen, funktioniert aber auch direkt über die öffenliche IP. Da diese sich aber in der Regel alle 24h ändert, ist das eben recht unhandlich.

Für die Sicherheit ist entscheidend, welche Dienste nun tatsächlich öffentlich erreichbar sind - egal ob man DynDNS verwendet oder nicht! Stellt man einen nackten FTP ins Internet, kann wie gesagt jeder mitlesen, der im Internetcafé, Hotel oder sonstwo nebenan sitzt. Bei einem VPN wird eine direkte Tunnelverbindung zwischen Laptop@Hotel und Server@Home hergestellt - auch hier wieder mit/ohne DynDNS ist egal, da nur andere Schreibweise der Adresse - und diese ist verschlüsselt. Es kann also niemand mehr im Nachbarzimmer mitlesen was man so auf dem heimischen Server treibt, weil nur lustige Sonderzeichen über das öffentliche WLAN gehen..


Generell rate ich davon ab, beliebige Dienste auf dem Server nackt über eine Portweiterleitung von außen zugänglich zu machen. Dabei verlässt man sich zwangsläufig auf die Sicherheit dieses Dienstes, der vom Entwickler evtl. überhaupt nicht für das Internet vorgesehen ist! Beispiel: Wenn man Ports für einen Drucker im Router weiterleitet, kann jeder Hans und Franz im Internet den aktuellen Brockhaus bei dir daheim ausdrucken, weil das Drucker-Protokoll nicht für Internetbetrieb vorgesehen ist. Über einen verschlüsselten VPN-Tunnel kann man aber problemlos auch einen Drucker anbinden - vollkommen sicher.
Das soll nicht heißen, dass alle Dienste außer VPN unsicher sind. Es gibt zahlreiche Dienste, die ebenfalls verschlüsselt sind, weil sie explizit auch für das Internet gedacht sind. https zum Beispiel, ssh, etc..


*edit:
Es wäre nicht das erste Mal, wenn hier jemand fragt welche Samba-Ports man für Netzlaufwerke im Router weiterleiten muss... Das ist brandgefährlich...

 

[Creati]

Mailserver solltest Du nicht selbst hosten. Nur wenn Du über entsprechendes Wissen im Umgang mit Servern hast. Die Pflege darf man ja auch nicht unterschätzen.

 

[aemonblackfyre]

danke schonmal für die zahlreichen antworten

den fernzugriff werde ich wohl dann lieber per VPN machen. die zusätzliche sicherheit ist mir die reduzierte bandbreite dann doch wert und eventuell noch den plex port weiterleiten aber das überlege ich mir nochmal genau.

wie sieht es denn mit der hardware aus? kann jemand da einschätzen was die cpu kann und was nicht?

reicht beispielsweise die cpu + 12gb ram für freenas mit zfs, aes verschlüsselung und plex? falls aes nicht klappt reicht es für freenas; zfs und plex?

das wäre ja erstmal das hauptziel alles andere ist dann bonus (ganz besonders der mailserver... das war nur so ein gedanke für die zukunft)

 

[mtbriderlm]

Dafür wird die Celeron CPU zu wach sein oder nimmt du den Server mit Xeon CPU?

 

[ChristianSL]

An was für ein Verschlüsselungssystem hast du denn gedacht? Es gibt da ja noch mehr Modi als nur AES.
Auf meinem N54L (Gen7, AMD Turion II) läuft Debian mit LUKS Vollverschlüsselung. Da ist zB Serpent schneller als AES:

# cryptsetup benchmark
# Die Tests sind nur annähernd genau, da sie nicht auf die Festplatte zugreifen.
PBKDF2-sha1       471482 iterations per second
PBKDF2-sha256     280068 iterations per second
PBKDF2-sha512     225986 iterations per second
PBKDF2-ripemd160  343120 iterations per second
PBKDF2-whirlpool  108503 iterations per second
#  Algorithm | Key |  Encryption |  Decryption
     aes-cbc   128b    92,9 MiB/s   125,8 MiB/s
 serpent-cbc   128b    33,9 MiB/s   144,0 MiB/s
 twofish-cbc   128b    66,8 MiB/s   154,8 MiB/s
     aes-cbc   256b    84,4 MiB/s    95,8 MiB/s
 serpent-cbc   256b    33,9 MiB/s   140,5 MiB/s
 twofish-cbc   256b   125,8 MiB/s   155,7 MiB/s
     aes-xts   256b    68,4 MiB/s   119,0 MiB/s
 serpent-xts   256b   132,1 MiB/s   133,9 MiB/s
 twofish-xts   256b   138,6 MiB/s   143,9 MiB/s
     aes-xts   512b    90,7 MiB/s    92,6 MiB/s
 serpent-xts   512b   133,0 MiB/s   134,1 MiB/s
 twofish-xts   512b   144,3 MiB/s   143,5 MiB/s

Das ganze ist via dyndns erreichbar, jedoch ohne VPN, sondern via SSH Socksproxy (nicht Port 22, Pubkey only, Fail2Ban).
Der G1610T ist kein Rechenwunder, zumal die Microserver energieeffizient sein sollen, jedoch als NAS und für Dienste mit nicht so vielen Nutzern ideal geeignet. Hier läuft zB neben dem Filekram eine Owncloud, ein paar kleine Websachen, 2 VMs und ab und zu ein kleiner Ark oder Minecraftserver.

 

[Raijin]

Das ganze ist via dyndns erreichbar, jedoch ohne VPN, sondern via SSH Socksproxy (nicht Port 22, Pubkey only, Fail2Ban).

Ob via VPN-Tunnel oder SSH-Tunnel ist ja grundsätzlich egal sag ich jetzt mal so. In beiden Fällen wird der Weg von außen nach innen über eine verschlüsselte PunktZuPunkt-Verbindung hergestellt, entweder eben via IPsec/OpenVPN oder eben via SSH getunnelt.

 

[aemonblackfyre]

ich habe bereits die version mit G1610T hier stehen

und bin am überlegen ob da vllt doch noch ein xeon reinkommt (und wenn ja welcher... die L sind schwer zu finden zu vernünftigen preisen und für die normalen müsste ich mir was bei der kühlung überlegen)

andere verschlüsselungen hab ich mir noch nicht angeschaut. aes eschien mir der standard zu sein.
hast du da vllt eine übersicht wo man sich schlau machen kann?

 

[ChristianSL]

Rijindael ist halt der Gewinner des AES-Wettbewerbs. die anderen Finalisten waren RC6, MARS, Twofish und Serpent.
Alle haben so ihre Vor- und Nachteile, Twofish ist der schnellste, Serpent der sicherste, Rijndael der von der NSA präferierte.
Welcher Cipher unterstützt wird hängt vom verwendeten Verschlüsselungsprogramm ab.
Für LUKS gibt es recht viele Infos im ArchWiki 1 2 3. Ansonsten hilft auch ein Blick auf Wikipedia oder den Report des AES Wettbewerbs.
Das Thema ist aber recht komplex und man kann schnell den roten Faden verlieren...

 

[aemonblackfyre]

die 8gb ram sind jetzt angekommen und ich versuche grade freenas zu installieren... leider finde ich mich beim booten nicht ganz zu recht. mir fehlt ein klarer bootmanager bzw eine möglichkeit die quelle auszuwählen

ich habe einen 16gb sandisk ultra fit mit dem aktuellsten freenas image bespielt und hab mir gedacht der wird schon da rein booten nachdem ich usb nach ganz oben gesetzt habe. leider ist dem nicht so.

kann mir da jemand weiterhelfen?