Welcher Pi für NAS und/oder VPN Server

  • Hallo Freunde,


    Ich möchte mir einen eigenen VPN Server und einen Nas Server mit einem Pi zusammenschustern. Allerdings habe ich gelesen das man für diese Projekte lieber zwei verschiedene Pi's nehmen sollte.


    Und jetzt meine Frage: Welchen Pi brauche ich für ein Nas- oder VPN Server ? Mein Budge ist eher klein daher sollte es so cheap wie möglich sein, 2-,4-,8 GB Arbeitsspeicher?( beim NAS eher mehr denke ich?). Und sollte es der neuste PI sein oder tut's auch ein älterer?


    Freue mich auf ein paar Antworten. :danke_ATDE:


    Schönen Sonntag euch,

  • Servus Pac,


    beim NAS kann ich Dir super weiterhelfen. Ich baue mir nämlich gerade auch eines. Darüber schreibe ich dann auch einen Blog, den kann ich ja noch verlinken wenn er fertig ist (wird auf Englisch sein).


    Auf jeden Fall nehme ich einen Raspberry Pi 4 mit 8GB RAM, da der 4er Pi zwei USB 3.0 Anschlüsse hat. Die 8GB Version deshalb, damit er auch bei intensiver Nutzung noch ausreichend RAM hat.

    An die zwei USB 3.0 Ports hänge ich zwei Western Digital Red Platten (Extra für den NAS Betrieb gedacht) mit jeweils 4 TB Speicher. Und verbinde sie als Software RAID 1 per mdadm.

    Als Adapter habe ich dafür je einen Aktiven Sata-USB Adapter genommen.

    Als Betriebssystem würde ich Ubuntu Server benutzen, da meines Wissens nach die 64 Bit Raspbian Variante noch nicht flüssig läuft und ich bei einem NAS auf Stabilität setzen würde. Ich würde auf jeden Fall ein OS ohne Grafischer Oberfläche nutzen, da die Rechenlast dafür auch anders genutzt werden könnte, als für eine GUI die eh niemand sieht, weil man sich normalerweise per SSH einloggt.

    Wenn du keine 8GB RAM hast, dann tut es die 32 Bit Version auch. Flashe die SD-Karte am Besten mit dem Pi-Imager Dann bekommst du gleich die richtige Version.

    Ich kämpfe zwar momentan noch damit, dass mit eine Festplatte immer wieder ausgeworfen wird, aber dafür sollte es auch eine Lösung geben. Ansonsten kannst du mit dem 4er Pi (Der Ja eben jetzt Gigabit LAN und USB 3.0 besitzt) die Geschwindigkeit von Gigabit Ethernet (was vermutlich bei Dir im Haus verlegt sein wird) super ausnutzen. Ich komme auf bis zu 115 MB/s.

    Für das NAS würde ich also auf jeden Fall den Pi4 nehmen, vorzugsweise mit 8GB RAM, kommt auch drauf an, wie viele Leute das NAS nutzen. Bei mir sind es 3-4 Personen zu den "Stoßzeiten" die meist nur Office Aufgaben erledigen.



    Für einen VPN Server sind zwei PIs technisch nicht unbedingt nötig, aber sehr empfehlenswert. Warum wird hier ganz gut erklärt.


    additionally, you will need a separate machine to serve as your certificate authority (CA). While it’s technically possible to use your OpenVPN server or your local machine as your CA, this is not recommended as it opens up your VPN to some security vulnerabilities. Per the official OpenVPN documentation, you should place your CA on a standalone machine that’s dedicated to importing and signing certificate requests. For this reason, this guide assumes that your CA is on a separate Ubuntu 18.04 server that also has a non-root user with sudo privileges and a basic firewall.

    Theoretisch kannst du den VPN Server auf dem gleichen Pi auf dem das NAS installiert ist, aufsetzen. Als CA Server dürfte auch ein etwas älteres Modell (Ich denke da an den 3B+) funktionieren, das sollte deine Internetgeschwindigkeit nicht einschränken.

    Vielleicht findest du ja einen gebrauchten auf E-Bay oder so.


    Du könntest es aber auch umgekehrt machen, einen Raspberrypi als Open VPN Server zu nutzen und den NAS-Pi dann als CA Server.



    Bei Fragen melde dich einfach :thumbup:

  • Ich habe ipfire auf einem alten Pentium laufen - das geht wunderbar. ipfire gibt es auch für den Pi 3B - das sollte für den Hausgebrauch völlig genügen. Es ermöglicht openVPV (funktioniert bei mir einwandfrei) und sorgt auch sonst für sichere Verbindung mit dem Internet. Wenn du irgendwo noch einen asbachuralten PC hast, tut der es aber (zumindest vorerst) auch - und kostet vielleicht gar nichts.


    Generell stimme ich da zu, Firewall/VPN-Server und NAS auf zwei getrennten Rechnern zu betreiben.

    Oh, man kann hier unliebsame Nutzer blockieren. Wie praktisch!

  • asbachuralten PC hast, tut der es aber (zumindest vorerst) auch - und kostet vielleicht gar nichts.

    Nur wenn man den evtl. Stromverbrauch nicht rechnet und der ist bei vielen alten Möhren nicht zu unterschätzen.

    Menschen die keine Ironie verstehen finde ich super!

  • In der Tat - darauf bezog sich das "zumindest vorerst". Damit meinte ich zum testen. Ein Pi braucht ungefähr 4 Watt, ein alter PC mindestens zehn mal so viel. In Euro für Strom sind das im Jahr ca. 10 € gegen 100 €. Da sind zwei Pis schnell bezahlt. Noch-zuhause-Wohnern sei geraten, mit Papa übers Sponsoring zu reden. Also Vadder, hör mal... du könntest mir zwei Pis kaufen (70 €) oder naja, wenn ich den alten PC benutze, wirds halt teurer für dich.... ;)

    Oh, man kann hier unliebsame Nutzer blockieren. Wie praktisch!

    • Official Post

    Ich kämpfe zwar momentan noch damit, dass mit eine Festplatte immer wieder ausgeworfen wird, aber dafür sollte es auch eine Lösung geben.

    Die zweite Platte schmeißt die erste immer wieder raus, stimmts? Verwende für eine der Platten einen aktiven USB-Hub, dann haben beide genug Futter. ;)


    ... und nein, nur weil es aktive Sata-USB-Adapter sind, bedeuetet das nicht zwangsläufig, dass die die Eigenversorgung nicht aus dem USB-Port des RPi ziehen.

  • Vielen dank für eure Antworten.


    "...Als CA Server dürfte auch ein etwas älteres Modell (Ich denke da an den 3B+) funktionieren, ..."

    Ah okay also reichen für den VPN Server auch nur 1GB Arbeitsspeicher?

    Das NAS Projekt werde ich nach meinen Klausuren starten :) vielleicht komme ich dann nochmal auf dich zurück.

  • Vielen dank für eure Antworten.


    Ah okay also reichen für den VPN Server auch nur 1GB Arbeitsspeicher?

    Das NAS Projekt werde ich nach meinen Klausuren starten :) vielleicht komme ich dann nochmal auf dich zurück.

    Klar, ich hab jetzt dann auch noch Klausuren, danach wird auch das Tutorial fertig werden. ;)

  • Hallo Pac,


    Hier mal meine völlig unmaßgebliche Meinung zu diesem Thema.

    Wenn ich mir aus einem RasPi ein NAS bauen würde, dann würde ich auch aus den von JJandke genannten Gründen den Raspberry Pi 4 mit 8GB RAM benutzen. Klar reicht auch eines mit weniger RAM, aber wer will sich später über seine Sparsamkeit ärgern?


    Was ich allerdings niemals machen würde, ist eine Kombination irgend eines lokalen Server(chens) mit einem Kryptogateway (VPN-Server). Es sei denn, du willst dieses Projekt nur zum "Üben" benutzen oder deine eigenen Sicherheitsanforderungen bewegen sich gegen NULL.


    Zuerst musst du klar wissen, was du mit deinem VPN überhaupt beabsichtigst. Der Begriff "VPN" ist sehr weit gefasst. Ich nenne hier nur:

    - die sichere Anbindung "außerhäusig" betriebener Clients an dein Heimnetz

    - die sichere Verbindung mehrerer an verschiedenen Orten befindlichen Netze

    - die Nutzung eines kommerziellen VPN-Anbieters, um sich eine (Pseudo-)Anonymität oder eine "ausländische" IP zu beschaffen.

    - usw.


    Wenn du für dich diese Fragen beantwortet hast, dann kannst du dir Gedanken machen, welches VPN du auf welches Gerät bringen willst. Ich nenne hier nur drei verschiedene davon: OpenVPN, IPsec und Wireguard. Jede dieser Lösungen hat Vor- und Nachteile bzw. eignet sich für bestimmte Anforderungen mehr oder weniger gut.


    Was ich allerdings überhaupt nicht verstehen kann, ist die hier vorgekommene Problematik des "CA-Servers".

    Für einige der oben genannten VPN-Lösungen (OpenVPN und IPsec) kannst du X.509-Zerifikate benutzen. Ob du das als Anfänger wirklich machen willst, oder zuerst einmal PSK (PreSharedKeys) wie bspw. im AVM-VPN (kastriertes IPsec) üblich benutzt, solltest du dir wirklich gut überlegen. Das ganze Thema "CA" ist sehr komplex. (Ich weiß, wovon ich hier schreibe, denn das war 15 Jahre mal meine berufliche Tätigkeit.)

    Wenn du wirklich Zertifikate benötigst (oder dich mal informativ damit befassen willst), dann kannst du dich mit XCA befassen. Das kann man schon als semiprofessionell bezeichnen und läuft auf jedem Rechner - möglichst in einem Veracrypt-Container. Aber niemals auf einem Kryptogateway.


    Praxis:

    Ich habe mir vor gut einem Jahr aus zwei herumliegenden RasPi 2B zwei Wireguard-Server gebaut. (Später, nachdem ich längst fertig war, gab es in der c't einige ausgezeichnete Anleitungen dafür.) Meinen Uplink von damals 10Mbit/s haben diese kleinen Geräte voll ausgelastet, ohne dass sie nennenswert warm wurden oder gar den Flaschenhals bildeten.

    Einige Monate später habe ich es allerdings aufgegeben, dafür RasPis einzusetzen. Das Netz wurde größer und die möglich Uplink-Bandbreiten auch.

    Also habe ich mir in der Bucht 10 Fritz!Boxen 7412 gekauft. Die gab es damals für 5€nen + ebensoviel für den Versand. Schnell OpenWRT darauf geflasht und dann Wireguard installiert und konfiguriert. (Selbstverständlich gibt es dafür auch sehr gute Anleitungen.) Der große Vorteil ist hierbei, gerade wenn man die Geräte bei "nicht Bastlern" verteilt, dass das eben ein kompaktes Gerät ist, was auch mal einen Stromausfall locker übersteht und wo auch der WAF nicht so gering wie bei einem "niemals zu berührenden" RasPi ist.

    Jetzt betreibe ich ein eigenes (und völlig privates im Sinne von "nicht kommerziell") VPN. Es besteht aus ggw. 6 Sternen (7412) die in Deutschland und zwei weiteren Ländern bei Familie/Freunden stehen und alle einen Tunnel zu meinem eigenen WG-Server aufbauen (mittlerweile eine F!B 4040 wegen der weitaus höheren Performance). Und an alle "Sterne" sind sämtliche außerhäusig betriebene Geräte (Laptops und Smartphones) der jeweiligen Betreiber angeschlossen.

    Wir nutzen dieses Netz zur vollautomatischen Datensicherung wechselseitig auf die NAS, welche einige von uns haben, zum Telefonieren ohne Mitlauscher und natürlich auch zur Hilfe bei Computerproblemen. Und einer kann darüber auch die dt. Mediathek nutzen.


    Ja, das war wieder viel, sorry!


    MfG Peter

  • Hey Peter danke für die Ausführliche Antwort (habe ich gestern Wohl übersehen)

    Also um ehrlich zu sein bin ich in der IT Thematik nicht so sehr bewandert und wollte mich für den VPN Server an die Videoreihe von SemperVideo halten, dort wird Open VPN benutzt. Den NAS Server möchte ich gerne Verwenden als Backup für den Büro kram, sowie zum Speichern von Daten hier zu Hause (Spiele, Filme etc.)


    Früher hatte ich ein Proton VPN Abo das wollte ich mit dem eigenen VPN Server ersetzen, falls das Sinn macht?


    Grüße


    PS. Ich habe für mein Pi Hole einen Pi Zero in betrieb, könnte ich auch einen Zero für den VPN Server benutzen, oder hat der zu wenig Leistung? Die sind ja nicht so teuer

  • Hallo Pac,


    zuerst meinen Rat: mach nicht gleich alles auf einmal!

    Was den Netzwerkspeicher betrifft, da ist es schon mal gut, sich mit einer NextCloud oder etwas ähnlichem zu befassen. Im Netz gibt es genügend Anleitungen und JJandke hat ja schon einiges dazu geschrieben. Einfach dieses Ziel weiter verfolgen. (Auch wenn dieses "Bastel-NAS" wohl nie die Performance und die Möglichkeiten eines Synology-NAS oder das Produkt einer anderen Firma bringen wird, so lernst du zum einen viel dabei und immer daran denken: JEDES Backup ist immer besser als kein Backup!)


    Was das VPN betrifft, habe ich dir ja schon meine Meinung geschrieben. Zuallererst klar machen, was du mit dem VPN überhaupt anstellen willst. Dann das dafür geignetste VPN auswählen. Und, wie oben schon geschrieben, immer ein Projekt nach dem anderen!


    Selbstverständlich kannst du (zumindest für erste Schritte) einen Zero als VPN-Server einsetzen. Um mit einem Smartphone darüber bspw. die Kalender und Adressbücher zu synchronisieren, sollte dieser voll ausreichen. Aber, zuerst wissen, was du überhaupt willst und erst dann über das wie nachdenken.


    Viel Erfolg!

    Peter