Ford Prefect

Wireguard ist eigentlich ein Mesh....die Verbindung wird von der Seite ("Peer") aufgebaut, welche einen "Endpoint" konfiguriert hat. In der Sense kenne ich mich nicht aus. Evtl. gibt es zwei unterschiedliche "Module" oder Konfigs, eines als "Server" für RoadWarrior-Clients und eines für Client-Peers zu einem Server. Aber es muss bestimmt was geben, sonst könnte es ja nie eine s2s-Verbindung via WG zwischen zwei Sense-Sites geben

Wenn ich das richtig gesehen habe, hast Du WG auf dem unraid installiert? Warum, wenn Du eine Sense hast...das würde die ganze Sache weniger kompliziert machen, oder?

Ja, genau. Bei Deinem Bedarf an "Storage" kann man das gut mit 1xParity und 2xData zu je 4TB erfüllen und hätte noch 100% "Luft" (4TB) zu Deinem prognostizierten Bedarf....insofern - wenn die Anhame zutrifft - kommt man lange mit den 3 Disks aus, bevor man erweitern muss und bei 3 Disks wäre es quasi egal, ob diese Menge Storage im Array oder in einem Pool abgebildet wird (aber: den gleichen Pool erweitern geht nicht so leicht...im Array geht das eben ganz einfach). ...das ist dann genau der Punkt...wenn Du mal schnell eine Disk dazuschieben musst, brauchst Du mehr Ports und Platz zum Einbau und Dein "storage" sollte im Array sein., Damit finde ich Deine Analyse auch korrekt...keine SSDs und kein Tiny-PC. ...wollte nur sichergehen, dass Du die Optionen verstehst, damit die Investition in die von Dir gewünschte Richtung geht.

Ja, das würde es im Prinzip bedeuten. Aber: im "klassichen/normalen unraid Array" liegt die maximale Performance bei der einer Disk, egal wie viele da drin sind...das gilt auch bei SSD only (kein striping). Im Prinzip ja, aber auch hier ein Aber: Im "unraid Array" gibt es kein Trim...daher wäre Plan B, bei "SSD-Only", als das "Storage" im Bereich des "Cache" bzw. Pool(s) ("Primary Storage") aufzubauen und das "klassische unraid array" ("secondary storage") nur mit einem kleinen USB-Stick (damit alle Dienste starten können, muss es ein unraid Array aus mindestens einer "Disk" - hier nur ein USB-Stick, weil das "Storage" sonst nicht dafür gebraucht wird) aufzubauen. P.S.: einen USB-Stick für das unraid-OS selbst brauchst Du ja auch noch Ja. Aber siehe meinen Post oben...ein Pool mit SATA-SSDs und ein Pool/Cache für "Laufzeitdaten" aus NMVe (oder auch mehr Pools) ist möglich. Ob man jetzt noch den NVMe-basioerten Pool auch als Cache für den SSD-basierten Pool einsetzt ist Geschmachsache (Edit oups, das geht ja - noch - garnicht, kaskadierende Pools). Yep...unraid ist sehr vielseitig und flexibel einsetzbar....vom Sockel-Typ hängt es aber nicht ab

Bei der Kingston NVMe steht zwar Kühlkörper mit dabei, aber ich glaube hier stimmt das nicht...da gibt es nochmal die gleiche mit Kühlkörper: https://geizhals.de/?cmp=2622035&cmp=2840304&active=1 Beim RAM würde ich ein Modul nehmen, das ne kleinere CL hat. Für den I5 braucht es kein schnelleres Modul als 2666MHz - schnellere sind abwärtskompatibel, aber selbst der S1200er i9 mit 10C "braucht nur" 2933MHz (falls Du den mal upgraden willst). Hier ein paar zum Vergleich: https://geizhals.de/?cmp=2564337&cmp=2106879&cmp=2177029&cmp=2106885&active=1

Zeitlich eventuell ja, aber dass es an der Version der Sense liegt glaube ich nicht. Der Reboot der Sense (ähnlich wie Dein unraid) hat wahrscheinlich einen Cache gelöscht (vermute stark, weil VLANs im Spiel sind, den ARP-Cache). Will sagen, Dein Setting ist evtl. dort auch ähnlich verknurpst, wie schon beim unraid....nur weil mal die IP Verbindung geklappt hat, heisst das nicht, das die VLANs ordnungsgemäss "gearbeitet" haben. Metriken haben damit garnix zu tun. Die sind dann wichtig, wenn es zum gleichen Ziel mehr als einen Pfad/eine Route gibt.

Hätte wahrscheinlich ohne auch garnicht funktioniert. ...eben. Vielleicht hast Du woanders in Deiner Infrastruktur ja noch einen anderern Fehler im VLAN Setting. Von hier aus schwer zu sagen oder zu helfen. Das ist alles nur externe Beobachtung auf IP/Layer3 ...Du musst in beiden Layern 2+3 schauen, wie der Pakete fliessen, in beiden Richtungen. Plan B: netzwerk planen und neu aufbauen, alles und nicht allein unraid.

Ich denke nicht, die Fritte wird nur ein normales DHCPOFFER raushauen, was dem PXE-Client nicht reicht. ...soweit ich PXE verstanden habe brauchst Du - um die Fritz als DHCP für normale Clients zu behalten - einen DHCP-Proxy. siehe: https://en.wikipedia.org/wiki/Preboot_Execution_Environment#Integration ...einfacher wäre es evtl den dnsmasq für alles zu benutzen und in der Fritz den dnsmasq als DHCP-Server zu hinterlegen und dort auszuschalten.

...Dein unraid Server hat ja auch keine IP-Adressse in VLAN2. So steht es schon in Deinem ersten Screenshot. Die IP-Adresse 192.168.2.12 ist für br0 und nicht br0.2 ...so steht es auch in der Routing Tabelle. Vielleicht als Hinweis: eth0/br0 ist das (V)LAN mit der default VLAN-ID = 1. Wenn ich Dich richtig verstehe, willst Du das Dein unraid-Server nur im VLAN2 erreichbar ist? Dannstelle VLANs in unraid aus uund setze die PVID im Switch für Dein eth0 auf ID=2. Hier ein Beispiel, wie es bei mir mit verschiedenen VLANs aussieht:

Warum dann ein MB mit nur 4x SATA? Wie schonmal gesagt, finde ich die S1700er gar nicht sooo toll...um die Leistung des i3 da voll abrufen zu können (Bandbreite 75+GB/s) brauchst Du wohl eher DDR5-RAM. Ein MB mit 6x SATA, 2xM.2-PCIe, mind. 1x Intel NIC ist dann schon recht teuer und braucht dann in der Kombo eh DDR5-RAM. ...zum Verbrauch kann ich nix sagen. Alternative:...das ist ein S1200er, das ich empfehlen kann: https://geizhals.de/asrock-b460m-pro4-90-mxbcv0-a0uayz-a2305952.html?hloc=de Ohne Schnickschnack, 2xM.2-PCIe(v3 - wird aber für Deine genannten Zwecke schnell genug sein) und 6x SATA, Intel NIC Dazu dann einnen schönen i3 oder gar i5 (noch 2 Kernchen mehr) ...der Quasi Standard sind Samsung EVO. Die Crucial mit QLC-NAND wäre nicht so meines....ich würde mir eine mit TLC-Nand, DRAM+SLC-Cache und hoher TBW (>1PB, bei 1TB Grösse) suchen (wegen der TWB fallen Samsung aber da schon raus - am besten gleich eine mit Kühlkörper nehmen, denn im MB hat meist nur einer der M.2 Plätze einen schon drauf.). Bei den Pico-Bauformen muss man aber auch die Verteilung auf die verschiedenen Spannungsebenen beachten. Eine SATA-SDD läuft mit 5V, eine PCIe-NVMe läuft aber mit 3.3V...20W sind da schon 6A...die hier ist also schon grenzwertig (unter der Annahme, dass nicht alles auf dem MB von 12V runtergewandelt wird - aber dann wären die 10A für 12V auch schon zu knapp mit 4xHDD und CPU und Chipsatz usw). ...ich habe mir letztes Jahr, bei der Zusammenführung meiner beiden unraid-Server dieses hier geholt: https://geizhals.de/silverstone-case-storage-cs380-v2-schwarz-sst-cs380b-v2-a2181733.html?hloc=de Platz für Erweiterungen und Hotswap ... machte es leichter die Disks fürs umkopieren zu tauschen...

nein, das wird schon für Dich gut ausgehen. Mini-ITX ...warum? Die CPU hat schon einen Kühler...Du brauchst keinen extra. Ja, wenn Du Entwickler bist...ich würde in zwei grosse M2.PCIe nVME investieren 1 oder 2TB. Siehe oben...ich würde auf ein mATX System mit eben 2xM.2 setzen. Dann auch gleich mind. 6xSATA dabei. Da die Anzahl Ports für Erweiterungen eigentlich immer irgendwie beschränkt ist, würde ich gleich auf 16TB oder höher gehen. Dann kannst Du bei der nächsten Erweiterung einen neue Parity holen und die alte zur Datenplatte machen. Pico-PSU mit 3.5er HDDS kannst Du vergessen...jede Disk wird beim Start so 25W an 12V ziehen.... Das RMx aus 2018 aus Deiner Liste ist das Falsche...Du willst die 2021er Version....aber ja, auch schwer zu bekommen. Einfach nochmal umschauen...so 500W würde ich gehen, wenn Du erweitern willst. Also dann hast Du auch eher Platz für ein mATX...und eben den extra CPU-Kühler kannste sparen Das wäre schon möglich. Ein S1700er System ist vermutlich nicht so sparsam wie ein S1200er (wenn Du noch was findest).

das ist klar...meine Aussage war ja, warum Du VLANs überhaupt brauchst, wenn Du physische Harware (Ports) genug hast, denn unraid hat ja getrennte NICs für jedes LAN- (+IP)-Segment, wie Du sagst. Nur weil die Docker kleine "VMs" sind (virtualisierte Apps und mittels macvlan eingebunden sind) müssen sie netzwerktechnisch nicht in ein VLAN. (V)LAN ist Layer 2 .. IP-Segmente sind Layer 3....IP-Segmente trennt ein Router/die IP-Firewall, (V)LAN-Segmente trennt ein Switch (eine Unifi hat beides in einem Gerät). Auf VLAN gehst Du dann, wenn Du in der Netzwerk-Infrastruktur zwischen den Komponenten nicht genug Kabel hast oder eben ein so dickes (10G/40G/100G), das Du dir die Bandbreite da drin teilen willst/kannst und damit weniger Kabel brauchst. VLANs in der Unifi machen zB also dann Sinn, wenn Du diese "nur"/allein mit einem 10G Interface an den Switch anschliesen willst. unraid, das an den gleichen Switch geht, braucht kein VLAN, wenn Netzwerkkarte 1 und Netzwerkkarte 2 vorhanden sind und diese getrennt genutzt werden und auch so an den Switch gehen - der Switch braucht VLANs um den Traffik von unraid durch die eine Verbindung in die Unifi zu schieben. Gibt es keinen extra Switch zwischen unifi und unraid (das mit zwei NICs ohne LACP arbeitet) braucht es keine VLANs in der unifi (und auch nicht in unraid) da jedes LAN 1:1 zwischen unifi (dem Switch da drin) und unraid (mit einzelnen, getrennten NICs) verbunden werden kann.

Ja, das ist komisch...was sagt denn die Interface- und die Routing-Tabelle von unraid? ...mach doch mal bitte ein "ifconfig" und ein "netstat -rnp"

Da schliesse ich mich gerne meinem Vorredner an... Also unabhängig von der doch schmerzlichen Diskussion und Entwicklung der macvlan/ipvlan Thematik in unraid (und das "vlan" in macvlan hat nix direkt mit VLANs auf dem LAN/Ethernet des unraid Hosts zu tun)... ...verwirrt mich Deine Aussage. Denn, Du weisst aber schon, dass das V in VLAN für virtuell steht und eben bedeutet, dass man mehrere Segmente (Layer 2, Ethernet) auf dem selben physikalischen Interface nutzen kann, statt sonst nur einem. Sprich, mit einer seperaten Netzwerkkarte braucht man ja kein VLAN mehr, weil man zwei echte LANs hat. ...warum also ein VLAN Setup? P.S.: Verzeihung für etwas OffTopic, hier.

...und wenn Du auf 6.12.3 zurück gehst, geht es wieder ? Also, der Client sitzt in einem anderen VLAN und ist kein Docker auf unraid, sondern zB ein PC/Laptop o.ä in dem (V)LAN, zB VLAN30: 192.168.30.155? Das es vorher funktionierte heisst ja nicht, das es vorher richtig war Inter-VLAN Routing läuft immer über den Router. Bist Du sicher, dass unraid in jedem VLAN eine eigene IP hat und auch den Router mit einer IP aus dem VLAN als Gateway hat, zB VLAN30 - unraid: 192.168.30.20, GW 192.168.30.1 ?? Erstmal verstehen, wie Dein Setup heute aussieht Ich bin selbst noch auf 6.12rc2....in 6.12.4 ist einiges umgestellt worden im networking....bist Du auf ipvlan oder macvlan bei den Dockern und/oder hast Du vorher wg. macvlan den workaround mit getrennten Netzwerkkarten für unraid und Docker gemacht?

OK, gut. ...das ist nur ne Kopfsache...Fazit: freue Dich, dass Du eine technisch funktionierende Kombination finden kannst und nimm die. Auch das ist ne Kopfsache. Durchgereichte NICs siehst Du ja garnicht mehr in der unraid Netzwerk-Konfig und Du kannst die Nummerierung, welche NIC/MAC jetzt eth0 ist frei einstellen. ... passt halt nicht mehr zur Beschriftung am Gerät, aber auch das kann man lösen. Dann verzichte drauf oder nimm eben eine Kombination, die funktioniert, mit Deinen Einstellungen. Ich vermute, dass einige NICs noch mal mit nem PCIe-Switch an den Chipsatz oder die CPU angebunden sind, da sonst für alles nicht genug Lanes da sind. Daher dann das unterschiedliche Verhalten der Port(-Nummern). Ich hatte diesen Fehler bei einer durchgereichten Telefonie-Karte...ein anderes Modell hat das Problem behoben...der Unterschied: PCIe-Bridge Baustein auf der Karte war ein anderes Modell/von einem anderen Hersteller. Mein Fazit: siehe oben.

Du hast mich da nur halb zitiert. Wenn Du eine Verbindung von Aussen zulässt, musst Du alles sichern, nicht nur unraid oder einzelne Services da drauf - siehe den Hinweis von @alturismo zum Thema nginx und teamspeak. Daher sollte das an einer zentralen Stelle sein und das ist eben nicht unraid, sondern Deine Firewall. crowdsec hat genau den Ansatz, zB mit dem "Bouncer" an zentraler Stelle (Firewall) einzugreifen. Ohne jetzt drauf geschaut zu haben, gehe ich davon aus, dass man zB eine OPNSense braucht. ... ich würde zumindest croudsec nicht in den IPTables des unraid Servers "wurschtln" lassen. Das wäre zu speziell, kann Wechelwirkungen hben und wenn Du dann Hilfe suchst, kennt sich niemand aus...hier oder in der croudsec community....aber ist nur meine eigene Vermutung/Analyse. Ich biete keine public Services für "jedermann" an. Für die Familie ud Zugroff von Aussen habe ich einen Router mit Wireguard auf einem VPS (zu dem sich mein lokaler Router ebenfalls - je WAN - mit einem Wireguard Tunnel verbindet) als VPN. In meinem Router regelt die Firewall, wer auf welche Netz (nutze intern VLANs) und welche Services, inkl. Unraid darf.

Achso, nur unraid? Ich halte nix davon unraid ins I-Net zu stellen und dann eben "nur" unraid sicher zu machen. Daher auch mein Hinweis auf die lokale Firewall im Netz, was ja eben nicht unraid ist. Die crowdsec Komponenten für nginx scheinen ja in den Apps vorhanden zu sein. Aber evtl. schaust Du Dir mal als erstes das gute alte fail2ban an... da gibt es doch auch die Möglichkeit zum GeoIP-Lookup & -Blocking, denke ich.

NIC: https://de.wikipedia.org/wiki/Netzwerkkarte BOS ...sollte BIOS heissen...sorry VFIO/IOMMU: https://docs.unraid.net/unraid-os/manual/vm-management/#determining-hvmiommu-hardware-support ...Deine Diagnostics sagt "no link" ..also mal Kabel prüfen. Du hast ne Realtek Karte und dafür ein Plugin/Treiber installiert...sicher, dass Du das brauchst?

...im GUI Modus booten, dann Logging auf den Stick einschalten...nochmal in den GUI Modus booten und diagnostics erstellen, diese dann hier einstellen (liegt dann auf dem Stick). Ist das eine interne oder externe NIC? Hast Du die (interne) evtl. im BOS ausgeschaltet oder die NIC per VFIO/IOMMU durchgereicht? Evtl. gibt es im System ne zweite Nic? dann das Kabel vom Switch/Router mal da rein.

crowdsec kannte ich bislang nicht. Die Frage wäre, was Du glaubst, welche Szenarien auf Deine Installation/Umgebung zutreffen und ob Du die richtige Infrastruktur hast, ob crowdsec "seine Arbeit machen zu lassen". Wenn ich mir die Architektur anschaue: https://www.crowdsec.net/product/crowdsec-security-engine ...geht alles mit dem Sammeln von Logs los. Diese werden analysiert und dann evtl. - für "betroffene/relevante" IPs - Regeln in der Firewall aktiv (der bouncer) .... ...klingt ganz nett, aber hey...das geht bestimmt nicht mit ner Fritzbox Für den Heimanwender, hinter einem NAT, ist davon nicht allzu viel interessant....anders dann, wenn die Gefahr "von Innen" kommt, sprich viele Server mit vielen Diensten und noch mehr User, evtl. mit mobilen Geräten, die sich im internen Netz - in vielen VLANs - tummeln. ...hast Du sowas am Start und die passende Firewall, wie zB ne OpenSense? Ansonsten kaum umsetzbar oder zumindest Kanonen auf Spatzen. ...my 2 cents, nach meiner ersten Einschätzung...wie gesagt, kannte ich bislang nicht.

...ich hab noch im Hinterkopf, das in der Bestätigungs-Mail aus dem Kauf ja der Link zum Key-file steht. Da Du den USB-Stick nicht getauscht hast, also die gleiche UUID im Spiel ist, kannst Du in dem Fall ja mit dem Link aus Mail den Key-Fle zurückholen....wenn Du die Mail noch hast.

...wir reden über Wechselstrom....dann weisst Du eben nicht, ob die 25W in Wirklichkeit nen Power-Factor von 0.8 haben und eben 5W Blindleistung sind...in DE zahlst Du als Verbraucher nur die Wirkleistung, also hier 20W....warum also über den Stromverbrauch überhaupt nachdenken, wenn man nicht richtig misst??

Wenn der Stick USB2 ist läuft er auch am USB3 Port und zieht trotzdem weniger Strom ...ob mit dieser Methode wirklich die Stromversorgung abgestellt wird? Es wird ja "nur" der Treiber entladen. Analog zur Nutzung einer dGPU in einer VM...wenn die VM nicht läuft und daher kein Treiber geladen wird, verbraucht die dGPU sogar viel, viel mehr Strom. Was genau funktioniert nicht? Was geht an dem driver-unbind Befehl denn schief? mach mal ein "lsusb -tvv" ...dann solltest Du mehr sehen.

...ist mit ziemlicher Sicherheit der Treiber, wie @jj1987 schon schrieb. Ich denke vom i225 gab/gibt es einige Revisionen, wie auch schon beim i211/221...alte Treiber unterstützen neuere Revisionen nicht. Von 6.6.7 würde ich mindestens mal auf die 6.9.3 updaten, danach gar auf die 6.12.4 gehen, wenn Du macvlan nutzt. Wenn Du vorher testen willst, ob die i225 Karte(n) funktionieren, reiche die Karte an eine VM durch und starte dort eine Linux Live-Iso, zB Fedora. Edit: ahhh...too late