1. Главная страница » Компьютеры » Netgear readynas 212 настройка

Netgear readynas 212 настройка

Автор: | 16.12.2019

Возможно каждый ИТ специалист в какой-то момент сталкивается с необходимостью создания тестовой среды. По моему мнению, на сегодняшний день тестовая среда — это неотъемлемая часть сетевой инфраструктуры. Как сказали в одном ИТ вебинаре: “лучше чтобы их было две”

Одним из основополагающих критериев тестовой среды чаще всего является относительно невысокая стоимость решения.

Вопросы, которые могут совмещаться с тестовой средой:

  • расположение виртуальной среды;
  • хранение редко используемых, малонагруженных по IOPs , но объемных данных (образы, дистрибутивы, базы Консультант Плюс и т.д.);
  • расположение архивных копий (например, систему резервного копирования от компании Microsoft System Center Data Protection Manager 2012 R2).

В качестве примера рассмотрим вариант тестовой среды для виртуализации на основе Hyper-V операционной системы Windows Server 2012 R2 и сетевой системы хранения данных (NAS) от компании NETGEAR ReadyNAS 3220 (хотя описание настройки также подходит к моделям ReadyNAS 102/104/312/314/316/516/2120/3220/4220/716X).

Выбор пал на данного производителя по следующим причинам:

  • Стоимость;
  • Монтаж в стойку;
  • Поддержка рейд: 0,1,5,10;
  • Гарантия в городе использования;
  • Поддержка iSCSI (SMB) – универсальное решение для подключения к разным серверам;
  • Поддержка горячей замены дисков;
  • Резервирование портов;
  • совместимость дисков и их гарантия;

Подключение к родительскому разделу Hyper-V согласно требованиям к тестовой среде происходило по iSCSI (также рассматривался вариант по SMB 3.0, т.к. Windows Server 2012 R2 и NETGEAR ReadyNAS 3220 с приложением SMB Plus поддерживают 3-ю версию протокола).

Подключение напрямую и первоначальная настройка (включая прошивку на официальную версию 6.1.8 с портала ) согласно документации производителя NETGEAR к серверу не составили трудностей.

Далее как и в любом другом проекте шел этап тестирования. Выбор пал на знакомый уже IOmeter версии iometer-1.1.0-rc1-win32.i386-bin с параметрами паттернов:

Тип нагрузки (паттерн) Размер блока Write/Read, % Random/Seq, % Align I/Os on #Outstanding I/O*
VDI on Hyper-V 4 Kb 80/20 80/20 128 Kb от 2 до 32 по экспоненте
MS SQL on Hyper-V 16Kb 66/34 100/0 128 Kb от 2 до 32 по экспоненте
MS SQL Log on Hyper-V 64 Kb 100/0 100/0 128 Kb от 2 до 32 по экспоненте
Exchange 2007 on Hyper-V 8 Kb 55/45 80/20 128 Kb от 2 до 32 по экспоненте
Тип нагрузки (паттерн) Размер блока % Access Write/Read, % Random/Seq, % Align I/Os on #Outstanding I/O*
Fileserver 512 byte 10 20/80 100 128 Kb от 2 до 32 по экспоненте
1 Kb 5 20/80 100 128 Kb
2 Kb 5 20/80 100 128 Kb
4 Kb 60 20/80 100 128 Kb
8 Kb 2 20/80 100 128 Kb
16 Kb 4 20/80 100 128 Kb
32 Kb 4 20/80 100 128 Kb
64 Kb 10 20/80 100 128 Kb

Также были установлены и подключены к NAS три виртуальные машины на базе Hyper-V Windows Server 2012 R2.

Результаты были мягко говоря слабоватыми в конфигурации 6 дисков SATA, подключенному напрямую по 1Гб-ому каналу к серверу.

Очень высокий показатель “Response time” (более 50 мс).

Удивление было вызвано причиной официальной поддержки NAS в качестве проверенного ( сертифицирована на совместимость ) компанией решения для виртуализации Hyper-V или vSphere.

Поискав более подробной информации по настройке ReadyNAS, пришлось обратиться в техподдержку через личный кабинет, которая не заставила себя ждать!

После общения сразу со второй линией поддержки на русском языке перешли на третью на английском

Результатом диагностики стало применение новой прошивки 6.1.9 , которой еще нет на официальном сайте компании и рекомендаций по настройке.

ReadyNASOS 6.1.9 [RC5]

Latest beta: ReadyNASOS 6.1.9-RC5

To install: Click on appropriate link above for your system to download firmware image.
Then upload that image from the management UI’s System->Settings->Update->Install Firmware section.
Notable changes since ReadyNASOS 6.1.8
1. [RC1] Update kernel with various filesystem and iSCSI improvements.
2. [RC2] Make Richcomm-based UPS devices work.
3. [RC2] Add DLNA support for FLV.
4. [RC2] Avoid issue with too many open file descriptors in some odd AD environments.
5. [RC3] Various security updates. (OpenSSL, GNUTLS)
6. [RC4] Fix periodic log truncation.
7. [RC5] Add UI option to configure sync policy for iSCSI LUNs.

Читайте также:  Case средства проектирования баз данных

Рекомендации сотрудников компании NETGEAR: для максимальной производительности использование RAID 10 и дисков 1Тб вместо 4Тб.

Для того чтобы сохранить место на ТЕСТОВОМ СТЕНДЕ, было принято решение оставить RAID 5 с настроенными Jumbo Frames (NAS и адаптер родительского раздела Hyper-V).

Список наиболее производительных RAID (по уменьшению):

1- RAID 10 – наиболее производительный, большой объем на резерв
2- RAID 5+0
3- RAID 6+0
4- RAID 5
5- RAID 6 – наименее производительный


На Хабре уже есть несколько статей, касающихся безопасности различных устройств из сферы так называемых «Вещей-интернета»: домашние роутеры, «умные» телевизоры, NAS-устройства и т.д.

Данная статья поведает об особенностях NAS модели ReadyNAS. Статья о том, как мне удалось выгнать чужака из NAS-устройства, который там очень неплохо закрепился. Забегая вперёд скажу, что собранной информации было недостаточно, чтоб утверждать кто был этим чужаком: взломщик с человеческим лицом и корыстью или бесчувственный вирус. Поэтому в названии данной статьи фигурирует обезличенное слово «нечисть».

В один прекрасный день мой товарищ позвонил мне и попросил: «посмотри что не так с этой железякой? ну, я на ней фильмы храню… ну, ты понял о чём я!» И далее следовали описания симптомов. Был обычный рабочий вечер, и голова уже соображала не супер. Конечно, из телефонного разговора я толком ничего не понял. Но решил не производить допросов по телефону и приехать на место происшествия, лично посмотреть что и как. Я попросил отключить устройство от интернета до моего приезда.

Приехав к нему домой, я так и не понял что за симптомы он мне описывал. Но на всякий случай решил глянуть железку. Это оказался ReadyNAS. На вид устройство работало вполне нормально, особых тормозов или неадекватного поведения замечено не было. Неопознанных пользователей в списке на устройстве не обнаружено. После чего я решил всё же поглядеть логи. Так, для очистки совести. Поводов для беспокойства у меня пока не было. Так что моя мотивация была скорее в том, чтоб успокоить моего товарища. Мол, я провозился с железкой, в логах всё хорошо, тормозов не вижу, ложная тревога. Уходить сразу, не изобразив даже попытку реально разобраться было некрасиво. Но логи оказались не столь успокаивающими. И я понял, что вечер выдастся с борьбой.

И что же логи?

В логах обнаружилась строчка «Enabled root SSH access»

Поиск в гугле выдал страничку с описанием утилиты. Судя по описанию, утилита предназначалась для предоставления root доступа к устройству через SSH. Причём пароль на root должен быть такой же, как на пользователя admin. Пользователь admin использовался нами для доступа к устройству через веб-интерфейс. Товарищ клялся, что он не ставил этот плагин.

Сделаю небольшое отступление. ReadyNAS устройства делятся на те, где установлена ОС ReadyOS и RAIDiator.
В случае ReadyOS включённый SSH-сервер можно увидеть среди прочих служб через веб-интерфейс

А вот у RAIDiator SSH-сервер доступен после установки плагина enable root. Причём после этой процедуры ни в списках плагинов нет самого enable root, ни в списке сервисов не появляется информации о включённом SSH-сервере:

Т.о. на системах под управлением RAIDiator выявить, что в устройстве непрошеный гость несколько проблемнее.

Выполнив банальное telnet 192.168.0.1 22 я убедился, что SSH-сервер действительно работает. Но вот авторизоваться под root не удалось — предполагаемый пароль от admin не подходил. Авторизация от admin приводила к сбросу сессии. Как выяснилось далее, кроме пользователя root у остальных в устройстве в /etc/passwd было прописано /bin/false
Можно предположить, что злоумышленник поменял пароль. Я подумал: «Отлично! У негодника нет физического доступа к устройству, но зато есть есть root доступ. А у меня есть физический доступ… но вот толку? Ведь нет root доступа. И как же решать проблему?» Первое, что приходит на ум — сброс устройства к заводским настройкам. Но я меньше всего хотел это делать: надо было куда-то слить терабайты фильмов. Процедура небыстрая. А приезжать второй раз мне не очень хотелось. И я начал искать альтернативные варианты.

Читайте также:  Hp probook 4330 s

Решение

Дальнейшее описание решения занимает совсем мало текста, но это заняло много времени и нервов. Первое, что я попробовал — залить на устройство этот плагин enable root в надежде, что это приведёт к сбросу пароля рута. Надеялся, что плагин просто перезаписывает /etc/shadow для root с дефолтным паролем. Плагин успешно залился, устройство перезагрузилось. Но вот проблемы это не решило.
Следующим шагом я решил попробовать обновить прошивку устройства, если она не последней версии. Вдруг это перезапишет системные файлы и проблема чудным образом решится?

Прошивка оказалась не последней версии, было доступно обновление. Я нажал заветную кнопку. Система предупредила, что процедура займёт время и мне будет сообщен результат по окончании. Однако, результат выдался отрицательный: несовпадение контрольных сумм. Я начал чувствовать, что вряд ли смогу рано лечь спать… А даже если и смогу -то меня во сне будут мучить мысли вроде: «ну как же этого негодника выкинуть из системы?» И о хорошем сне можно забыть в любом случае. Голова уже совсем отказывалась работать, и я не нашёл ничего лучше, чем просто тыкать кнопку «Update», в надежде, что устройство перестанет капризничать и обновится… Верил ли я, что это закончится хорошо? Вряд ли. Я уже не знал что делать, от былого боевого духа оставалось не так уж и много. Но каким-то чудом система раза с 5-ого действительно обновилась и пошла на перезагрузку. Это было настоящим чудом! После чего мы успешно залогинились в систему от рута с паролем от админа.
Попав на устройство я пробежался по файловой системе и логам, в надежде найти следы присуствия чужака. Но их обнаружить не смог: команда last показала информацию только о моём собственном визите. Файл с историей команд (.bash_history) вообще отсутствовал. А в файле /var/log/auth.log также была информация только о моём визите. Т.о. не удалось выяснить когда произошла компрометация устройства, с какого IP-адреса и какие команды выполнялись. Единственной уликой было дата и время первоначальной установки плагина enable SSH root в логах веб интерфейса. Да, можно говорить о том, что в устройстве остался какой-то незамеченный код, который работает с привилегиями рута. Но принимать решение о переустановки системы — не мне, а моему товарищу. А он пока решил этим не заниматься. К тому же, как выяснилось после допроса с пристрастием, товарища напрягала именно перезагрузка устройства во время просмотра фильма. Что необходимо было сделать атакующему для активации плагина enable SSH root. Время внезапной перезагрузки совпадало со временем, найденным в логах веб интерфейса относительно установки enable SSH root. Значит, возможно, мы действительно оперативно отреагировали и злоумышленник не успел ничего натворить.

Заключение

Многим своим друзьям и знакомым я советую не выдавать «белые» IP своим устройствам из «интернета вещей». Можно «забить» (или не желать) менять заводские пароли на устройстве. Но спрятавши их от общедоступности через интернет, можно избавить себя от таких вот неприятных историй. Тогда как смена заводского пароля не факт, что решит проблемы. Я говорю им: «ставьте их за маршрутизатором. Тем паче, что не придётся платить за ещё один статический адрес. Нужен доступ удалённо? Настройте проброс порта маршрутизатор правильно. По технологии port knoking (статья раз, статья два)» Замучившись объяснять подробно как это делать, написал статью Пример безопасной настройки домашней локальной сети. Надеюсь, кому-то из читателей тоже будет полезно
А те немногочисленные товарищи, для которых проблемно настраивать по статье в виду малых знаний в сфере сетевых технологий… Я просто прошу их раскошелиться на роутер Mikrotik и приезжаю с заранее подготовленными настройками, в которых мне остаётся поменять только настройки для интерфейса, куда втыкается кабель от провайдера

Читайте также:  Miele sbad3 classic c1 jubilee отзывы

UPD: Mikrotik может быть полезен и в плане анализа проходящего трафика от изучаемого устройства в сеть. Mikrotik позволяет перехватывать и анализировать трафик очень удобно: в конфиге задаётся адрес компа, где будет анализироваться лог, правило сбора трафика. Далее на компе запускаем Wireshark, настраиваем его и в режиме реального времени видим трафик. Более подробно об этом тут. Т.е. трафик можно анализировать не отрывая попы от своего стула, нет необходимости собирать тестовые сети.

Хотя, на самом устройстве можно было бы попробовать посниферить трафик через tcpdump (если он там есть, надо будет глянуть).

Попала ко мне эта железка случайно. Можно сказать досталась бесплатно! Очень она мне понравилась внешне! Смотрится строго, ничего лишнего. Конечно она уже старовата, как никак ей уже 4 года! Но я решил оставить ее у себя дома.

В этой заметке я хочу рассказать про грабли с которыми я столкнулся при ее настройке.

До этого у меня в качестве сетевого хранилища трудился маленький компьютер с ITX платой, на котором крутилась самая обычная винда. Как только ко мне в руки попал RND2000, я решил его сбросить и настроить под себя. Мне всего то и нужно было чтоб в нем крутились два отдельных диска по 2тб, но не тут то было! Сбрасываю по мануалу устройство до заводских (выключаем, зажимаем кнопку ресет, которая находится сзади устройства, и включаем. Ждем когда загорятся все лампочки на морде и потом кнопкой «backup» выбираем режим полного сброса — должна гореть лампочка с подписью 2

Устройство весело шурша дисками начинает переустановку ОС.

Хочу напомнить что все манипуляции проводились в 2016 году.

Устройство работает на версии микрокода 5.3.12.

Затем запускаем программу RAIDar и ищем наше устройство. В ней очень удобно наблюдать за состоянием NASa. Как только переустановка завершится, в РАДАРЕ появится кнопка «Установка», смело жмем. В появившемся окне выбираем вариант объединения дисков. Есть несколько вариантов.

    X-RA >И вот тут ждет первая неприятность! Какой бы мы вариант не выбрали, устройство объединит диски в один. Никаких тебе C и D!! Как можно было сделать такую хрень, понятно только самому Нетгиру! Хорошо покурив форумы я нашел выход из этой ситуации! Делаем по инструкции:

  1. Сбрасываем НАС до заводских настроек.
  2. Оставляем только один диск!
  3. Начинаем установку в режиме RAID0 или JBOD
  4. Устанавливаем и все настраиваем через веб морду
  5. Потом на включенном устройстве вставляем второй диск.
  6. Коробка весело пошурша, рапортует нам о втором томе D !
  7. Готово?! Фиг вам1

Диск D есть, но вот шары на нем нетгир упорно не хочет создавать. Для того чтоб эта фигня прошла, нужно отдельно загрузится только на диске D, а уже после этого вставить оба. Теперь у нас есть два отдельных диска УРА!

Коробка работает с файловой системой EXT4, обернутой в LINUX-RAID, так что просто снять жесткий и подмонтировать его к WINDOWS или LINUX системе не выйдет!

Ну а теперь продолжим напилинг коробки Netgear ReadyNasDuo RND2000 v2 !

Для того чтобы заработал SSH нужен плагин, его активирующий. Вот и он enablerootssh_1-0-arm-bin

Ставим через веб интерфейс, и вот у нас есть доступ! Логин root пароль такой же как и веб админке.

Порывшись в интернете, понимаю что оффициальная версия Трансмишна для архитектуры ARM, стала платной! Но мы же не ищем легких путей)

Тут выложу рабочий, БЕСПЛАТНЫЙ, Transmission transmission-legacy-arm-2-92-0-07-bin ( темка на англоязычном ресурсе ТУТ Ссылка на GITHUB )

Все, практически все для нормальной жизни железки готово! Теперь доставим midnight commander, screen и nano для пущего счастья!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

code