Hallo KaaLUGs,

heute wende ich mich an Euch mit einem Problem, das ich mit unserem Synology-NAS habe und mit unserer Anwaltssoftware RA-Micro, die leider vom Hersteller vorgegeben auf Windoof 10/64bit unter MS-Office-2016/32bit laufen muss. Diese Anwaltssoftware ist der Marktführer und gleicht vom Standard her der bei Handwerkern beliebten Hilti-Bohrmaschine, unsere Mitarbeiterinnen sind darauf geschult und für Rechtsanwaltsfachangestellte gehört RA-Micro zu den zwei bis drei wenigen marktgängigen Programmen, mit denen alle arbeiten können sollten. Davon kommen wir also nicht so leicht weg.
Unsere EDV ist so aufgebaut, dass die wesentlichen Daten der Anwaltssoftware in einem großen Ordner zusammengefasst sind, der auf dem NAS (Synology 214) liegt. Nennen wir diesen Ordner einfach X.
Dieser Ordner X wird dann auf den Arbeitsplatzrechnern beim Hochfahren als Laufwerk Y eingebunden. Auf den Arbeitsplatzrechnern ist die Software RA-Micro als Programm installiert und greift, wenn Schriftstücke, Programmfunktionen etc. aufgerufen oder Dokumente gespeichert werden sollen, auf das NAS und den Ordner zu. Ebenso, wenn Updates gefahren werden. Updates speichert das NAS zentral und reicht sie dann an die Arbeitsplatzrechner durch, wo sie beim Beenden des Programms irgendwann installiert werden. Läuft alles recht ordentlich, sowohl über LAN bei allen Arbeitsplatzrechnern als auch über WLAN bei einem Notebook.

Bis hierher alles gut.
Wir eine -sehr fähige- externe Mitarbeiterin in Rheinland-Pfalz, die für uns wichtig ist und die für uns z. B. Kostenfestsetzungsverfahren bei den Gerichten etc. erledigt. Wir geben Ihr z. B. telefonisch oder per Mail oder durch Übersendung eingescannter Gerichtsbeschlüsse einen Arbeitsauftrag. Für diese Mitarbeiterin haben wir einen VPN-Tunnel eingerichtet, der leider trotz aller Versuche und verschiedener verwendeter VPN-Programme (auch Open VPN) schrecklich laaaaangsaaam ist.
Sie hat auf Ihrem Rechner (sehr schnelles Teil ; Core i5-Vierkern, schnelle SSD usw.) ebenfalls das Programm installiert und greift über VPN auf unseren NAS zu. Das hielt ich zwar für einen relativ sicheren Weg, denn wir haben ja Verantwortung für unsere Mandantendaten, funzt aber meistens sehr schlecht und eben langsam, trotz schneller Internetanbindung auf beiden Seiten (wir haben eine 100.000er Leitung mit einem Upload um die 35.000 bis 40.000; die Mitarbeiterin hat etwas weniger, aber auch eine schnelle Verbindung).

Deshalb habe ich den Gedanken entwickelt, dass man ja auf dem NAS auf dem ganzen Laufwerk (2 SSD-Festplatten im RAID1) eine hübsche Nextcloud einrichten könnte, die man zur Sicherheit vollverschlüsselt. Auf die Cloud und darüber auf die notwendigen Daten könnte unsere Mitarbeiterin dann vermutlich sehr viel schneller zugreifen als über den engen VPN-Tunnel.

Das würde aber zum einen voraussetzen, dass das ganze ausreichend sicher ist, zum anderen müsste das trotz Verschlüsselung schnell genug laufen, damit unsere Mitarbeiterin zügig arbeiten kann, so wie wir hier im Büro quasi direkt neben dem NAS.
Müsste theoretisch alles gehen. Ein paar Dinge habe ich dabei aber nicht verstanden:

Kann man auch von Nextcloud aus einfach Ordner als Laufwerk unter Windows 10 als Netzlaufwerk mit einem Laufwerksbuchstaben verbinden?
Wie (und vor allem wie schnell) greifen wir von unseren Arbeitsplatzrechnern aus im LAN auf Nextcloud zu?
Wie lange dauert es, bis eine vollverschlüsselte 480GB-SSD mit Verschlüsselung gestartet ist, so dass auf die Daten zugegriffen werden kann? Kann ich das gedanklich mit dem Einbinden und dem Start eines Veracrypt-Containers vergleichen? Das geht ja ziemlich fix, die 30 bis 40 Sekunden einmalig am Tag beim Starten gingen für mich durchaus ok.
Gibt es bei einer solchen Lösung Sicherheitsbedenken und wie könnte man einen solchen Aufbau ggf. weiter absichern?
Man könnte übrigens vermutlich auch nur einen Teil der Festplatte als Cloud einrichten, z. Zt. hat unser Ordner X eine Größe von 24 GB, vergrößert sich aber von Woche zu Woche etwas. Bis 100 GB erreicht sind, sollte es aber noch ein Weilchen, sprich ein paar Jahre, dauern.
Hat jemand für diese Konfiguration evtl. eine schöne Fundstelle im Netz oder sowas schon mal selbst unter einem NAS gemacht?

Würde mich über eine Rückmeldung freuen.
Bedanke mich aber auch schon fürs Lesen dieses nicht gerade kurzen Texts.

Bis denne
helmutturner

Hallo Helmutturner,

wow, das ist eine ziemliche Aufstellung und eine interessante, fachliche Fragestellung.
Ich denke aber das trotzdem noch ein paar Fragen zu klären wären, bevor man einigermaßen belastbar eine Einschätzung zu einer "Geschwindigkeit" geben kann. Auch ist "Geschwindigkeit" etwas höchst individuelles. Wenn man einen remote Zugriff mit dem von einer lokalen SSD vergleicht wirkt alles irgendwie lahm.

Eine Frage, die ich nicht in deinem Text beantwortet finde ist nach der nominellen Geschwindigkeit der Internetanbindung der Kanzlei und der Mitarbeiterin. Wenn hier 2000er DSL zum Einsatz kommt braucht man sich nicht über Geschwindigkeit zu unterhalten.
Auch spielt es eine Rolle wie die Internetverbindung zwischen der Kanzlei und der Mitarbeiterin zu den Bürozeiten ausgelastet ist. Das kann man natürlich nicht erfragen sondern bedarf einer IP Durchsatz Messung. Hier fallen einige Anbieter aus dem Kabelnetzbereich z.B. regelmäßig negativ auf. Die scheinen Ihre Infrastruktur an ihrer Belastungsgrenze (oder darüber) zu betreiben. Dann nutzt ein Gigabit-Anschluss auch nix.

Das Büro Scenario, dass du beschreibst erscheint mir ein typisches für SMB und PC Workstations zu sein. Der Vorteil ist, das dies resourcenschonend ist und durch die Locking Funtion des SMB ist es ausgeschlossen das zwei Mitarbeiter durch editieren der gleichen Datei diese korrumpieren/zerstören oder man nicht mehr weiß welche Version die ist, mit den neuesten Änderungen.

---

Mein Lösungsvorschlag für dich wäre im Sinne der Wartbarkeit und Einheitlichkeit der Büroumgebung eher auf ein performanteres VPN zu setzen.
OpenVPN hat sich bei mit als ziemliche Schnecke erwiesen - und CPU resourcenhunrig war es auch.
Aus meiner Erfahrung kann ich WireGuard hier sehr empfehlen. Fertige Produkte damit habe ich aber noch keine gesehen.
Du könntest aber zwei automatisch aktualisierende Linux Systeme aufsetzen. Die Hardware dafür ist fast egal. Atom aufwärts würde ich für performant genug halten eine 100MBit/s Verbindung zu schaffen.
Die richtest du so mit Wiregurard ein, das sie sich gegenseitig einen Tunnel bauen. Das ist relativ schnell erledigt und braucht keinerlei externe Zertifikate - die auch eine weitere Fehlerquelle darstellen.
Dann das Routing auf beiden Seiten anpassen und fertig ist die Lösung.
Um dir einen Eindruck zu geben: Mein Schwager und ich sind Kunden bei der Deutschen Glasfaser. Wir haben schon lange einen VPN Tunnel zwischen unseren Haushalten. Wir haben schon früh Versuche gemacht, einen Video Stream durch einen (Open)VPN zu bekommen. Mit OpenVPN ist das grandios gescheitert. Ein HD Stream mit ~40-70MBit/s führte auf meinem Xeon Server bereits zur Auslastung eines CPU Cores. Den Core i3 der ersten Generation bei meinem Schwager hatte es komplett in die Sättigung gebracht.
Auf der Suche nach Besserung habe ich uns einen Wireguard VPN Tunnel dazwischen gebaut. Mein Schwager nutzt nun eine low-profile Hardware (J1900 Celeron) als Linux Router. Mein Schwager sieht darüber ohne Probleme HD Fernsehen von meiner Satanlage.
Bei Interesse such mal nach "HSIPC New Celeron" bei deinem Alles-Aus-Dem-Internet Anbieter, der nach dem zweitgrößten Fluss der Welt benannt ist .

---

Um auf deine Idee zurück zu kommen. Eine Nextcloud auf einem Synology NAS zu installieren ist sicherlich auch ein Weg. Er hat aber ein paar zusätzliche Ösen.
Um Nextcloud nutzen zu können brauchst du eine SQL Datenbank auf deinem NAS. Dann kommt ein Webserver (NGX oder Apache) dazu und PHP. Auch wenn das typischerweise mit sicheren Voreinstellungen installiert wird erhöht das die Angriffsfläche beträchtlich und muß regelmäßg aktualisert werden, sonst drohen gefährliche Lücken.
Das Synology ist sicher nicht so Rechenkräftig. Du solltest also eher mit dem Nextcloud Client die Filesysnchronisation machen und das Webinterface nur für die Administration nutzen. Unser KaaLUG Server läuft auf zwei Kernen, die gewiss mehr Rechenpower als ein Synology haben - dennoch fühlt sich Nextcloud bei uns immer noch gemächlich an.
Die Funktionsweise des Nextcloud Clients ist eine Offline Sync - das heißt man arbeitet auf einer lokalen Kopie, die im Hintergrund mit dem nextcloud Server synchronisiert wird. Das kann schonmal Zeitverzug haben und das wiederum kann dazu führen das es ein Syncproblem gibt, das man manuell lösen muss.
Außerdem solltest du dir genau überlegen, wie du die Nextcloud an deinen vorhandenen Filestore anbindest. Da gibt es mehrere Möglichkeiten alle haben Vor- und Nachteile. Zwei fallen mir direkt ein:

• direkter Dateiaccess - über z.B. einen symbolischen Link wird das existierende "Laufwerk" in den Files-bereich des Benutzers gemapped.
• über SMB als external Filestore - Damit wird Nextcloud zu einem weiteren SMB Client in deinem Netzwerk

Eventuell schlägt Synology da einen Weg vor. Den würde ich bevorzugen.
Direkter Access hat den Pferdefuß das der User unter dem der Webserver läuft volle Lese- und Schreibrechte auf diesen Baum haben muss. Auch könnte damit dein SMB mit Berechtigungen durcheinander geraten, weil Dateizugriffsrechte oder die Gruppenrechte von Nextcloud anders als von deinen Windows Clients gesetzt werden. Auch kann man in diesem Fall den Nextcloud User nur über Umwege als Besitzer der Datei erscheinen lassen. Mehrere Nextcloud User könnte die Lösung überfordern.
Ein weiteres Problem könnte sein, dass Nextcloud die Dateieinträge in der eigenen Datenbank cached. Das kann Dinge beschleunigen oder verlangsamen. Kann dein Synology extra beschäftigen.
SMB External Filestore hat das Problem, dass Nextcloud sich mit dem externen Laufwerk synchronisieren muss. Damit kann es dir passieren, das Datein zwar auf dem Server von allen Clients gesehen werden, Nextcloud das aber nicht anbietet, weil es noch nicht wieder nach neuen Dateien geschaut hat. Zu oft nach neuen Dateien schauen heißt aber auch das Synology mit Scans beschäftigen.

Oh und ein weiteres Problem könnte darin bestehen, das du ein TLS Zertifikat für den Webserver brauchst. Das kann man mit Letsencrypt regeln, das braucht aber einen Automatismus, da diese Zertifikate nur für 90 Tage ausgestellt werden. Auch machst du dich damit abhängig vom CA. Wenn der Mist baut könnte es dir passieren, das entweder deine Kommunikation kompromittiert wird oder das Zertifikat nicht mehr funktioniert und deshalb jemand nicht arbeiten kann.
Einen Webserver mit sicheren Voreinstellungen aufzusetzen, ist auch nicht ganz trivial. Und man muss damit Leben diese Einstellungen permanent bei Bedarf nachzuziehen, wenn einige Sicherheitsforscher einige Cyphers gebrochen haben.

Liebe Grüße,
Klaren

Hallo Klaren,

exzellente Antwort, danke dafür! Werde ich aber 2-3 mal lesen müssen und ein paar Dinge muss ich nachlesen und nacharbeiten, um alles richtig zu verstehen.

schön, dass es die KaaLUG und Dich als Experten gibt.
helmutturner