123201
30.01.2021, aktualisiert um 23:15:21 Uhr
4752
12
0
Opnsense: Dauerhafter Paketmitschnitt
Hallo ! 
Ich habe eine opnsense hier (neuste Version usw.)
Ich möchte von einem bestimmten Netzwerkgerät für die Fehlersuche einen langfristigen Paketmitschnitt machen über die sense.
Es gibt ja die Packet Capture Funktion, jedoch habe ich Bauschschmerzen, diese unbeaufsichtigt länger als 24h laufen zu lassen.
Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen (über Wochen). Der Idealfall wäre, dass ich für jeden Tag einen Mitschnitt (eine Datei) auf einen Fileserver lokal übertragen könnte.
Im Internet finde ich leider nichts brauchbares dazu...
Freue mich auf Unterstützung!
Maxi
Edit: Der Tagesdurchschnitt des mitzuschneidenden Traffics liegt bei ca. 300-700 MB.
Ich habe eine opnsense hier (neuste Version usw.)
Ich möchte von einem bestimmten Netzwerkgerät für die Fehlersuche einen langfristigen Paketmitschnitt machen über die sense.
Es gibt ja die Packet Capture Funktion, jedoch habe ich Bauschschmerzen, diese unbeaufsichtigt länger als 24h laufen zu lassen.
Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen (über Wochen). Der Idealfall wäre, dass ich für jeden Tag einen Mitschnitt (eine Datei) auf einen Fileserver lokal übertragen könnte.
Im Internet finde ich leider nichts brauchbares dazu...
Freue mich auf Unterstützung!
Maxi
Edit: Der Tagesdurchschnitt des mitzuschneidenden Traffics liegt bei ca. 300-700 MB.
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 646436
Url: https://administrator.de/forum/opnsense-dauerhafter-paketmitschnitt-646436.html
Ausgedruckt am: 18.05.2025 um 21:05 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
Du kannst tcpdump, den File-Upload und das Rollen der Dateien in ein Skript packen und das per cron ausführen. Habe ich schon genau so unter pfSense gemacht, um mehrere Wochen Internet-Traffic vorzuhalten. Um geeigneten lokalen Speicher wirst Du aber nicht herum kommen.
Grüße
Richard
Du kannst tcpdump, den File-Upload und das Rollen der Dateien in ein Skript packen und das per cron ausführen. Habe ich schon genau so unter pfSense gemacht, um mehrere Wochen Internet-Traffic vorzuhalten. Um geeigneten lokalen Speicher wirst Du aber nicht herum kommen.
Grüße
Richard
Hallo,
alternativ kannst Du, falls Dein Switch das unterstützt, auf dem Switch den OPNSense Port spiegeln und mit einem anderen Gerät mitschreiben, wenn Du die OPNSense da raus lassen willst.
Grüße
lcer
alternativ kannst Du, falls Dein Switch das unterstützt, auf dem Switch den OPNSense Port spiegeln und mit einem anderen Gerät mitschreiben, wenn Du die OPNSense da raus lassen willst.
Grüße
lcer
Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen
Ja, das gibt es natürlich !Voraussetzung ist ein managebarer Switch an dem du einen Mirror Port oder SPAN Port (Switch Port Analyzer) einrichtest der den Traffic dieses Gerätes auf einen 2ten Port spiegelt. An diesem Port schliesst du dann deinen Analyzer an und gut iss.
Hast du einen Blödmarkt Dummswitch ohne diese Mirror Port Funktion ist das aber auch kein Beinbruch, dann konfigurierst du einfach eine Netzwerk Bridge mit 2 Netzwerkkarten auf dem Analyzer und schleifst dort den Traffic des Gerätes durch um ihn zu messen.
https://www.heise.de/ct/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22148 ...
Beides ist im Handumdrehen in 5 Minuten erledigt.
Zitat von @c.r.s.:
Hallo,
Du kannst tcpdump, den File-Upload und das Rollen der Dateien in ein Skript packen und das per cron ausführen. Habe ich schon genau so unter pfSense gemacht, um mehrere Wochen Internet-Traffic vorzuhalten. Um geeigneten lokalen Speicher wirst Du aber nicht herum kommen.
Grüße
Richard
Hallo,
Du kannst tcpdump, den File-Upload und das Rollen der Dateien in ein Skript packen und das per cron ausführen. Habe ich schon genau so unter pfSense gemacht, um mehrere Wochen Internet-Traffic vorzuhalten. Um geeigneten lokalen Speicher wirst Du aber nicht herum kommen.
Grüße
Richard
Hi,
kannst du mir hier konkretes zu kommen lassen? Bin in diesem Gebiet leider nicht wirklich unterwegs.
Danke!
Du willst doch Netzwerk Daten mitschneiden und kennst dich dann nicht aus....mmmhhh, nungut. Guckst du, wie immer, hier:
https://www.wireshark.org
bzw.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
https://www.wireshark.org
bzw.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Ja Wireshark kenne ich, jedoch möchte ich den capture automatisch im 24h Intervall laufen lassen, um es dann mit wireshark auszuwerten.
Dann ist tcpdump dein bester Freund !
https://opensource.com/article/18/10/introduction-tcpdump
https://danielmiessler.com/study/tcpdump/
Das kann gleich in ein pcap File sichern den du mit dem Kabelhai direkt lesen kannst.
Ein kleiner 30 Euro Raspberry Pi genügt.
https://opensource.com/article/18/10/introduction-tcpdump
https://danielmiessler.com/study/tcpdump/
Das kann gleich in ein pcap File sichern den du mit dem Kabelhai direkt lesen kannst.
Ein kleiner 30 Euro Raspberry Pi genügt.
Und du meinst dann: tcpdump über ein Skript / Cron entsprechend alle 24h laufen zu lassen, um das dann mitzuschreiben und gestückelt zu haben?
Maxi
Maxi
Richtig !
Idealerweise installiert man gleich auch Samba mit auf dem RasPi und gibt das Verzeichnis in dem tcpdump die Capture Dateien speichert gleich bequem als Windows Share im Netzwerk frei.
Dann reicht am PC ein simpler Doppelklick um diese Dateien mit dem Wireshark zu lesen.
Netzwerk Management Server mit Raspberry Pi
Idealerweise installiert man gleich auch Samba mit auf dem RasPi und gibt das Verzeichnis in dem tcpdump die Capture Dateien speichert gleich bequem als Windows Share im Netzwerk frei.
Dann reicht am PC ein simpler Doppelklick um diese Dateien mit dem Wireshark zu lesen.
Netzwerk Management Server mit Raspberry Pi
Ja genau, ein NAS wäre im Netz.
Hast du ein Skript zur Hand, mit dem ich das machen kann? Bin leider 0,0 beim Skripten unterwegs.
Hast du ein Skript zur Hand, mit dem ich das machen kann? Bin leider 0,0 beim Skripten unterwegs.
Das ist Jahre her, das habe ich nicht mehr parat. Es ist aber nicht weiter schwierig, auch mit begrenzten Unix-Kenntnissen.
Du musst eben dein Storage einbinden, sofern noch nicht vorhanden (mount/fstab). Eine tcpdump-Kommandozeile siehst Du schon, wenn Du den Mitschnitt im GUI initiierst und dann "ps -A" ausführst. Die Parameter für tcpdump bzgl. Stückelung, rollender Captures, Filter. etc sind dokumentiert.
Ob ein Raspberry ausreicht, hängt vom Anwendungsfall ab. Mit 1 Gbit/s sicher nicht. Meiner Erinnerung nach hat selbst ein ITX-System mit SATA-Platte gelegentlich einzelne Pakete ausgelassen. Da fällt mir ein, ich habe mit einem Alfa R36A mal eine passive Probe für 100 Mbit/s gebaut, die auf Knopfdruck auf einen USB-Stick schrieb (relativ lückenlos, meine ich). Die habe ich auch noch und kann mal nach dem Code schauen.
Du musst eben dein Storage einbinden, sofern noch nicht vorhanden (mount/fstab). Eine tcpdump-Kommandozeile siehst Du schon, wenn Du den Mitschnitt im GUI initiierst und dann "ps -A" ausführst. Die Parameter für tcpdump bzgl. Stückelung, rollender Captures, Filter. etc sind dokumentiert.
Ob ein Raspberry ausreicht, hängt vom Anwendungsfall ab. Mit 1 Gbit/s sicher nicht. Meiner Erinnerung nach hat selbst ein ITX-System mit SATA-Platte gelegentlich einzelne Pakete ausgelassen. Da fällt mir ein, ich habe mit einem Alfa R36A mal eine passive Probe für 100 Mbit/s gebaut, die auf Knopfdruck auf einen USB-Stick schrieb (relativ lückenlos, meine ich). Die habe ich auch noch und kann mal nach dem Code schauen.
z.B. per Cron jeden Tag um 00:00 aufgerufen und anschließend weg kopiert(cp)/verschoben(mv)
(Wenn du nur bestimmte Pakete filtern willst Filter hinten dran pappen)
Beispiel einer movedata.sh (wird Ende eines Capture-Aufrufs mit dem Dateinamen als einziger Parameter aufgerufen)
usw. Parameter siehe
https://www.tcpdump.org/manpages/tcpdump.1.html
(Wenn du nur bestimmte Pakete filtern willst Filter hinten dran pappen)
#!/bin/bash
tcpdump -i eth0 -w "/path/capture_%Y-%m-%d_%H-%M.cap" -G 86400 -W 1 -z ./movedata.sh #!/bin/bash
mv "$1" /path/target/ https://www.tcpdump.org/manpages/tcpdump.1.html
