
123201
30.01.2021, aktualisiert um 23:15:21 Uhr
Opnsense: Dauerhafter Paketmitschnitt
Hallo ! 
Ich habe eine opnsense hier (neuste Version usw.)
Ich möchte von einem bestimmten Netzwerkgerät für die Fehlersuche einen langfristigen Paketmitschnitt machen über die sense.
Es gibt ja die Packet Capture Funktion, jedoch habe ich Bauschschmerzen, diese unbeaufsichtigt länger als 24h laufen zu lassen.
Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen (über Wochen). Der Idealfall wäre, dass ich für jeden Tag einen Mitschnitt (eine Datei) auf einen Fileserver lokal übertragen könnte.
Im Internet finde ich leider nichts brauchbares dazu...
Freue mich auf Unterstützung!
Maxi
Edit: Der Tagesdurchschnitt des mitzuschneidenden Traffics liegt bei ca. 300-700 MB.
Ich habe eine opnsense hier (neuste Version usw.)
Ich möchte von einem bestimmten Netzwerkgerät für die Fehlersuche einen langfristigen Paketmitschnitt machen über die sense.
Es gibt ja die Packet Capture Funktion, jedoch habe ich Bauschschmerzen, diese unbeaufsichtigt länger als 24h laufen zu lassen.
Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen (über Wochen). Der Idealfall wäre, dass ich für jeden Tag einen Mitschnitt (eine Datei) auf einen Fileserver lokal übertragen könnte.
Im Internet finde ich leider nichts brauchbares dazu...
Freue mich auf Unterstützung!
Maxi
Edit: Der Tagesdurchschnitt des mitzuschneidenden Traffics liegt bei ca. 300-700 MB.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 646436
Url: https://administrator.de/forum/opnsense-dauerhafter-paketmitschnitt-646436.html
Ausgedruckt am: 18.04.2025 um 00:04 Uhr
12 Kommentare
Neuester Kommentar
Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen
Ja, das gibt es natürlich !Voraussetzung ist ein managebarer Switch an dem du einen Mirror Port oder SPAN Port (Switch Port Analyzer) einrichtest der den Traffic dieses Gerätes auf einen 2ten Port spiegelt. An diesem Port schliesst du dann deinen Analyzer an und gut iss.
Hast du einen Blödmarkt Dummswitch ohne diese Mirror Port Funktion ist das aber auch kein Beinbruch, dann konfigurierst du einfach eine Netzwerk Bridge mit 2 Netzwerkkarten auf dem Analyzer und schleifst dort den Traffic des Gerätes durch um ihn zu messen.
https://www.heise.de/ct/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22148 ...
Beides ist im Handumdrehen in 5 Minuten erledigt.
Du willst doch Netzwerk Daten mitschneiden und kennst dich dann nicht aus....mmmhhh, nungut. Guckst du, wie immer, hier:
https://www.wireshark.org
bzw.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
https://www.wireshark.org
bzw.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Dann ist tcpdump dein bester Freund !
https://opensource.com/article/18/10/introduction-tcpdump
https://danielmiessler.com/study/tcpdump/
Das kann gleich in ein pcap File sichern den du mit dem Kabelhai direkt lesen kannst.
Ein kleiner 30 Euro Raspberry Pi genügt.
https://opensource.com/article/18/10/introduction-tcpdump
https://danielmiessler.com/study/tcpdump/
Das kann gleich in ein pcap File sichern den du mit dem Kabelhai direkt lesen kannst.
Ein kleiner 30 Euro Raspberry Pi genügt.
Richtig !
Idealerweise installiert man gleich auch Samba mit auf dem RasPi und gibt das Verzeichnis in dem tcpdump die Capture Dateien speichert gleich bequem als Windows Share im Netzwerk frei.
Dann reicht am PC ein simpler Doppelklick um diese Dateien mit dem Wireshark zu lesen.
Netzwerk Management Server mit Raspberry Pi
Idealerweise installiert man gleich auch Samba mit auf dem RasPi und gibt das Verzeichnis in dem tcpdump die Capture Dateien speichert gleich bequem als Windows Share im Netzwerk frei.
Dann reicht am PC ein simpler Doppelklick um diese Dateien mit dem Wireshark zu lesen.
Netzwerk Management Server mit Raspberry Pi
Das ist Jahre her, das habe ich nicht mehr parat. Es ist aber nicht weiter schwierig, auch mit begrenzten Unix-Kenntnissen.
Du musst eben dein Storage einbinden, sofern noch nicht vorhanden (mount/fstab). Eine tcpdump-Kommandozeile siehst Du schon, wenn Du den Mitschnitt im GUI initiierst und dann "ps -A" ausführst. Die Parameter für tcpdump bzgl. Stückelung, rollender Captures, Filter. etc sind dokumentiert.
Ob ein Raspberry ausreicht, hängt vom Anwendungsfall ab. Mit 1 Gbit/s sicher nicht. Meiner Erinnerung nach hat selbst ein ITX-System mit SATA-Platte gelegentlich einzelne Pakete ausgelassen. Da fällt mir ein, ich habe mit einem Alfa R36A mal eine passive Probe für 100 Mbit/s gebaut, die auf Knopfdruck auf einen USB-Stick schrieb (relativ lückenlos, meine ich). Die habe ich auch noch und kann mal nach dem Code schauen.
Du musst eben dein Storage einbinden, sofern noch nicht vorhanden (mount/fstab). Eine tcpdump-Kommandozeile siehst Du schon, wenn Du den Mitschnitt im GUI initiierst und dann "ps -A" ausführst. Die Parameter für tcpdump bzgl. Stückelung, rollender Captures, Filter. etc sind dokumentiert.
Ob ein Raspberry ausreicht, hängt vom Anwendungsfall ab. Mit 1 Gbit/s sicher nicht. Meiner Erinnerung nach hat selbst ein ITX-System mit SATA-Platte gelegentlich einzelne Pakete ausgelassen. Da fällt mir ein, ich habe mit einem Alfa R36A mal eine passive Probe für 100 Mbit/s gebaut, die auf Knopfdruck auf einen USB-Stick schrieb (relativ lückenlos, meine ich). Die habe ich auch noch und kann mal nach dem Code schauen.

z.B. per Cron jeden Tag um 00:00 aufgerufen und anschließend weg kopiert(cp)/verschoben(mv)
(Wenn du nur bestimmte Pakete filtern willst Filter hinten dran pappen)
Beispiel einer movedata.sh (wird Ende eines Capture-Aufrufs mit dem Dateinamen als einziger Parameter aufgerufen)
usw. Parameter siehe
https://www.tcpdump.org/manpages/tcpdump.1.html
(Wenn du nur bestimmte Pakete filtern willst Filter hinten dran pappen)
#!/bin/bash
tcpdump -i eth0 -w "/path/capture_%Y-%m-%d_%H-%M.cap" -G 86400 -W 1 -z ./movedata.sh
#!/bin/bash
mv "$1" /path/target/
https://www.tcpdump.org/manpages/tcpdump.1.html