123201
Goto Top

Opnsense: Dauerhafter Paketmitschnitt

Hallo ! face-smile

Ich habe eine opnsense hier (neuste Version usw.)

Ich möchte von einem bestimmten Netzwerkgerät für die Fehlersuche einen langfristigen Paketmitschnitt machen über die sense.

Es gibt ja die Packet Capture Funktion, jedoch habe ich Bauschschmerzen, diese unbeaufsichtigt länger als 24h laufen zu lassen.

Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen (über Wochen). Der Idealfall wäre, dass ich für jeden Tag einen Mitschnitt (eine Datei) auf einen Fileserver lokal übertragen könnte.

Im Internet finde ich leider nichts brauchbares dazu...

Freue mich auf Unterstützung!

Maxi

Edit: Der Tagesdurchschnitt des mitzuschneidenden Traffics liegt bei ca. 300-700 MB.

Content-ID: 646436

Url: https://administrator.de/forum/opnsense-dauerhafter-paketmitschnitt-646436.html

Ausgedruckt am: 18.04.2025 um 00:04 Uhr

C.R.S.
C.R.S. 31.01.2021 um 01:16:21 Uhr
Goto Top
Hallo,

Du kannst tcpdump, den File-Upload und das Rollen der Dateien in ein Skript packen und das per cron ausführen. Habe ich schon genau so unter pfSense gemacht, um mehrere Wochen Internet-Traffic vorzuhalten. Um geeigneten lokalen Speicher wirst Du aber nicht herum kommen.

Grüße
Richard
lcer00
lcer00 31.01.2021 um 09:52:56 Uhr
Goto Top
Hallo,

alternativ kannst Du, falls Dein Switch das unterstützt, auf dem Switch den OPNSense Port spiegeln und mit einem anderen Gerät mitschreiben, wenn Du die OPNSense da raus lassen willst.

Grüße

lcer
aqui
aqui 31.01.2021 aktualisiert um 11:25:03 Uhr
Goto Top
Gibt es eine Möglichkeit, langfristig Paketmitschnitte von einem bestimmten Netzwerkgerät anzufertigen
Ja, das gibt es natürlich !
Voraussetzung ist ein managebarer Switch an dem du einen Mirror Port oder SPAN Port (Switch Port Analyzer) einrichtest der den Traffic dieses Gerätes auf einen 2ten Port spiegelt. An diesem Port schliesst du dann deinen Analyzer an und gut iss.
Hast du einen Blödmarkt Dummswitch ohne diese Mirror Port Funktion ist das aber auch kein Beinbruch, dann konfigurierst du einfach eine Netzwerk Bridge mit 2 Netzwerkkarten auf dem Analyzer und schleifst dort den Traffic des Gerätes durch um ihn zu messen.
https://www.heise.de/ct/artikel/Ethernet-Bridge-als-Sniffer-Quelle-22148 ...
Beides ist im Handumdrehen in 5 Minuten erledigt.
123201
123201 31.01.2021 um 22:04:38 Uhr
Goto Top
Zitat von @c.r.s.:

Hallo,

Du kannst tcpdump, den File-Upload und das Rollen der Dateien in ein Skript packen und das per cron ausführen. Habe ich schon genau so unter pfSense gemacht, um mehrere Wochen Internet-Traffic vorzuhalten. Um geeigneten lokalen Speicher wirst Du aber nicht herum kommen.

Grüße
Richard



Hi,

kannst du mir hier konkretes zu kommen lassen? Bin in diesem Gebiet leider nicht wirklich unterwegs.

Danke!
aqui
aqui 01.02.2021 um 10:03:07 Uhr
Goto Top
Du willst doch Netzwerk Daten mitschneiden und kennst dich dann nicht aus....mmmhhh, nungut. Guckst du, wie immer, hier:
https://www.wireshark.org
bzw.
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
123201
123201 01.02.2021 um 19:39:20 Uhr
Goto Top
Ja Wireshark kenne ich, jedoch möchte ich den capture automatisch im 24h Intervall laufen lassen, um es dann mit wireshark auszuwerten.
aqui
aqui 01.02.2021 um 20:01:44 Uhr
Goto Top
Dann ist tcpdump dein bester Freund !
https://opensource.com/article/18/10/introduction-tcpdump
https://danielmiessler.com/study/tcpdump/
Das kann gleich in ein pcap File sichern den du mit dem Kabelhai direkt lesen kannst.
Ein kleiner 30 Euro Raspberry Pi genügt.
123201
123201 03.02.2021 um 10:32:40 Uhr
Goto Top
Und du meinst dann: tcpdump über ein Skript / Cron entsprechend alle 24h laufen zu lassen, um das dann mitzuschreiben und gestückelt zu haben?

Maxi
aqui
aqui 03.02.2021 um 11:48:52 Uhr
Goto Top
Richtig !
Idealerweise installiert man gleich auch Samba mit auf dem RasPi und gibt das Verzeichnis in dem tcpdump die Capture Dateien speichert gleich bequem als Windows Share im Netzwerk frei.
Dann reicht am PC ein simpler Doppelklick um diese Dateien mit dem Wireshark zu lesen. face-wink
Netzwerk Management Server mit Raspberry Pi
123201
123201 03.02.2021 um 16:58:58 Uhr
Goto Top
Ja genau, ein NAS wäre im Netz. face-smile

Hast du ein Skript zur Hand, mit dem ich das machen kann? Bin leider 0,0 beim Skripten unterwegs.
C.R.S.
C.R.S. 03.02.2021 um 17:10:37 Uhr
Goto Top
Das ist Jahre her, das habe ich nicht mehr parat. Es ist aber nicht weiter schwierig, auch mit begrenzten Unix-Kenntnissen.
Du musst eben dein Storage einbinden, sofern noch nicht vorhanden (mount/fstab). Eine tcpdump-Kommandozeile siehst Du schon, wenn Du den Mitschnitt im GUI initiierst und dann "ps -A" ausführst. Die Parameter für tcpdump bzgl. Stückelung, rollender Captures, Filter. etc sind dokumentiert.
Ob ein Raspberry ausreicht, hängt vom Anwendungsfall ab. Mit 1 Gbit/s sicher nicht. Meiner Erinnerung nach hat selbst ein ITX-System mit SATA-Platte gelegentlich einzelne Pakete ausgelassen. Da fällt mir ein, ich habe mit einem Alfa R36A mal eine passive Probe für 100 Mbit/s gebaut, die auf Knopfdruck auf einen USB-Stick schrieb (relativ lückenlos, meine ich). Die habe ich auch noch und kann mal nach dem Code schauen.
147323
147323 03.02.2021 aktualisiert um 18:02:06 Uhr
Goto Top
z.B. per Cron jeden Tag um 00:00 aufgerufen und anschließend weg kopiert(cp)/verschoben(mv)
(Wenn du nur bestimmte Pakete filtern willst Filter hinten dran pappen)
#!/bin/bash
tcpdump -i eth0 -w "/path/capture_%Y-%m-%d_%H-%M.cap" -G 86400 -W 1 -z ./movedata.sh  
Beispiel einer movedata.sh (wird Ende eines Capture-Aufrufs mit dem Dateinamen als einziger Parameter aufgerufen)
#!/bin/bash
mv "$1" /path/target/  
usw. Parameter siehe
https://www.tcpdump.org/manpages/tcpdump.1.html