andreasuk
Goto Top

Überwachung der Prozesse, die Netzwerkverkehr über OpenVPN-Client haben (Windows)

Hallo!

Einer der Clientrechner (Win 10 pro) verursacht aus dem Home Office heraus extremen Datenverkehr über unsere (Open-) VPN-Anbindung.

Wir haben bisher nicht herausgefunden, wodurch dieser Datenverkehr verursacht wird. Es wird kein Update heruntergeladen, keine Outlook-Ost-Datei erstellt oder was uns sonst noch eingefallen ist.

Im Taskmanager gibt die Spalte "Netzwerkauslastung im primären Netzwerk" quasi nichts aus: 0,1 MBit/s.

Wir reden hier aber von cirka 5 Gigabyte/Stunde!

Über Taskmanager/Leistung/Ressourcen-Monitor sehen wird, dass openvpn.exe den meisten Datenverkehr verursacht. Das ist wenig überraschend. Ich möchte jetzt herausfinden, welches Programme über OpenVPN (OVPN) Netzwerkverkehr (Traffic) verursacht bzw. verursacht hat (es hat jetzt offenbar nach 3 Stunden aufgehört).

Wenn ich nach "openvpn-client monitoring" oder so suche, bekomme ich stets Server-bezogene Artikel als Suchergebnisse, aber ich möchte am Client kontrollieren können, wer/was diesen benutzt.

Danke & Gruß

Andreas

Content-ID: 4546296567

Url: https://administrator.de/contentid/4546296567

Ausgedruckt am: 23.11.2024 um 14:11 Uhr

SeaStorm
SeaStorm 08.11.2022 um 14:11:17 Uhr
Goto Top
Hi

du könntest das am Client mit Perfmon aufzeichnen.
Aber warum nicht am Server? Schliesslich geht der Traffic da ja durch
andreasuk
andreasuk 08.11.2022 um 14:17:34 Uhr
Goto Top
Danke, Perfmon sehe ich mir an.
Wie könnte ich den am Server (OVpn uf der PFsense) sehen, welches Programm auf dem Clientrecher Traffic verursacht hat?
Xolger
Xolger 08.11.2022 um 14:20:34 Uhr
Goto Top
Hi,

in welche Richtung läuft denn der Datenverkehr ins Netz oder zum Client?

Option A: der Mitarbeiter ist Whistleblower und sichert eure Daten face-wink
Option B: euer Server oder die Sicherungssoftware sichert den Client im Netzwerk

Oder habt ihr ggf. rechenintensive Anwendungen, durch die ständig Daten fließen müssen um dann berechnet wieder zur Gegenstelle müssen.

Gruß
Xolger
andreasuk
andreasuk 08.11.2022 um 14:43:02 Uhr
Goto Top
Hallo,

vom Netz zum Client, also Option A. Und der Whistleblower ist sich glaubhaft keiner Schuld bewusst.

Mit perfmon kann ich nicht umgehen. Das ist ja der Ressourcenmonitor. Ich kann da Netzwerkadapter hinzufügen und bekomme ich fast-echtzeit aktualisierte Diagramme angezeigt, sehe aber keine Option, wo man datendurstige Programme angezeigt bekommt, geschweige denn, welche die openvpn.exe für ihren Datendurst benutzen.

Wir haben solche "rechenintensive Anwendungen", die waren aber nicht aktiv.

Letzte Vermutung ist, dass aufgrund von Urlaubsrückkehr Outlook in größeren Mengen Mails synchronisert hat.

Wenn wieder sowas ist, werde ich versuchen, auf der OpnSense nachzusehen, wo die Masse der Pakete hingehen und mir ein paar Pakete ansehen. Habe ich noch nie gemacht. Hatte gehofft, es gäbe ein einfaches Tool, welches den Traffic jedes Prozesses auf einem Rechner protokollieren kann.

Danke & Gruß

Andreas
hschnei
hschnei 08.11.2022 um 16:52:29 Uhr
Goto Top
Hallo,

mit etwas Glück lässt sich mit dem Process Monitor bzw. dem
Process Explorer von Sysinternals auf dem Client
der Verursacher finden.

https://learn.microsoft.com/de-de/sysinternals/downloads/sysinternals-su ...

MfG
Hans-Jürgen
aqui
aqui 08.11.2022 um 17:25:15 Uhr
Goto Top
Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Spirit-of-Eli
Spirit-of-Eli 08.11.2022 um 22:50:19 Uhr
Goto Top
Moin,

wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)

Ansonsten ist nTopNG auf einer Sense super hilfreich. Wenn auch der Umgang erst etwas abenteuerlich erscheint.
Hier wird dir der gesamte Traffic auch pro Client und Ziel dargestellt.

Gruß
Spirit
Spirit-of-Eli
Spirit-of-Eli 08.11.2022 um 22:51:29 Uhr
Goto Top
Zitat von @aqui:

Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.

Der Trace müsste sich auch auf einer Sense auf dem OVPN Interface starten lassen. Oder?
Dann kannst den einfach in Wireshark auswerten.
aqui
aqui 09.11.2022 um 16:50:14 Uhr
Goto Top
Ja, da hast du Recht. Ist sogar noch eleganter.. 😉
Klappt auch über die Paket Capture Funktion im Diagnostics Menü mit den entspr. Filtern problemlos.
andreasuk
andreasuk 15.11.2022 um 18:16:43 Uhr
Goto Top
Vielen Dank für Eure Hilfe. Der seltsame Traffic ist nicht mehr aufgetreten, aber ich habe nun Hinweise, was ich mir aneignen muss, um das Problem im Wiederholungsfall zu untersuchen (Wireshark habe ich zuletzt vor ca. 15 benutzt und konnte damals nicht damit umgehen. Von einer Clientspiegelung habe ich eine ungefähre Vorstellung, aber keine konkrete Ahnung.)
andreasuk
andreasuk 15.11.2022 um 18:21:51 Uhr
Goto Top
Zitat von @Spirit-of-Eli:

wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)

Habe ich ja gemacht. Da wird mir der OpenVPN-Client als Bandbreitennutzer angezeigt. Ich müsste aber wissen, welches Programm über den OpenVPN-Client die Datenmengen zieht.
aqui
aqui 15.11.2022 aktualisiert um 18:24:30 Uhr
Goto Top
habe ich zuletzt vor ca. 15 benutzt
15 Uhr, 15 Minuten oder Sekunden??? 😉
Hilfe zum Kabelhai findest du hier:
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Und wie man einen Spiegelport am Switch einrichtet hier:
https://www.heise.de/select/ct/2020/4/2000808565231407370
https://www.computerweekly.com/de/definition/Port-Mirroring-Port-Spiegel ...
andreasuk
andreasuk 14.02.2024 um 15:35:45 Uhr
Goto Top
Ups, Antwort übersehen. Danke. Es waren übrigens 15 Jahre gemeint.