Überwachung der Prozesse, die Netzwerkverkehr über OpenVPN-Client haben (Windows)
Hallo!
Einer der Clientrechner (Win 10 pro) verursacht aus dem Home Office heraus extremen Datenverkehr über unsere (Open-) VPN-Anbindung.
Wir haben bisher nicht herausgefunden, wodurch dieser Datenverkehr verursacht wird. Es wird kein Update heruntergeladen, keine Outlook-Ost-Datei erstellt oder was uns sonst noch eingefallen ist.
Im Taskmanager gibt die Spalte "Netzwerkauslastung im primären Netzwerk" quasi nichts aus: 0,1 MBit/s.
Wir reden hier aber von cirka 5 Gigabyte/Stunde!
Über Taskmanager/Leistung/Ressourcen-Monitor sehen wird, dass openvpn.exe den meisten Datenverkehr verursacht. Das ist wenig überraschend. Ich möchte jetzt herausfinden, welches Programme über OpenVPN (OVPN) Netzwerkverkehr (Traffic) verursacht bzw. verursacht hat (es hat jetzt offenbar nach 3 Stunden aufgehört).
Wenn ich nach "openvpn-client monitoring" oder so suche, bekomme ich stets Server-bezogene Artikel als Suchergebnisse, aber ich möchte am Client kontrollieren können, wer/was diesen benutzt.
Danke & Gruß
Andreas
Einer der Clientrechner (Win 10 pro) verursacht aus dem Home Office heraus extremen Datenverkehr über unsere (Open-) VPN-Anbindung.
Wir haben bisher nicht herausgefunden, wodurch dieser Datenverkehr verursacht wird. Es wird kein Update heruntergeladen, keine Outlook-Ost-Datei erstellt oder was uns sonst noch eingefallen ist.
Im Taskmanager gibt die Spalte "Netzwerkauslastung im primären Netzwerk" quasi nichts aus: 0,1 MBit/s.
Wir reden hier aber von cirka 5 Gigabyte/Stunde!
Über Taskmanager/Leistung/Ressourcen-Monitor sehen wird, dass openvpn.exe den meisten Datenverkehr verursacht. Das ist wenig überraschend. Ich möchte jetzt herausfinden, welches Programme über OpenVPN (OVPN) Netzwerkverkehr (Traffic) verursacht bzw. verursacht hat (es hat jetzt offenbar nach 3 Stunden aufgehört).
Wenn ich nach "openvpn-client monitoring" oder so suche, bekomme ich stets Server-bezogene Artikel als Suchergebnisse, aber ich möchte am Client kontrollieren können, wer/was diesen benutzt.
Danke & Gruß
Andreas
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4546296567
Url: https://administrator.de/contentid/4546296567
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
13 Kommentare
Neuester Kommentar
Hi,
in welche Richtung läuft denn der Datenverkehr ins Netz oder zum Client?
Option A: der Mitarbeiter ist Whistleblower und sichert eure Daten
Option B: euer Server oder die Sicherungssoftware sichert den Client im Netzwerk
Oder habt ihr ggf. rechenintensive Anwendungen, durch die ständig Daten fließen müssen um dann berechnet wieder zur Gegenstelle müssen.
Gruß
Xolger
in welche Richtung läuft denn der Datenverkehr ins Netz oder zum Client?
Option A: der Mitarbeiter ist Whistleblower und sichert eure Daten
Option B: euer Server oder die Sicherungssoftware sichert den Client im Netzwerk
Oder habt ihr ggf. rechenintensive Anwendungen, durch die ständig Daten fließen müssen um dann berechnet wieder zur Gegenstelle müssen.
Gruß
Xolger
Hallo,
mit etwas Glück lässt sich mit dem Process Monitor bzw. dem
Process Explorer von Sysinternals auf dem Client
der Verursacher finden.
https://learn.microsoft.com/de-de/sysinternals/downloads/sysinternals-su ...
MfG
Hans-Jürgen
mit etwas Glück lässt sich mit dem Process Monitor bzw. dem
Process Explorer von Sysinternals auf dem Client
der Verursacher finden.
https://learn.microsoft.com/de-de/sysinternals/downloads/sysinternals-su ...
MfG
Hans-Jürgen
Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Moin,
wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)
Ansonsten ist nTopNG auf einer Sense super hilfreich. Wenn auch der Umgang erst etwas abenteuerlich erscheint.
Hier wird dir der gesamte Traffic auch pro Client und Ziel dargestellt.
Gruß
Spirit
wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)
Ansonsten ist nTopNG auf einer Sense super hilfreich. Wenn auch der Umgang erst etwas abenteuerlich erscheint.
Hier wird dir der gesamte Traffic auch pro Client und Ziel dargestellt.
Gruß
Spirit
Zitat von @aqui:
Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Der Trace müsste sich auch auf einer Sense auf dem OVPN Interface starten lassen. Oder?
Dann kannst den einfach in Wireshark auswerten.
habe ich zuletzt vor ca. 15 benutzt
15 Uhr, 15 Minuten oder Sekunden??? 😉Hilfe zum Kabelhai findest du hier:
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Und wie man einen Spiegelport am Switch einrichtet hier:
https://www.heise.de/select/ct/2020/4/2000808565231407370
https://www.computerweekly.com/de/definition/Port-Mirroring-Port-Spiegel ...