Gesamten ausgehenden Traffic loggen

Ha, doch das geht. Wenn ich per RPCap-In von Wireshark der Lan-Port1 auswähle und aufzeichne, erhalte ich die IP des Lan Geräts und die Adresse, die aufgerufen wird. D.h., man kann es doch monitoren, aber nicht über den Monitorport. Ist das nicht seltsam?

Dann bekommst du aber vom WLAN Traffic nichts mehr mit... oder hab ich das jetzt falsch verstanden?
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wieso machst du nicht einfach nen MiM mit Hilfe von ARP Spoofing und ziehst den kompletten WAN Traffic durch deine NIC?
Dann schneidest du den Traffic bei dir mit und wertest das in Ruhe aus.

Achtung, Mitschnitt kann je nach WAN Auslastung ENORM Groß werden ;)

Grueße
 
Wieso machst du nicht einfach nen MiM mit Hilfe von ARP Spoofing und ziehst den kompletten WAN Traffic durch deine NIC?
Dann schneidest du den Traffic bei dir mit und wertest das in Ruhe aus.

Achtung, Mitschnitt kann je nach WAN Auslastung ENORM Groß werden ;)

Grueße

Und wie mache ich das genau? ARP Spoofing?
 
Werde mir nun also einen anderen Router kaufen. Klar, kann mir auch einen Managed Switch kaufen... aber ich bin einfach enttäuscht, dass solch eine Basic Funktion nicht im Lancom integriert ist. Außerdem ist bei einem Managed Switch auch die Frage, ob der Mirror Port die Anfragen, die ins WAN gehen, nicht mitschneidet. Ich lese dazu im Internet immer wieder unterschiedliche Dinge.

Moment... Was ist denn eigentlich nun genau das Problem?
Nach der Beschreibung des Aufbaus vom Switch im Lancom Router, macht der doch exakt das, was du willst?
Du sprachst weiterhin weiter oben davon, dass du für WLAN einen WLAN AP nutzt, der irgendwo an deinem unmanaged Switch klemmt...

Der Sinn beim Port Mirroring ist genau der, dass du ALLEN! Traffic, der über das Source Interface geht (also das Interface, was gespiegelt wird), auf einem weiteren Interface 1:1 ausgibst.
Du musst in deinem Fall nun exakt das Interface monitoren, was eben die IP hält, welches default Gateway bei dir im LAN spielt. (wird dann wohl ETH1 sein) -> das spiegelst du auf ETH2 oder 3 oder 4 oder woauch immer hin.
WLAN Traffic MUSS auch dort ankommen, wenn die WLAN Clients sich im selben Subnet befinden -> da du nix dergleichen erwähnt hast, gehe ich davon aus, dass dies so ist?? Oder wie kommen WLAN Clients bei dir ins INet? Über ein anderes VLAN? Kann ja nicht wirklich sein, wenn das dein Switch nicht kann und der AP am Switch klemmt... Heist also, der WLAN AP ist rein wie eine WLAN to LAN bridge und damit effektiv "nur" ein Umsetzer auf ein anderes Transportmedium... Netzwerkseitig ist das aber die gleiche "Suppe".


PS: das hat dann auch nix mit nicht vorhandenen basic features zu tun ;)
Wenn der Lancom Router zusätzlich WLAN beherscht, das WLAN Modul aber nicht am internen Switch terminiert ist, sondern direkt an der Logik im Router, ist das halt einfach so... Sowohl das eine als auch das andere ist "gängig". Im Grunde ist es dann halt ein WLAN Router und ein LAN Router in einem. Teils ist das sogar sinnig, da damit der Traffic, der im WLAN und LAN anfällt die Routerlogik passieren muss... Technisch damit wohl auch die Firewall durchläuft und damit potentiell eine SIcherheit geschaffen werden kann!
Spielt doch aber eigentlich wie gesagt bei dir keine Rolle, da WLAN vom WLAN AP bedient wird -> und der kommt über den Switch exakt am ETH1 (oder welchem Interface auch immer) an -> und ist damit in deinem Falle ebenso vom Portspiegel inbegriffen.

Den public Port zu mirrorn hat übrigens auch keinen Sinn... Da du dort nur die NAT IP siehst, wie du schon festgestellt hast. Also es muss schon intern sein.

Wieso machst du nicht einfach nen MiM mit Hilfe von ARP Spoofing und ziehst den kompletten WAN Traffic durch deine NIC?
Dann schneidest du den Traffic bei dir mit und wertest das in Ruhe aus.

Wie soll das funktionieren? Oder steh ich gerade auf dem Schlauch...
Das genannte funktioniert, wenn du die Sources kennst und gezielt manipulierst, die Pakete anstatt zum Router direkt über den "Sniffer" zu senden -> welcher sie dann zum Router schickt.
Da dem TE ja die Source unbekannt ist, bzw. potentiell mehrere Sources in Frage kommen könnten, müsste er entweder alle Clients inkl. der ihm unbekannten verbiegen.
Den internen Port des Routers zu verbiegen hat wenig Sinn. Wohin soll die Snifferkiste denn die Pakete weiter schicken, wenn sie da reingeguckt hat? Zurück an das Interface? Dann baust du dir ne Art Loop, denn von da kommen sie doch. Bestenfalls mit nem zweiten Interface am Router (anderes Netz) könnte das gehen. Da sind wir dann wieder beim Thema unkonfigurieren -> was der TE erstmal vermeiden wollte, wenn es anders geht.
 
@fdsonne: Glaub du stehst bissle auf dem Schlauch.

Du gaukelst durch ARP Spoofing wenn du moechtest allen clients vor, dass deine Sniffer-NIC dein Gateway ist.
Somit kannst du das gesamte Subnetz durch deinen Sniffer ziehen, auch alle 'unbekannten' Geraete.

Deine Nic schickt dann brav alles an das Gateway weiter. Der Client bekommt das ohne Monitoring nicht mit, das gerade ein MIM stattfindet.
 
@fdsonne: Glaub du stehst bissle auf dem Schlauch.

Du gaukelst durch ARP Spoofing wenn du moechtest allen clients vor, dass deine Sniffer-NIC dein Gateway ist.
Somit kannst du das gesamte Subnetz durch deinen Sniffer ziehen, auch alle 'unbekannten' Geraete.

Deine Nic schickt dann brav alles an das Gateway weiter. Der Client bekommt das ohne Monitoring nicht mit, das gerade ein MIM stattfindet.

Dafür muss ich aber in meinem eigenen kleinen Netz nichts spoofen - einfach die IP des Gateways plus 1 und auf die eigentliche Gateway IP einen Sniffer mit Traffic Forwarding auf die neue Gateway IP und gut ists...
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh