Weiß jemand, wieso das so ist?
Weil dein Switch so funktioniert, wie man es von einem Switch erwartet
Du siehst natürlich an den jeweiligen Ports nur den Traffic, der auch dafür bestimmt ist... Traffic vom iPhone ins INet, oder (wie von dir angenommen) vom INet zum NAS siehst du natürlich nicht... Wie soll das auch gehen?
Das, was du siehst sind Multicast oder Broadcast Pakete... Die sind eben dafür da, dass ALLE Devices diese empfangen. Bspw. wird sowas für DHCP verwendet. Der Client noch ohne IP schreit via Broadcast ins Netz, HALLO DHCP, ich brauch ne IP. Und der DHCP Server wird darauf antworten (vereinfacht ausgedrückt). Natürlich MUSS der Client eine derartige Technik nutzen, denn erkennt den DHCP Server ja gar nicht. Kann also nicht zielgerichtet die Pakete lostreten.
Um zum Problem zurück zu kommen. Was du machen kannst. Es wäre technisch möglich, auch ohne Kostenaufwand da "mitzuschnüffeln", was für Traffic bei dir entsteht. Auch Langzeit.
Einfach geht es, wenn du nen alten PC mit zwei Netzwerkkarten stehen hast, der die Arbeit für dich übernehmen kann. Dazu installiert man auf diesem PC einfach ein OS (deiner Wahl -> Linux wäre sinnvoll, da Windows gern selbst mal sinnlose Pakete lostritt, die dann mit im Trace auftauchen würden) und richtest simples Routing zwischen zwei Netzen ein. Dem "internen" Port, also der ersten Netzwerkkarte gibst du die selben IP Informationen deines aktuellen Lancom Routers, den Lancom Router stellst du für die Zeit, wo du den Traffic mitsnifferst/mitsniffern willst auf ein anderes IP Netz (mit dann auch anderer IP). Der "externen" Netzwerkkarte gibst du eine andere IP im selben IP Netz, wie die temporäre IP des Lancom Routers. Nun trägst du noch eine statische Route auf dem Lancom Router für dein internes Netz ein und auf dem Sniffer PC eine default Route zum Lancom Router (mit der nun neuen, temporären IP)
Zusätzlich brauchst du noch DHCP (warscheinlich -> könnte ein DHCP Dienst auf dem Sniffer PC übernehmen) und DNS -> wäre ebenso wohl auf dem Sniffer PC sinnvoll.
Wenn das soweit tut, dann nutze einfach pcap oder Wireshark oder ähnliches und lass ne Langzeitmessung mitlaufen. Sinnvollerweise solltest du nur die Headerdaten sniffern, dich interessiert ja weniger WAS genau dort für Datenpakete durchlaufen, sondern viel eher, wer da wie mit wem spricht. Vorteil: bei den Headern only entsteht klar auch deutlich weniger Datenwust, den es dann auszuwerten gilt
Das Tracefile kannst du am Ende deiner Messung dann via Wireshark oder ähnlichen Tools öffnen und auswerten. Entgegen DragonTears Aussage braucht es dazu keine wirklich tiefgründigen Kenntnisse -> es reicht dir imho im ersten Step einfach, die Zusammenfassungen der Datenpakete anzuschauen und zu gucken, kann das überhaupt sein, was dort steht. Sprich wenn da bspw. nachts, wo alle Schlafen unmengen an Traffic von einer dir unbekannten IP läuft, dann ist da wohl was faul
Sowas zeigt dir das Tool Wireshark auf einen Klick an, wenn man sich durch die verschiedenen Summarys durchwühlt.
Alternativ zu einem dedizierten PC wär es technisch denkbar, das ganze auf einem deiner vorhandenen PCs in einer VM zu tätigen. Das Prinzip ist identisch, nur dass du die physische Verbindung nicht unterbrichst sondern einfach eine VM das sniffern übernimmt. -> die IP des Lancom Routers musst du aber trotzdem temporär drehen.
Wenn du sicher gehen willst, dass die erhobenen Daten auch Aussagekraft haben, solltest du definitiv NICHT irgendwas groß am Aufbau des Netzwerkes verändern. Sprich nicht irgendwie für den Test die IP des DNS Servers drehen oder sonstwedem Zeug. Einfach aus dem Grund, wenn dort was faul ist, könnte schon eine kleine Änderung dafür sorgen, dass das Problem (temporär) nicht mehr auftritt und damit die Messungen für den Hintern sind.
Deswegen ist es wichtig, die IPs MÜSSEN die gleichen blieben. Zumindest intern in deinem Netz. Das Netzinterne Default Gateway (was jetzt der Lancom Router ist) muss also dann die Snifferkiste sein und sollte klar die IP des Lancom Routers übernehmen, damit da auch weiterhin alles so gehen kann, wie bisher...
Andere Möglichkeiten (mit ggf. Kostenaufwand) gibts natürlich auch. Bspw. einen Switch besorgen, wo du den Lancom Router dran klemmst, der Port Mirroring unterstützt. -> das ist effektiv noch einfacher, da du nix umkonfigurieren musst und einfach nur jegliche Datenpakete am Port des Lancom Routers 1:1 auch auf einem anderen Port gespiegelt werden -> und dort dann via pcap, Wireshark und Co. snifferbar sind. Dein Switch kann das aber aktuell nicht -> also kommen da Kosten auf dich zu. Wenn du bereit bist, das zu zahlen, mach es. Ansonsten, ohne Kosten musst du etwas improvisieren und kommst am Ende auf das gleiche bei leicht mehr Aufwand
, managed in der Brot & Butter Klasse z.B.: GS1920-24 von Zyxel oder Standard im Business Cisco SG200, wenn Du langfristig sowieso eine Segmentierung Deines Netzes planst könnte auch ein SG300 von Cisco Sinn machen wenn Du dann viel Traffic zwischen den VLans routen musst, das frühstückt der mit Wirespeed ab ohne den Router zu belasten. Das aber nur als Gedankenspiel, es geht über Dein momentanes Problem hinaus 