Gesamten Traffic durch ein Gateway im selben Subnetz?

[Kevin26 10]

Hallo,

 

überschrift liest sich seltsam, aber ich weiß nicht wie ich es anders formulieren soll.

 

Folgender Stand:

 

Einige Windowsrechner hinter einem Router der auch das NAT erledigt.

 

Ich will nun einen Rechner zwischen die Windows-Rechner und den Router setzen,d er gesamte Traffic soll zur Analyse durch diesen Rechner.

Der AnalyseRechner hat 2 Netzwerkkarten.

 

Ich hätte jetzt beiden Karten eine IP aus dem gleichen Netz gegeben und eine der beiden KArten den CLients als Gateway angegeben.

 

Ich hätte gerne den Traffic so:

 

WIndows-PC ---------Karte 1 Analyse-PC ------- Karte 2 Analyse-PC -------Router----Inet

 

192.168.178.32------192.168.178.50----------------192.168.178.51-------192.168.178.1---------inet

 

 

Unter Linux alles kein Problem. Hier unterbinde ich einfach den direkten Kontakt des Rechners zum Router mit einer Reject-Route und gebe ihm ne neue Route zum Router über die IP1 der Analyserechners vor.

Aber Reject-Routen gibts wohl unter Windows nicht. Ich kann ihm also ne Route zum Gateway über IP1 des Analyse-Rechners geben...er nimmt trotzdem den direkten Weg.

Der Rückweg der Pakete (ob durch den analyse-pc oder nicht) ist hier egal. Ich will nur den ausgehenden Traffix sehen.

 

Jemand ne Idee wie ich das lösen kann?

 

Gruß

 

Kevin

[Dr.Melzer 191]

Ich will nun einen Rechner zwischen die Windows-Rechner und den Router setzen,d er gesamte Traffic soll zur Analyse durch diesen Rechner.

 

Was willst du denn da zu welchem Zweck analysieren?

[Kevin26 10]

Irgndein Rechner macht massig DNS-Traffic, und ich finde nicht raus welcher. Mit nem TCPdump ists einfach.....

[boser 24]

Ist der Router auch als DNS-Server eingereichtet oder gibt es ein anderen Rechner ?

Hast du ein homogenes oder hetero Netzwerk, also haben alle Rechner das gleiche BS oder gibt es Server/clients ? Über wievile AP reden wir ?

Sind alle rechner auf den neuesten Stand ?

Welcher Rechner hat den MSBROWSER-Dienst ?

Hast du schon mal versucht, mit einem Netzwerkmonitorprogramm ( Netzwerkmonitor von Microsoft, EtherApe, eine andere Netzwerkkarte ( zB. die vom Router ) mit zu schreiben ?

[Kevin26 10]

Alle Rechner sind Windows-Knechte, wie aktuell: KEine Ahnung ich bin nur der Lückenbüser an der Stelle. Es sind 4 Rechner (ist ne kleine Werkstatt), Router ist ne Fritzbox.

Mir reichts halt nicht wenn ich sehe WER den Traffic macht. Ich msus auch sehen was da per DNS abgefragt wird damit ich rausfinde WAS den Traffic verursacht.

bearbeitet 31. Juli 2013 von Kevin26

[lefg 276]

192.168.178.50----------------192.168.178.51

 

Da beide Interfaces die Netzwerkaderesse 192.168.178 haben, ist ein Routing nicht möglich. Ob es mit Briding die Anforderung erfüüllt?

 

Ich habe sowas mit mit einem Server gemacht, darauf einen Sniffer.

[boser 24]

Bei 4 Clients und einem Router ist DNS überflüssig, da reicht die /etc/hosts Datei.

Für die Internet-DNS-Abfragen ist der Provider zuständig, also kein LAN-Problem.

Ich würde bei 4 Clients auch DHCP abschalten, das ist nur unnötige Belastung des Netzwerkes.

[NeMiX 76]

Kannst du keinen Mirrorport am switch machen?

Würde das ganze wesentlich einfacher machen.

 

Und mit /etc/hosts arbeiten kann böse Fallen haben, vor allem wenn mal jemand anders das ganze betreuen soll...

[Kevin26 10]

Sorry, etc/hosts ist böse. Problem ist nicht der Traffic im LAN, den schlucke ich locker.

Problem ist der DNS-Traffic ins INET.

 

Mein Problem ist das irgendein Rechner ständig DNS-Anfragen macht und mir so fast die ganze DSL-Leitung zumacht. Auch für ne kleine Werkstatt ist heute das Internet überlebenswichtig (Ersatzteile bestellen, Werkstatthandbücher etc. pp.....alles übers Ntez)

 

Switch ist irgendein billiges, unmanaged Teil...das Netzwerk ist nicht von mir. Derjenige, der das eingerichtet hat, hat keine Zeit.

 

Was das Routing auf den Analyse-PC angeht: Kein Problem, Linux kann das. Hab ich hier schon getestet. Problem sind die Windowsrechner die trotz Route meinen Analyse-PC umgehen.

bearbeitet 31. Juli 2013 von Kevin26

[Dukel 454]

Schalte einen Client nach dem anderen aus und überprüfen jedes mal den Traffic. Dann solltest du den Übeltäter erwischen.

[Dr.Melzer 191]

Schalte einen Client nach dem anderen aus und überprüfen jedes mal den Traffic. Dann solltest du den Übeltäter erwischen.

Bei nur vier Rechnern dürfte dass die einfachste Methode sein.

[djmaker 95]

Einen Manged Swicth (H 8 Port Gigabit) gibt es bereits für deutlich unter 100 € brutto. Unabhängig von der Fehlersuche würde ich den aktuellen Switch ersetzen.

[lefg 276]

Ich hab auch noch einen alten Hub als Test Access Point (TAP) im Schub liegen.

 

Aber, der Router, das Routung zwischen den beiden Netzen ist nach meiner Lesart nicht das Problem des TO.  Oder?

 

Was das Routing auf den Analyse-PC angeht: Kein Problem, Linux kann das. Hab ich hier schon getestet. Problem sind die Windowsrechner die trotz Route meinen Analyse-PC umgehen.

bearbeitet 1. August 2013 von lefg

[boser 24]

Also wenn ich mir noch mal alles durchlese ( was manch mal hielfreich seien kann ) , geht es um folgendes Problem vom TO.

4 PC in einem Netz. Ein PC stellt sehr viele DNS-Anfragen ans Internet, so das die schmalle DSL-Leitung zugesch...en ist.

 

Jetzt ist die Frage , welcher PC ist das und wie kann man es abstellen ?

Ist das so richtig, oder bin ich auf dem falschen Gleis ?

Wenn ich das richtige Gleis erwischt habe, so würde ich bei den PCs in der Netzwerkeinstellung mal nachschauen, ob nicht ein falsche DNS-Server eingetragen ist ( vllt. sogar manuell ), denn anscheint stellt ein PC alle seine DNS-Anfragen ins Internet und nicht an den Router.