13
Überwachung der Prozesse, die Netzwerkverkehr über OpenVPN-Client haben (Windows)
Hallo!
Einer der Clientrechner (Win 10 pro) verursacht aus dem Home Office heraus extremen Datenverkehr über unsere (Open-) VPN-Anbindung.
Wir haben bisher nicht herausgefunden, wodurch dieser Datenverkehr verursacht wird. Es wird kein Update heruntergeladen, keine Outlook-Ost-Datei erstellt oder was uns sonst noch eingefallen ist.
Im Taskmanager gibt die Spalte "Netzwerkauslastung im primären Netzwerk" quasi nichts aus: 0,1 MBit/s.
Wir reden hier aber von cirka 5 Gigabyte/Stunde!
Über Taskmanager/Leistung/Ressourcen-Monitor sehen wird, dass openvpn.exe den meisten Datenverkehr verursacht. Das ist wenig überraschend. Ich möchte jetzt herausfinden, welches Programme über OpenVPN (OVPN) Netzwerkverkehr (Traffic) verursacht bzw. verursacht hat (es hat jetzt offenbar nach 3 Stunden aufgehört).
Wenn ich nach "openvpn-client monitoring" oder so suche, bekomme ich stets Server-bezogene Artikel als Suchergebnisse, aber ich möchte am Client kontrollieren können, wer/was diesen benutzt.
Danke & Gruß
Andreas
Einer der Clientrechner (Win 10 pro) verursacht aus dem Home Office heraus extremen Datenverkehr über unsere (Open-) VPN-Anbindung.
Wir haben bisher nicht herausgefunden, wodurch dieser Datenverkehr verursacht wird. Es wird kein Update heruntergeladen, keine Outlook-Ost-Datei erstellt oder was uns sonst noch eingefallen ist.
Im Taskmanager gibt die Spalte "Netzwerkauslastung im primären Netzwerk" quasi nichts aus: 0,1 MBit/s.
Wir reden hier aber von cirka 5 Gigabyte/Stunde!
Über Taskmanager/Leistung/Ressourcen-Monitor sehen wird, dass openvpn.exe den meisten Datenverkehr verursacht. Das ist wenig überraschend. Ich möchte jetzt herausfinden, welches Programme über OpenVPN (OVPN) Netzwerkverkehr (Traffic) verursacht bzw. verursacht hat (es hat jetzt offenbar nach 3 Stunden aufgehört).
Wenn ich nach "openvpn-client monitoring" oder so suche, bekomme ich stets Server-bezogene Artikel als Suchergebnisse, aber ich möchte am Client kontrollieren können, wer/was diesen benutzt.
Danke & Gruß
Andreas
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4546296567
Url: https://administrator.de/contentid/4546296567
Printed on: May 5, 2024 at 23:05 o'clock
13 Comments
Latest comment
Hi
du könntest das am Client mit Perfmon aufzeichnen.
Aber warum nicht am Server? Schliesslich geht der Traffic da ja durch
du könntest das am Client mit Perfmon aufzeichnen.
Aber warum nicht am Server? Schliesslich geht der Traffic da ja durch
Danke, Perfmon sehe ich mir an.
Wie könnte ich den am Server (OVpn uf der PFsense) sehen, welches Programm auf dem Clientrecher Traffic verursacht hat?
Wie könnte ich den am Server (OVpn uf der PFsense) sehen, welches Programm auf dem Clientrecher Traffic verursacht hat?
Hi,
in welche Richtung läuft denn der Datenverkehr ins Netz oder zum Client?
Option A: der Mitarbeiter ist Whistleblower und sichert eure Daten
Option B: euer Server oder die Sicherungssoftware sichert den Client im Netzwerk
Oder habt ihr ggf. rechenintensive Anwendungen, durch die ständig Daten fließen müssen um dann berechnet wieder zur Gegenstelle müssen.
Gruß
Xolger
in welche Richtung läuft denn der Datenverkehr ins Netz oder zum Client?
Option A: der Mitarbeiter ist Whistleblower und sichert eure Daten
Option B: euer Server oder die Sicherungssoftware sichert den Client im Netzwerk
Oder habt ihr ggf. rechenintensive Anwendungen, durch die ständig Daten fließen müssen um dann berechnet wieder zur Gegenstelle müssen.
Gruß
Xolger
Hallo,
vom Netz zum Client, also Option A. Und der Whistleblower ist sich glaubhaft keiner Schuld bewusst.
Mit perfmon kann ich nicht umgehen. Das ist ja der Ressourcenmonitor. Ich kann da Netzwerkadapter hinzufügen und bekomme ich fast-echtzeit aktualisierte Diagramme angezeigt, sehe aber keine Option, wo man datendurstige Programme angezeigt bekommt, geschweige denn, welche die openvpn.exe für ihren Datendurst benutzen.
Wir haben solche "rechenintensive Anwendungen", die waren aber nicht aktiv.
Letzte Vermutung ist, dass aufgrund von Urlaubsrückkehr Outlook in größeren Mengen Mails synchronisert hat.
Wenn wieder sowas ist, werde ich versuchen, auf der OpnSense nachzusehen, wo die Masse der Pakete hingehen und mir ein paar Pakete ansehen. Habe ich noch nie gemacht. Hatte gehofft, es gäbe ein einfaches Tool, welches den Traffic jedes Prozesses auf einem Rechner protokollieren kann.
Danke & Gruß
Andreas
vom Netz zum Client, also Option A. Und der Whistleblower ist sich glaubhaft keiner Schuld bewusst.
Mit perfmon kann ich nicht umgehen. Das ist ja der Ressourcenmonitor. Ich kann da Netzwerkadapter hinzufügen und bekomme ich fast-echtzeit aktualisierte Diagramme angezeigt, sehe aber keine Option, wo man datendurstige Programme angezeigt bekommt, geschweige denn, welche die openvpn.exe für ihren Datendurst benutzen.
Wir haben solche "rechenintensive Anwendungen", die waren aber nicht aktiv.
Letzte Vermutung ist, dass aufgrund von Urlaubsrückkehr Outlook in größeren Mengen Mails synchronisert hat.
Wenn wieder sowas ist, werde ich versuchen, auf der OpnSense nachzusehen, wo die Masse der Pakete hingehen und mir ein paar Pakete ansehen. Habe ich noch nie gemacht. Hatte gehofft, es gäbe ein einfaches Tool, welches den Traffic jedes Prozesses auf einem Rechner protokollieren kann.
Danke & Gruß
Andreas
Hallo,
mit etwas Glück lässt sich mit dem Process Monitor bzw. dem
Process Explorer von Sysinternals auf dem Client
der Verursacher finden.
https://learn.microsoft.com/de-de/sysinternals/downloads/sysinternals-su ...
MfG
Hans-Jürgen
mit etwas Glück lässt sich mit dem Process Monitor bzw. dem
Process Explorer von Sysinternals auf dem Client
der Verursacher finden.
https://learn.microsoft.com/de-de/sysinternals/downloads/sysinternals-su ...
MfG
Hans-Jürgen
Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Moin,
wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)
Ansonsten ist nTopNG auf einer Sense super hilfreich. Wenn auch der Umgang erst etwas abenteuerlich erscheint.
Hier wird dir der gesamte Traffic auch pro Client und Ziel dargestellt.
Gruß
Spirit
wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)
Ansonsten ist nTopNG auf einer Sense super hilfreich. Wenn auch der Umgang erst etwas abenteuerlich erscheint.
Hier wird dir der gesamte Traffic auch pro Client und Ziel dargestellt.
Gruß
Spirit
1Zitat von @aqui:
Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Am einfachsten ist es den Clientport zu spiegeln am Switch und sich den Traffic mit dem Wireshark anzusehen. Alternativ kannst du das auch an der OVPN Serverseite sehen wenn du auf die interne OpenVPN IP Adresse des Clients im Wireshark filterst.
Der Wireshark Trace zeigt dir dann anhand der Ziel IP Adresse und des Zielports ganz genau wo dieser Traffic hingeht und welche Applikation ihn verursacht hat.
Der Trace müsste sich auch auf einer Sense auf dem OVPN Interface starten lassen. Oder?
Dann kannst den einfach in Wireshark auswerten.
Ja, da hast du Recht. Ist sogar noch eleganter.. 😉
Klappt auch über die Paket Capture Funktion im Diagnostics Menü mit den entspr. Filtern problemlos.
Klappt auch über die Paket Capture Funktion im Diagnostics Menü mit den entspr. Filtern problemlos.
1
Vielen Dank für Eure Hilfe. Der seltsame Traffic ist nicht mehr aufgetreten, aber ich habe nun Hinweise, was ich mir aneignen muss, um das Problem im Wiederholungsfall zu untersuchen (Wireshark habe ich zuletzt vor ca. 15 benutzt und konnte damals nicht damit umgehen. Von einer Clientspiegelung habe ich eine ungefähre Vorstellung, aber keine konkrete Ahnung.)
Zitat von @Spirit-of-Eli:
wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)
wieso nicht einfach erstmal über den Taskmanager den Ressourcen Monitor öffnen und dort im Netzwerk Tab schauen welches Programme gerade am meisten Bandbreite zieht. (Einfach nach max Bandbreitennutzung filtern)
Habe ich ja gemacht. Da wird mir der OpenVPN-Client als Bandbreitennutzer angezeigt. Ich müsste aber wissen, welches Programm über den OpenVPN-Client die Datenmengen zieht.
habe ich zuletzt vor ca. 15 benutzt
15 Uhr, 15 Minuten oder Sekunden??? 😉Hilfe zum Kabelhai findest du hier:
https://www.heise.de/ct/artikel/Fehler-erschnueffeln-221587.html
Und wie man einen Spiegelport am Switch einrichtet hier:
https://www.heise.de/select/ct/2020/4/2000808565231407370
https://www.computerweekly.com/de/definition/Port-Mirroring-Port-Spiegel ...
1
Ups, Antwort übersehen. Danke. Es waren übrigens 15 Jahre gemeint.
