Accounting mit 3TB Traffic

[png-Lancom]

Hallo Leute,

ich habe einen LANCom 1781AW hier laufen, Firmware 9.24. Dieser schreibt mir alle 30 Minuten Accounting Informationen in das Syslog. Jetzt habe ich festgestellt, dass der User "LancomADSLRouter.intern" in der letzten 1,5 Stunden 7,7 GB heruntergeladen hat. Als Peer ist die DSL-Schnittstelle angegeben. Kann mir jemand sagen, was das zu bedeuten hat? Wer ist dieser Benutzer und warum taucht der auch in der Accounting-Info mehrmals untereinander auf, so als wären es separate Benutzer?



Danke für eine kurze Antwort!

Gruß
Chris

[Dr.Einstein]

Hi Chris,

VPN Clients, die Interbreakout über den Lancom haben?

Gruß Dr.Einstein

[png-Lancom]

Hi,

ich weiß zwar nicht was "Interbreakout über den Lancom" heißt, aber wir haben in dem Sinne keine Software-VPN-Clienten. Einzig unsere Filialen sind mit einem 1781AW per VPN verbunden. Und wenn ein PC Zugriff auf die Filiale hat, ist das als eigener Peer aufgeführt.

Hier mal ein Accounting Report zum anschauen, Zeile 9369 ist die "Verdächtige":

Code: Alles auswählen

9358	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.168         Peer: T-DSL        Rx(kB):          0  Tx(kB):          1  Time(s):         16 Conn: 0
9359	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.37          Peer: T-DSL         Rx(kB):         15  Tx(kB):          7  Time(s):        116 Conn: 0
9360	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.211         Peer: T-DSL        Rx(kB):         16  Tx(kB):          7  Time(s):        180 Conn: 0
9361	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.211         Peer: Filliale3       Rx(kB):         29  Tx(kB):        282  Time(s):        138 Conn: 0
9362	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LancomADSLRouter.intern       Peer: T-DSL         Rx(kB):        155  Tx(kB):        143  Time(s):       1371 Conn: 0
9363	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LancomADSLRouter.intern       Peer: Filliale3        Rx(kB):         25  Tx(kB):          4  Time(s):        126 Conn: 0
9364	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LancomADSLRouter.intern       Peer: T-DSL         Rx(kB):        548  Tx(kB):        536  Time(s):       1269 Conn: 0
9365	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LancomADSLRouter.intern       Peer: Filliale3        Rx(kB):          3  Tx(kB):         37  Time(s):        131 Conn: 0
9366	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.234         Peer: T-DSL         Rx(kB):          0  Tx(kB):          0  Time(s):          6 Conn: 0
9367	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.23          Peer: T-DSL         Rx(kB):        326  Tx(kB):         55  Time(s):        160 Conn: 0
9368	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.54          Peer: T-DSL         Rx(kB):         34  Tx(kB):         21  Time(s):         47 Conn: 0
9369	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LancomADSLRouter.intern       Peer: T-DSL         Rx(kB):    1737010  Tx(kB):      33238  Time(s):       1124 Conn: 0
9370	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.75          Peer: T-DSL         Rx(kB):         10  Tx(kB):          4  Time(s):         23 Conn: 0
9371	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.75          Peer: Filliale1       Rx(kB):          0  Tx(kB):          0  Time(s):         76 Conn: 0
9372	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.75          Peer: Filliale2       Rx(kB):          0  Tx(kB):          0  Time(s):         76 Conn: 0
9373	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.75          Peer: Filliale3       Rx(kB):          0  Tx(kB):          0  Time(s):         75 Conn: 0
9374	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.75          Peer: Filliale4       Rx(kB):          0  Tx(kB):          0  Time(s):         75 Conn: 0
9375	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.96          Peer: T-DSL         Rx(kB):        213  Tx(kB):         34  Time(s):        163 Conn: 0
9376	2016-12-29 13:45:28	LOCAL1	Hinweis	User: LANUSER-192.168.1.63          Peer: T-DSL         Rx(kB):        147  Tx(kB):         75  Time(s):        152 Conn: 0

[Dr.Einstein]

Hi,

Portweiterleitungen auf bestimmte Server, z.B. Remote Desktop?

Mit Internetbreakout meine ich, du verbindest dich mit einem VPN Client, und jeglicher Verkehr, auch Internetverkehr, wird über den lancom-Router geroutet statt nur das LAN der Zentrale.

Gruß Dr.Einstein

[png-Lancom]

Hoi,

es gibt eine Portweiterleitung SMTP auf unseren Exchange Server, sollte dieser Traffic dann nicht unter der IP des Servers stehen?

Gruß

[Dr.Einstein]

Wird die Weiterleitung sein. Ziel der Pakete ist ja die öffentliche IP des Routers, darum siehst du das nicht in der Übersicht. Anders ist es, wenn der Server aktiv Verbindungen nach extern aufbaut, dann kommen die in den Zähler rein. Sind denn die 3TB realistisch dafür? Bei uns wär das auf jeden Fall normal bei ca. 1-2 Monat(en) Laufzeit.

Gruß Dr.Einstein

[png-Lancom]

hmm, kann ich das noch irgendwie verifizieren oder näher untersuchen? Z.B. die externe IP noch ins Accounting mit protokollieren?
Das Problem, warum ich darüber überhaupt gestolpert bin, ist, dass wir in der Zeit, in der dieser riesen Traffic aufgetreten ist, ein Internet-Problem hatten, sprich das I-Net war fast tot (ping auf Google mit ca. 50% Verlust, Response time ca. 2000-3000ms). Ein Ping von Extern an die öffentlich IP des Routers war "normal" mit ca. 60ms, ein Ping innerhalb des Netzwerkes war ebenfalls normal mit 1ms.

Ich checke mal die Exchange-Logs, melde mich dann wieder...

Gruß

[png-Lancom]

Hi,

also die Logs melden mal keine größeren Emails die eingegangen sind. Wäre jetzt die Frage, ob ich eventuell das Accounting einschränken kann á la "Wenn Traffic auf Lancom.intern, dann protokolliere port" oder sowas? geht das? Kann ich evtl. mit einem Trace Log auch die Menge der Daten protokollieren?

Gruß

[png-Lancom]

Hat noch jemand eine Idee, wie ich das Lancom.Intern näher erforschen könnte? Ich habe heute wieder innerhalb von 30 Min. 1,7 GB Traffic

Gruß

[Avalanche]

Du könntest einen pcap Trace machen und das Ergebnis dann in Wireshark ansehen. Geht natürlich nur, während das Problem auftritt. Da siehst Du dann aber dafür auch genau, was die Ursache für den Traffic ist.

[png-Lancom]

Tja und da ist mein Problem: Ich weiß nicht wann es auftritt. Und 24h PCap-Trace ist glaube ich ein wenig viel zu viele Daten, oder? Gibt es vielleicht eine Log-Möglichkeit, bei der ich wenigstens die Eingehenden Verbindungen mit dem zugehörigen Port protokollieren kann?

Gruß

[Avalanche]

AFAIK nicht. Aber wenn Du eine Monitoring Software laufen hast (z.B. PRTG) kannst Du Dir einen Fehler generieren lassen, sobald der Traffic einen Grenzwert überschreitet und dann schaust Du auf das Gerät drauf.

[png-Lancom]

Danke für die Antwort, aber ich mir mir mittlerweile sicher, dass dies kein Traffic durch eine Portweiterleitung von Außen sein kann. Wir haben 16.000er DSL mit ca. 1MBit Upload, somit kann von Außen über eine Portweiterleitung keine 7,7GB in 1,5h eingegangen sein. Hier mal das eigentliche Problem:

Ab und an haben wir das Problem, dass das Internet nicht mehr verfügbar ist. Folgendes kann in der Zeit beobachtet werden:

Ping Intern -> Interne IP des Routers: 1ms, 0% Verlust
Ping Intern -> Internet: 2000-3000 ms, 50-70% Verlust (normal: 30-100ms)
Ping Internet - > öffentliche IP des Routers: 30-100ms, 0% Verlust (normaler Wert)
Ping Internet -> Server, durch einen OpenVPN Tunnel, 2000-3000ms, 50-70% Verlust, wobei auch der Tunnel sehr instabil ist (normal: 50-150 ms)
Ping externe Filiale -> Intern über Lancom-VPN-Tunnel (Gerät - Gerät), 2000-3000ms, 50-70% Verlust (normal 30-100ms)
Ping externe Filiale -> Intern an Interne IP des Lancom Routers über Lancom-VPN-Tunnel (Gerät - Gerät), 30-100ms, 0% Verlust

Weiterhin ist die Webseite des Routers von einer externen Filiale (via Lancom-Geräte-VPN) normal und ohne Verzögerung erreichbar. Die Webseite des Exchange-Servers hinter dem Router hingegen nicht.

Für mich sieht es so aus, als wäre der Routing-Teil des 1781'ers massiv beschäftigt. Ein Blick in die Log-Datei offenbart nur die eine Außergewöhnlichkeit mit den hohen Traffic-Werten für Lancom.Intern, wie bereits beschrieben...

Dieses Phänomen tritt schlagartig auf, hält relativ lange an (30-90 Min) und stoppt auch schlagartig wieder. Ein Neustart des Routers in dieser Zeit hilft wenn überhaupt nur kurz, danach ist das Problem erneut da. Mit was könnte der Router beschäftigt sein? Selbst mit massivem Downloadtraffic habe ich es noch nicht geschafft, das Internet dermaßen zu stören. Normalerweise haben wir ca. 20-40 Pcs parallel am Internet ohne merklichen Einbußen...

Danke für eure Hilfe

[Jirka]

Hi,

Danke für die Antwort, aber ich bin mir mittlerweile sicher, dass dies kein Traffic durch eine Portweiterleitung von Außen sein kann. Wir haben 16.000er DSL mit ca. 1MBit Upload, somit kann von Außen über eine Portweiterleitung keine 7,7GB in 1,5h eingegangen sein.

wieso nicht? Du könntest sogar auf 10 GB kommen (zumindest theoretisch)... (ca. 16.000/8*60*90).

Mit einem ordentlichen Trace oder dem Beobachten von Switches manchmal sogar Switch-LEDs wird sich das ja wohl auflösen lassen... Ach im LANCOM kann man übrigens auch einen ETH-Port als Monitoring-Port definieren, wenn Du lieber ganz herkömmlich mit Notebook und Wireshark arbeiten willst.

Viele Grüße,
Jirka

[Dr.Einstein]

Hi,

unter Verwendung einfachster Hilfsmittel könnte man zB den LanMonitor nehmen, und sich den WAN Durchsatz als Graphen anzeigen lassen. Du hast dann im Laufe des Tages ein Auge drauf. Sollte dann für eine deiner Meinung nach zu lange Zeitspanne der Anschluss auf 100% laufen, schmeißt du über SSH für vielleicht 10 Sekunden einen IP-Router Trace an. Dann auswerten, welche Verbindung die gesamten 10 Sekunden über massig Pakete verschickt. Dies ist auch gut am Length Feld zu erkennen, wenn diese nahe 1500 Bytes groß sind.

Gruß Dr.Einstein