Date: Fri, 29 Mar 2024 12:22:19 +0100 (CET) Message-ID: <666531590.6474.1711711339881@k5115.pixsoftware.de> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_6473_221546013.1711711339880" ------=_Part_6473_221546013.1711711339880 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Beschreibung:
Zur Fehler-Analyse ist es h=C3=A4ufig erforderlich den Datenverkehr auf = einem Interface mitzuschneiden. Dies kann auf einer LANCOM R&S=C2=AEUni= fied Firewall auf der Konsole mit dem Befehl tcpdump vorgenommen werden.
In diesem Artikel wird beschrieben wie ein Trace per <= strong>tcpdump auf einer Unified Firewall erstel= lt und als Wireshark-Datei exportiert werden kann.
Voraussetzungen:
Vorgehensweise:
1. Erstellen des tcpdump auf der Unified Firewall:
1.1 Verbinden Sie sich mit einem SSH-Client mit der Unified Firewall und=
loggen sich mit dem Benutzer gpadmin
1.2 Geben Sie den Befehl&nbs= p;sudo -i ein, um Root-Rechte zu er= langen und best=C3=A4tigen die Abfrage durch Eingabe des = Passworts f=C3=BCr den Benutzer = gpadmin.
1.3 Geben Sie den Befehl <= strong style=3D"letter-spacing: 0.0px;">tcpdump in der folgenden Syntax ein:
tcpdump -nvli <Interface>= -w <Speicherpfad der Wireshark-Datei auf der Unified Firewall>
Der Befehl lautet f=C3=BCr das Interface eth2 also wie folgt:
tcpdump -nvli eth2 -w /tmp/trac= e.pcap
Der tcpdump kann mit der Tastenkombination <= STRG> + <C> beendet werden.
Der Parameter -w dient dazu den tcpdump als Datei abzuspeichern.
Der Wireshark-Trace kann =C3=BCber die Parameter host <IP-Adr= esse> und port <Port-Nummer> auf eine be= stimmte IP-Adresse oder einen bestimmten Port gefiltert werden. Mit einem <= strong>and k=C3=B6nnen diese auch miteinander verkn=C3=BCpft werde= n (host <IP-Adresse> and port <Port-Numme= r>).
2. Transfer der Wireshark-Datei= :
Damit der Wireshark-Trace analysi= ert werden kann, muss dieser von der Unified Firewall auf einen PC herunter= geladen werden. Dies kann per SCP vorgenommen werden.
2.1 =C3=96ffnen Sie die Eingabeau= fforderung in Windows und navigieren in das Verzeichnis, in welches die Wir= eshark-Datei transferiert werden soll.
2.2 Geben Sie den Befehl zum =C3= =9Cbertragen der Wireshark-Datei in der folgenden Syntax an und geben bei A= bfrage das Passwort f=C3=BC= r den Benutzer gpadmin ein:=
scp gpadmin@<IP-Adresse der = Unified Firewall>:<Datei-Pfad zur Wireshark-Datei auf der Unified Fir= ewall> <Neuer Dateiname>
In diesem Beispiel lautet der Befehl also wie folgt:
scp gpadmin@192.168.45.251:/tmp= /trace.pcap trace.pcap
Sofern es sich um die erste Verbindung per SCP handelt,= muss der ECDSA Key in die Liste der bekannten Teilnehmer (known hosts) auf= genommen werden. Best=C3=A4tigen Sie dazu die Abfrage Are you sure = you want to continue connecting? mit yes.