Beschreibung:
Zur Fehler-Analyse ist es häufig erforderlich den Datenverkehr auf einem Interface mitzuschneiden. Dies kann auf einer LANCOM R&S®Unified Firewall auf der Konsole mit dem Befehl tcpdump vorgenommen werden.
In diesem Artikel wird beschrieben wie ein Trace per tcpdump auf einer Unified Firewall erstellt und als Wireshark-Datei exportiert werden kann.
Voraussetzungen:
- LANCOM R&S®Unified Firewall mit LCOS FX ab Version 10.6
- SSH-Client wie z.B. PuTTY
- SCP-Client (in Windows 10 ist SCP bereits enthalten)
Vorgehensweise:
1. Erstellen des tcpdump auf der Unified Firewall:
1.1 Verbinden Sie sich mit einem SSH-Client mit der Unified Firewall und loggen sich mit dem Benutzer gpadmin ein.
1.2 Geben Sie den Befehl sudo -i ein, um Root-Rechte zu erlangen und bestätigen die Abfrage durch Eingabe des Passworts für den Benutzer gpadmin.
1.3 Geben Sie den Befehl tcpdump in der folgenden Syntax ein:
tcpdump -nvli <Interface> -w <Speicherpfad der Wireshark-Datei auf der Unified Firewall>
Der Befehl lautet für das Interface eth2 also wie folgt:
tcpdump -nvli eth2 -w /tmp/trace.pcap
Der tcpdump kann mit der Tastenkombination <STRG> + <C> beendet werden.
Der Parameter -w dient dazu den tcpdump als Datei abzuspeichern.
Der Wireshark-Trace kann über die Parameter host <IP-Adresse> und port <Port-Nummer> auf eine bestimmte IP-Adresse oder einen bestimmten Port gefiltert werden. Mit einem and können diese auch miteinander verknüpft werden (host <IP-Adresse> and port <Port-Nummer>).
2. Transfer der Wireshark-Datei:
Damit der Wireshark-Trace analysiert werden kann, muss dieser von der Unified Firewall auf einen PC heruntergeladen werden. Dies kann per SCP vorgenommen werden.
2.1 Öffnen Sie die Eingabeaufforderung in Windows und navigieren in das Verzeichnis, in welches die Wireshark-Datei transferiert werden soll.
2.2 Geben Sie den Befehl zum Übertragen der Wireshark-Datei in der folgenden Syntax an und geben bei Abfrage das Passwort für den Benutzer gpadmin ein:
scp gpadmin@<IP-Adresse der Unified Firewall>:<Datei-Pfad zur Wireshark-Datei auf der Unified Firewall> <Neuer Dateiname>
In diesem Beispiel lautet der Befehl also wie folgt:
scp gpadmin@192.168.45.251:/tmp/trace.pcap trace.pcap
Sofern es sich um die erste Verbindung per SCP handelt, muss der ECDSA Key in die Liste der bekannten Teilnehmer (known hosts) aufgenommen werden. Bestätigen Sie dazu die Abfrage Are you sure you want to continue connecting? mit yes.
