Sehr hoher Internet Traffic durch ioB verursacht
-
Hallo zusammen,
ich habe vor Kurzem mein Netzwerk neu segmentiert und dabei den ioB in ein anderes Netz umgezogen.
Der ioB läuft in einem Doker Container auf einem Synology NAS.
Dabei nutze ich beide NAS LAN Interfaces:
LAN1 ist im IoT Netzwerk, wo alle meine IoT Geräte und der ioB (Admin) auch ist.
LAN2 ist in meinem privaten Netzwerk und darüber published YAKHA meine Geräte für Homekit.
Nun habe ich zufällig mir im Unifi Controller mal den Traffic des Privat Interfaces des ioB angeschaut:
Ich verstehe nicht wo der Traffic und insbes. SSL/TLS herkommen könnte.
Meinem Verständnis nach dürfte es nicht annähernd so viel sein.Hat jemand einen Tipp für mich, wie ich das eingrenzen kann?
Danke -
@spooky82 Irgendwas scheint bei dir nicht zu stimmen.
Bei mir benötigt IoB deutlich weniger, meine Werte beziehen sich auf die letzten 24h, IoB ist bei mir auf nem Win11 mini PC, zusammen mit NodeRed, Grafana und Influx DB sowie ein paar andere Server die nicht direkt mit IoB zu tun haben.
-
@dekat-win so ähnlich wie bei dir erwarte ich es auch.
Die Frage ist, wo und wie fange ich an zu suchen?Das spannendste ist ja, dass es sich dabei wie gesagt lediglich um die HomeKit Seite handelt und nicht mal um den eigentlichen ioB.
Nachtrag: Es scheint etwas mit dem iot, tado und meross Adapter zu tun zu haben - zumindest sind diese auf orange gegangen, als ich den SST/TLS traffic geblockt habe.
Finde ich sehr strange, da die Kommunikation eigentlich über das ioT und nicht über das private Netzwerkinterface laufen sollte. -
@spooky82 Ich empfehle dir folgendes, schalte einen Man in the Middle dazwischen und schau dir den Traffic genau an.
Am einfachsten geht das über DNS Adguard kostenloses Angebot: https://adguard-dns.io/de/welcome.html
Richte deinen Rechner so ein das er verschlüsselte DNS Anfragen per https an deinen von Adguard privaten zugewiesenen virtuellen DNS Server schickt und schau dir dann an wer welche Anfragen schickt.Wenn das nicht reicht, weil der Traffic kaum DNS nutzt, musst du einen Reverse Proxy dazwischen schalten und den SSL/TLS Traffic entschlüsseln. Das geht ganz einfach mit einem Minipc oder Linux VM/Container und pfsense sowie den pfsense Adaptern squid und ntopng. Vorher solltest du aber wirklich die Adguard dns Geschichte ausprobieren, die geht viel schneller. Beide Varianten sind kostenlos.
Es gibt glaub auch ein paar VPN Anbieten die einem eine völlige Entschlüsselung und Analyse des Traffics anbieten das wäre auch eine einfache Lösung doch ich kann mir leider nicht mehr an deren Namen errinnen, ich weiß nur noch das die nicht billig waren.
-
@dekat-win said in Sehr hoher Internet Traffic durch ioB verursacht:
@spooky82 Ich empfehle dir folgendes, schalte einen Man in the Middle dazwischen und schau dir den Traffic genau an.
Am einfachsten geht das über DNS Adguard kostenloses Angebot: https://adguard-dns.io/de/welcome.html
Richte deinen Rechner so ein das er verschlüsselte DNS Anfragen per https an deinen von Adguard privaten zugewiesenen virtuellen DNS Server schickt und schau dir dann an wer welche Anfragen schickt.Mit Rechner meinst du meinen ioB?
Wie richte ich es ein? -
@spooky82 du wirst ja wohl wissen wie man einen dns server manuell einstellt... wenn nicht dann meld dich auf https://adguard-dns.io/de/welcome.html an und in der Übersicht unter Einstellung gibt ein Links zu einfachen Erklärungen wie man das auf jedem Gerät einstellen kann.
-
Mach ein TCPDUMP auf dem IOB Netzwerk interface und schau dir den Traffic mit Wireshark an.
Da solltest du dann sehen wohin dein Traffic geht. Wenn da IP‘s stehen kann man die auflösen.
-
@dekat-win sagte in Sehr hoher Internet Traffic durch ioB verursacht:
Hier die DNS Analyse
so nebenbei, was läuft da bei dir bzw woher sind diese screens?
@spooky82 sagte in Sehr hoher Internet Traffic durch ioB verursacht:
Ich verstehe nicht wo der Traffic und insbes. SSL/TLS herkommen könnte.
ist bei mir ähnlich, hier mal aufs Monat gesehen und komischerweise die Veränderung ab dem 21.Feb
-
@crunchip said in Sehr hoher Internet Traffic verursacht durch ioB:
so nebenbei, was läuft da bei dir bzw woher sind diese screens?
Das ist von Adguard DNS, die Views kommen aus deren Web Control Center in das man sich einloggt, nachdem man sich registriert hat. Bei der Anmeldung bekommt man mehrere private, verschlüsselte, virtuelle, DNS Server die alle Anfragen entschlüsseln. Da die erste Stufe kostenlos ist, benutze ich den Dienst um eine kurze Anfragen Analyse von bestimmten Geräten zu bekommen.
Wie gesagt, solche Ansichten sind auch local mit pfsense möglich, sogar noch genauer, oder mit einem VPN Anbieter der ebenfalls Analysen(Traffic Adblock und Attack/Virus Scan) anbietet, da gibt es mittlweile einige, nur halt noch nichts kostenloses.
-
@wendy2702 geht das mit Wireshark auf einer Synology NAS ?
-
@dekat-win sagte in Sehr hoher Internet Traffic durch ioB verursacht:
Das ist von Adguard DNS, die Views kommen aus deren Web Control Center
ah ok, hab nur adguard home laufen, guck ich mir bei Gelegenheit mal an
-
@crunchip wenn du schon ein Adguard Produkt hast kann es sein das du Adguard DNS Personal Stufe umsonst dazu bekommst, so ist das glaub auch bei Adguard VPN. Zwei zum Preis von einem.^^
-
@dekat-win said in Sehr hoher Internet Traffic durch ioB verursacht:
@wendy2702 geht das mit Wireshark auf einer Synology NAS ?
Wäre auch meine Frage gewesen.
-
@spooky82 Hat der Container eine Shell / Konsole?
Wenn ja, probieren.
Habe keine Syn und kann daher nicht testen.
-
@wendy2702 Ja, hat er...
-
@spooky82 Könntest du uns bitte ein bisschen mehr über dein Netzwerk erzählen, was für ein NAS ist das genau, typ, und was kommt danach oder davor, eine grobe Topologie deines Netzwerks wäre sicher hilfreich.
-
@dekat-win Sehr gerne.
Ich habe vor kurzem mein Netzwerk-Routing auf Unifi umgestellt. Die Topologie sieht prinzipiell so aus, dass ein Dream Router direkt hinter der FritzBox steht.
Mein NAS, ein Synology DS220plus ist mit zwei LANs direkt mit dem Router verbunden.LAN1 ist im VLAN 10 (privat)
LAN2 ist in VLAN 20 (IoT)Auf der DS220plus läuft der ioB in einem Doker Container und hat auf jedem LAN ein MACVLAN als Interfaces.
Dabei ist der Admin auf dem VLAN 20 und der yakha Adapter auf VLAN 10 (damit mein HomeKit funktioniert - die HomeKit Zentrale ist ebenfalls im VLAN 10).Ansonsten habe ich noch 2 Unifi Switches und 2 Unifi APs, die gemeinsam mit dem Router ein WLAN Mesh aufspannen.
Und laut Unifi Controller produziert das private Interface des ioB den Traffic, der mir unverständlich ist.
-
@wendy2702 said in Sehr hoher Internet Traffic durch ioB verursacht:
TCPDUMP
habe jetzt mal wireshark auf einem Raspi installiert und lasse den mal eine Zeit lang laufen
