Pi-Hole um Netzwerkmonitor erweitern

[Falc410]

Ich würde mir gerne einen Pi-Hole basteln den aber am besten noch erweitern um einen rudimentären Netzwerkmonitor - die Frage ist, was gibt es das auf dem Pi noch läuft und das sinnvoll ist?

Ich selber nutze viel Suricata oder auch Tools wie Zeek, ntopng, aber a) wäre das zu rechenintensiv b) habe ich weniger Angst vor Angriffen von außen (da ich IPv6 Lite habe, mehr dazu gleich) sondern möchte einfach sehen was in meinem Netz so kommuniziert und nach Anfragen nach außen schickt.

Im Moment habe ich eine 50 Mbit/s Leitung mit DSL Lite, d.h. ich habe eine externe IPv6 die aber dann vom Provider "per NAT" übersetzt wird. Vorhanden ist eine Fritzbox vom Provider, mehrere (unmanaged) Switche und ein Ubiquiti WLAN Access Point (der aber nichts kann und nur im Bridge Modus betrieben wird).

Die Frage ist jetzt, was könnte ich installieren auf dem Pi neben Pi-Hole um noch etwas mehr Insight zu bekommen und ggf. doch noch ein paar Regeln einzupflegen. Wobei ich auch auf der Fritzbox Geräte vom Internet Access blocken kann. Ich denke ich hätte lieber etwas, wo ich einfach das Kommunikationsverhalten sehen kann - mehr so in Richtung Netflow Collector - aber dann müsste ich wohl zwangsläufig eine USB NIC besorgen und den Pi zwischen Switch und Fritzbox setzen und würde nur Nord-Süd Verkehr sehen am Perimeter - was mir aber reichen würde. Ich möchte ungern einen managed Switch mit Monitoring Port hernehmen - dann bräuchte ich ja noch mehr Geräte, ich denke den Pi-Hole inline zu betreiben zwischen Switch und Fritzbox passt schon. Die WLAN Geräte gehen ja auch über den Access Point zum Switch und dann zur Fritzbox

 

[heaton]

Wie wäre es mit Grafana?

https://grafana.com/grafana/dashboards/713

 

[Falc410]

Grafana und InfluxdB kenne ich, aber ich wusste nicht, dass es ein Fritzbox Plugin gibt. Das ist schonmal ganz nett, ich muss mal schauen aber ich kann wahrscheinlich nicht pro Gerät die Kommunikationspartner sehen, sondern nur allgemein x Gbyte/s Traffic in Zeitraum Y.

 

[Art Vandelay]

Netter Thread, ich klemme mich hier gerne mal mit dran und lese autmerksam mit. Habe mir auch grade erst einen pi-hole installiert. Weniger wegen des Werbeblockens, sondern eher um mal zu sehen was die Geräte so treiben wenn man nicht davor sitzt.

 

[Falc410]

Also ich habe ein paar Blog Posts gefunden von Leuten die nprobe + ntopng auf einem Pi 3+ installiert haben. Wenn man Deep Packet Inspection (also Applicationserkennung) deaktiviert (wofür man eh eine Lizenz bräuchte afaik), dann sollte es bei einer DSL Leitung hinhauen. Die Frage ist halt nur: Wie bekommt man den Traffic an den Pi? Das wird auch nirgendwo beschrieben. Wenn man nicht gerade einen Switch mit Management Port hat, braucht man einen Tap - hatte einen sehr günstigen gesehen der aber nur 100 Mbit/s kann - für Gigabit braucht man einen aktiven Tap. Und selbst mit Management Port hätte man das Problem, dass der Ost-West Verkehr im eigenen LAN dann sicher deutlich zu viel ist für den Pi. Edit: Habe einen günstigen Switch für 25 Euro gesehen der Port-Mirroring anbietet und man kann wohl genau sagen welche Ports gemirrored werden sollen, könnte also klappen: ein TP-Link tl-sg108e

Alternativ schaltet man den Pi Inline zwischen Fritzbox und den Switch, dann benötigt man aber ein 2. Netzwerkinterface und da hatte ich gestern spontan auch nur eine 100 Mbit/s USB Netzwerkkarte gesehen. Würde bei mir zwar gerade noch so gehen, aber auch nicht optimal.

Bei Inline bin ich mir auch nicht mehr sicher ob ich pi-hole auf dem selben Pi betreiben kann oder nicht - könnte gehen aber sicher bin ich mir eben nicht. Bei einem Tap geht es ohne zweites Netzwerkinterface definitiv nicht. Aber ntopng ist schon ziemlich genau das was ich haben möchte. In jedem Fall ist das Hauptproblem - wo plaziert man den Pi und wie bekommt man den Traffic da hin? Und genau das, wird in keinem einzigen Blogpost erwähnt. Da werden immer nur ein paar Befehle gepostet wie man mit apt ein Paket installiert - wow.

Also nicht wirklich hilfreich.

 

[Harrdy]

In jedem Fall ist das Hauptproblem - wo plaziert man den Pi und wie bekommt man den Traffic da hin? Und genau das, wird in keinem einzigen Blogpost erwähnt.

Am einfachsten mit nem kleinen Smart-Managed Switch. Ich verwende dafür einen D-Link DGS1100-08.

Von der Verkabelung ist es eigentlich ganz einfach, 1 Kabel von der Fritzbox zum Switch und alle Clients müssen an den Switch ran.

Kleines Beispiel.

eth1 wäre der Uplink zur Fritzbox.
eth8 wäre der Pi

Wenn ich nun eth1 auf eth8 umleiten würde, würdest du sämtlichen Traffic sehen der Richtung Fritzbox fließt. Interner Traffic ausgeschlossen. Wenn ich nun eth1 bis eth7 auf eth8 umleiten würde, würdest du auch sämtlichen Traffic sehen der Zwischen den Ports erfolgt. Man muss nur bedenken. Mehr als 1 Gbit Traffic lässt sich nicht umleiten und der Pi wird bereits deutlich früher feierabend machen.

Zum Tracken des Uplinks wäre das Szenario aber möglich.

 

[Falc410]

Ja genau so habe ich das vor. Dann noch ein zweites Interface dran für pi-hole und es sollte passen. Möchte keine zwei Geräte.

Und habe gesehen, dass die Smart Switche auch nur knapp 25 Euro kosten. Das geht also. Ich habe eh nur eine 50 Mbit/s Leitung.