# OPNsense Traffic Analysis: Bandbreite & Datenfluss-Monitoring
TL;DR / Management Summary Ein Senior Admin weiß jederzeit, wer gerade sein Netzwerk “verstopft”. OPNsense bietet hierfür drei Ebenen: Die Traffic Graphs für die schnelle Echtzeit-Übersicht, das Plugin ntopng für die detaillierte Layer-7 Analyse (Wer nutzt gerade Netflix?) und den Export via NetFlow, um historische Daten in externen Systemen (wie Grafana oder PRTG) über Jahre hinweg zu archivieren.
# 1. Echtzeit-Übersicht (Traffic Graphs)
Die Puls-Anzeige.
Die schnellste Übersicht finden Sie unter Reporting -> Traffic.
- Visuell: Zeigt eingehende und ausgehende Bandbreite pro Interface.
- Aktion: Ideal, um zu sehen, ob ein Backup-Job (Artikel 607) gerade die Glasfaserleitung sättigt.
# 2. ntopng: Deep Packet Analysis
Wer macht was?
Wenn die Graphen hochgehen, müssen wir wissen, wer die Verursacher sind.
# Schritt 1: Plugin installieren
Installieren Sie os-ntopng.
# Schritt 2: Analyse
ntopng läuft als separater Dienst (Port 3000) und bietet:
- Top Talkers: Welche IP verbraucht am meisten Traffic?
- Application View: Wie viel Bandbreite entfällt auf YouTube, SSH oder Office 365?
- Flow Score: Erkennt automatisch verdächtiges Verhalten (z.B. Port-Scans).
# 3. Deep Dive: NetFlow & Insight
Langzeit-Trends.
NetFlow aggregiert Metadaten über Verbindungen (IPs, Ports, Bytes), ohne den Inhalt zu speichern.
Reporting -> Settings.- Enable NetFlow: Aktivieren.
- Insight Plugin:
os-insightinstallieren.
- Ergebnis: Unter
Reporting -> Insightkönnen Sie nun Berichte über Tage und Wochen erstellen: “Welches VLAN hatte im letzten Monat den höchsten Internet-Verbrauch?”.
# 4. Day-2 Operations: Externer Export
Zentrales Dashboarding.
Senden Sie NetFlow-Daten an einen externen Sammler (Collector):
- Tools: PRTG, Scrutinizer oder ein ELK-Stack mit Netflow-Modul.
- Konfiguration:
Reporting -> Settings -> NetFlow Destination. Geben Sie die IP Ihres Servers und Port 2055 (Standard) an.
# 5. Troubleshooting & “War Stories”
Wenn die Graphen lügen.
# Top 3 Fehlerbilder
-
Symptom: Traffic-Graphen zeigen 0 Mbit/s, obwohl Internet geht.
- Ursache: “Hardware Large Receive Offload (LRO)” ist aktiv. Dies verhindert das korrekte Zählen der Pakete durch den Kernel-Monitor.
- Lösung: Offloading deaktivieren (Artikel 547).
-
Symptom: OPNsense friert ein bei aktivem ntopng.
- Ursache: Zu wenig RAM. ntopng hält alle Flows im Arbeitsspeicher.
- Lösung: Mindestens 8 GB RAM bei Nutzung von ntopng einplanen oder die Anzahl der überwachten Interfaces reduzieren.
-
Symptom: NetFlow Daten kommen unvollständig am Collector an.
- Ursache: UDP-Paketverluste bei hohem Traffic oder CPU-Limit am Collector.
# “War Story”: Der “Hidden” Cloud-Sync
In einem Architekturbüro wurde das Internet jeden Nachmittag um 15 Uhr unerträglich langsam. Der Shaper (Artikel 552) zeigte Volllast, aber kein User gab zu, etwas herunterzuladen. Die Entdeckung: Wir aktivierten ntopng. In der “Flow”-Ansicht sahen wir, dass ein privater Laptop eines Praktikanten im WLAN versuchte, 500 GB GoPro-Videos in seinen privaten iCloud-Account hochzuladen. Lehre: Ohne Layer-7 Sicht (ntopng) ist man blind gegenüber Applikationen, die Standard-Ports (443) nutzen.
# 6. Monitoring & Alerting
Grenzen setzen.
# Bandwidth Alerting
Nutzen Sie den Limiter (Shaper), um Alarme zu triggern, wenn eine Quote überschritten wird.
- KPI:
bits_per_secondam WAN-Interface. - Alert: Wenn > 90% der ISP-Bandbreite für länger als 10 Minuten belegt ist -> Warnung an den Admin.
# 7. Fazit & Empfehlung
Traffic-Monitoring ist die Basis für Kapazitätsplanung.
- Empfehlung: Nutzen Sie Insight für die wöchentliche Statistik und ntopng nur bei Bedarf (Troubleshooting), um RAM zu sparen.
- Wichtig: Achten Sie auf den Datenschutz. ntopng kann sehr private Einblicke in das Surfverhalten der Mitarbeiter geben – nutzen Sie es nur zur technischen Fehlerbehebung.
# Anhang: Cheatsheet
| Aufgabe | Pfad / Befehl |
|---|---|
| Real-time Graphen | Reporting -> Traffic |
| ntopng Web-GUI | https://firewall:3000 |
| NetFlow Status | Reporting -> Settings |
| Top IPs (Shell) | pftop |