Hi,
hab' auf meinem Notebook mit brctl eine Bridge ("br1") eingerichtet, die momentan nur die Schnittstelle "eth0" beinhaltet (wenn das mit der Portspiegelung problemfrei läuft, füg' ich wahrscheinlich die WLAN-Schnittstelle zur Bridge hinzu, so dass das, was auf beiden Adaptern rein geht, ohne Änderung an den Paketen an die VM weitergereicht wird). Der Sinn des ganzen ist, dass ich alle Pakete, die an meiner physischen Schnittstelle des Notebooks rein gehen, an die VirtualBox-VM durchschleifen will, die als Netzwerkadapter "br1" zugewiesen bekommen hat (br1 ist als "Netzwerkbrücke" an die VM angebunden), da ich innerhalb der VM Wireshark nutzen will (will aus Sicherheitsgründen das nicht direkt auf dem Host ausführen), um meinen Netzwerktraffic zu analysieren. Wie kann ich jetzt eine Portspiegelung zwischen eth0 und der VM einrichten?
Die Bridge scheint zu funktionieren, denn wenn ich die IP der VM anpinge, bekomme ich eine Antwort. Allerdings gelangen die Pakete nicht in die VM, wenn die Ziel-IP-Adresse eine andere als die der VM zugewiesene ist, auch wenn ich im Gast-System die Netzwerkkarte in den Promiscous-Mode schalte.
PS: Falls jemand 'ne andere Idee hat, die ohne zusätzliche Bridge funktioniert und wenn's geht, sich mit den Bordmitteln einrichten lässt (will aus Sicherheitsgründen nicht unnötig zusätzliche Tools dafür installieren), dann her damit.
brctl - Port Mirroring
Re: brctl - Port Mirroring
Die bridge arbeitet nicht wie ein hub, sondern wie ein switch und merkt sich deshalb,
welche MAC hinter welchem (virtuellen) Port sich "versteckt".
Kannst mal
probieren, ob er dann die "MAC-Port-Zuordnung" gleich wieder "vergisst".
Vielleicht kann man auch mittels ebtables die MAC "umschreiben".
Open vswitch (als Alternative zur linux bridge) hat "port mirroring", damit müsste es eigentlich auch gehen.
Eigentlich ...
welche MAC hinter welchem (virtuellen) Port sich "versteckt".
Kannst mal
Code: Alles auswählen
# brctl setageingtime br1 0
Vielleicht kann man auch mittels ebtables die MAC "umschreiben".
Open vswitch (als Alternative zur linux bridge) hat "port mirroring", damit müsste es eigentlich auch gehen.
Eigentlich ...
-
- Beiträge: 6
- Registriert: 25.10.2015 18:06:22
Re: brctl - Port Mirroring
Okay,
das mit der Aging-Time probier' ich dann am Wochenende mal aus. Openvswitch klingt auch ganz gut, das teste ich als sekundäre Option.
Mir ist aber selbst auch 'ne Idee gekommen, nämlich den Learning-Modus schon direkt nach Start (also bevor die VM gestartet wird) auszuschalten und außerdem den Host-Only-Adapter von VirtualBox in die Bridge zu integrieren und die VM an besagten Host-Only-Adapter (statt als Netzwerkbrücke an br1) zu hängen. Das mit dem Abschalten, des Lern-Modus, mach' ich jetzt schon, ich hab' aber die Vermutung, dass das Problem darin liegt, dass br1 als "Netzwerkbrücke" in VirtualBox eingestellt ist, d.h. die Linux-Bridge funktioniert wahrscheinlich, aber die interne VirtualBox-Bridge könnte auch für die Probleme mit verantwortlich sein.
Die Bridge von VirtualBox zu fluten hab' ich zwar noch nicht probiert, falls es klappen würde wäre es aber so, als würde ich mit 'nem Vorschlaghammer 'ne Fliege erschlagen
Die MAC-Adresse umschreiben will ich nicht, weil ich dann bei mit Wireshark mitgeschnittenen ARP-Requests die originale MAC-Adresse nicht mehr rausfinden kann, weil dann ja als Absender in jedem aufgezeichneten Paket die MAC-Adresse meiner physischen Netzwerkschnittstelle steht (was bei der Traffic-Analyse irgendwie witzlos ist).
das mit der Aging-Time probier' ich dann am Wochenende mal aus. Openvswitch klingt auch ganz gut, das teste ich als sekundäre Option.
Mir ist aber selbst auch 'ne Idee gekommen, nämlich den Learning-Modus schon direkt nach Start (also bevor die VM gestartet wird) auszuschalten und außerdem den Host-Only-Adapter von VirtualBox in die Bridge zu integrieren und die VM an besagten Host-Only-Adapter (statt als Netzwerkbrücke an br1) zu hängen. Das mit dem Abschalten, des Lern-Modus, mach' ich jetzt schon, ich hab' aber die Vermutung, dass das Problem darin liegt, dass br1 als "Netzwerkbrücke" in VirtualBox eingestellt ist, d.h. die Linux-Bridge funktioniert wahrscheinlich, aber die interne VirtualBox-Bridge könnte auch für die Probleme mit verantwortlich sein.
Die Bridge von VirtualBox zu fluten hab' ich zwar noch nicht probiert, falls es klappen würde wäre es aber so, als würde ich mit 'nem Vorschlaghammer 'ne Fliege erschlagen
Die MAC-Adresse umschreiben will ich nicht, weil ich dann bei mit Wireshark mitgeschnittenen ARP-Requests die originale MAC-Adresse nicht mehr rausfinden kann, weil dann ja als Absender in jedem aufgezeichneten Paket die MAC-Adresse meiner physischen Netzwerkschnittstelle steht (was bei der Traffic-Analyse irgendwie witzlos ist).
-
- Beiträge: 6
- Registriert: 25.10.2015 18:06:22
Re: brctl - Port Mirroring
Hab jetzt OpenVSwitch installiert, die Bridge (die eth0 und vboxnet0 umfasst - vboxnet0 ist als Host-Only-Adapter der VM zugewiesen) und 'ne Portspiegelung (von eth0 ausgehend und eingehend nach vboxnet0) eingerichtet. Jetzt hab' ich mit dem Notebook aber gar keine Netzwerkverbindung mehr.
IP-Link zeigt mir, dass eth0 UP ist, br1 (die eingerichtete Bridge) DOWN, ovs-system ist ebenfalls DOWN. vboxnet0 ist UP, wenn es angezeigt wird, es wird aber nur dann angezeigt, wenn ich die VM nach dem Systemstart mindestens ein Mal hochgefahren hab'.
Wenn ich meinen Router anpinge, bekomme ich die Meldung "Destination Host unreachable", obwohl die Aktivitäts-LED am Router mir zeigt, dass da zumindest Pakete an den Router gehen (und wahrscheinlich auch welche zurück). Von meinem Zweit-PC aus (auf dem ebenfalls Debian läuft) kann ich den Router problemlos anpingen.
Wenn ich vom Zweit-PC aus versuche, das Notebook unter der per DHCP zugewiesenen IP-Adresse anzupingen, bekomme ich ebenfalls die Meldung "Destination Host unreachable" und hab' keine Ahnung was da los ist.
In der Routing-Tabelle des Notebooks existiert auch 'ne Route in mein lokales LAN, daran kann's also auch nicht liegen.
Wenn ich traceroute 192.168.1.1 (mein Router) ausführ, bekomme ich folgende Meldung:
1 Notebook (192.168.1.102) 2999.652 ms !H 2999.621 ms !H 2999.615 ms !H
Hat jemand vielleicht 'ne Idee, wo das Problem liegen könnte?
IP-Link zeigt mir, dass eth0 UP ist, br1 (die eingerichtete Bridge) DOWN, ovs-system ist ebenfalls DOWN. vboxnet0 ist UP, wenn es angezeigt wird, es wird aber nur dann angezeigt, wenn ich die VM nach dem Systemstart mindestens ein Mal hochgefahren hab'.
Wenn ich meinen Router anpinge, bekomme ich die Meldung "Destination Host unreachable", obwohl die Aktivitäts-LED am Router mir zeigt, dass da zumindest Pakete an den Router gehen (und wahrscheinlich auch welche zurück). Von meinem Zweit-PC aus (auf dem ebenfalls Debian läuft) kann ich den Router problemlos anpingen.
Wenn ich vom Zweit-PC aus versuche, das Notebook unter der per DHCP zugewiesenen IP-Adresse anzupingen, bekomme ich ebenfalls die Meldung "Destination Host unreachable" und hab' keine Ahnung was da los ist.
In der Routing-Tabelle des Notebooks existiert auch 'ne Route in mein lokales LAN, daran kann's also auch nicht liegen.
Wenn ich traceroute 192.168.1.1 (mein Router) ausführ, bekomme ich folgende Meldung:
1 Notebook (192.168.1.102) 2999.652 ms !H 2999.621 ms !H 2999.615 ms !H
Hat jemand vielleicht 'ne Idee, wo das Problem liegen könnte?