Как промониторить интернет траффик по ip в локальной сети

Здравствуйте...

Подскажите пожалуйста, как можно промониторить интернет траффик по ip в локальной сети (максимально просто).
На данный момент есть конфигурация:
клиенты(192.168.1.10-50) подключены к -> (192.168.1.1) роутер (static ip провайдра) подключен к -> провайдер интернет.

Мне необходимо узнать сколько траффика выкачивает каждый клиент-ip в локальной сети из интернета. Роутер показывает только общее по дням.

Я пытался поднять шлюз, отчасти получилось, но не совсем. Поставил на сервер две сеткарты названные, PCI-In (IP :192.168.1.7, шлюз: 192.168.1.1) и PCI-Out(IP: 192.168.1.3), расшарил интернет (ICS) PCI-In на PCI-Out и поставил сниффер (capsa sniffer - позволяет мониторить по ip) слушать на PCI-In. На своём ПК(вм, как клиент) установил в настройках TCP/IP адрес шлюза 192.168.1.3 (PCI-Out). Интернет пошёл на мой ПК и я смог его промониторить по IP на сервере.

Т.к. не хотел тревожить пользователей (переназначать каждому адрес шлюза нового) попытался сделать так:
сменить адрес роутера на с 192.168.1.1 на 192.168.1.5 и PCI-In (IP :192.168.1.7, шлюз: на 192.168.1.5) и PCI-Out(IP: на 192.168.1.1), т.е, чтобы незаметно подменить роутер на шлюз (PCI-Out) для клиентов, но интернет не пошёл.

Советовался с синьёром сисадмином. Он выслушал мою историю и подкинул несколько разгадок, но и подкинул несколько загадок...
Он советовал, в соответствии, как я ему обрисовал свою задумку (есть сервер с двумя сеткартами..) следующие моменты, как я понял:
1) клиенты -> шлюз -> роутер -> интернет
2) route -p add (на сервере, где две сеткарты)
3) routing and remote access
(также он советовал шлюзы на TMG и т.д, но это думаю усложнит текущую ИС и мне жизнь)

Я гуглил по пунктам, но картина целостная не сложилась у меня в голове по пунктам 2 и 3.

Может быть подскажете мне пожалуйста, как осуществить задуманное по типу: имея сервер (вм с 2008 R2 к примеру), две сеткарты на нём и сниффер ? Может быть можно пустить полноценно с одной сеткарты на другую (возможно средствами из пунктов 2,3). Всё сделать незаметно для пользователей. Любые советы сократят моё гугление в разы.

С Уважением Павел...

0

по сетевой части сначала
1)

Сообщение от Pablitto Я пытался поднять шлюз, отчасти получилось, но не совсем. Поставил на сервер две сеткарты названные, PCI-In (IP :192.168.1.7, шлюз: 192.168.1.1) и PCI-Out(IP: 192.168.1.3), расшарил интернет (ICS) PCI-In на PCI-Out

при ics адреса по разные стороны будут из разных подсетей, в локалку по умолчанию они автоматически поменяются на 192.168.0.1 или 192.168.137.1 (для vista и выше), если их не менять в реестре
2)

Сообщение от Pablitto routing and remote access

через это и надо поднимать и раздавать инет на

Сообщение от Pablitto 2008 R2

Настроить службу маршрутизации и удаленного доступа
если серевер выступает в роли шлюза, роутер и не нужен, при этом первой сетевой сервера назначить

Сообщение от Pablitto static ip провайдра

, в локалку какой хочешь, но из другой подсети, настроить dhcp-сервер
3)

Сообщение от Pablitto 2) route -p add (на сервере, где две сеткарты)

это к чему?

1

Спасибо за ответ...

Сообщение от insect_87 или 192.168.137.1 (для vista и выше)

Да согласен...
Я сейчас делал снова ICS на 2008 R2 и затем сменил 192.168.137.1 на 192.168.1.3 (суть в том мне хотелось его менять затем, чтобы подменить шлюз (я так называю 2008 вм на котором сделал ICS) на роутер незаметно для клиентов). Т.е сделать цепочку клиенты -> шлюз -> роутер -> интернет, незаметно для пользователей. (кстати, прошу прощения, забыл упомянуть ip/tcp настройки вручную вписаны на каждый ПК клиента например: 192.168.1.15/ шлюз 192.168.1.1 /dns 1: 192.168.1.1/ dns 2: ip of DomainController)

Сообщение от insect_87 2) route -p add (на сервере, где две сеткарты) это к чему?

Я сильно не разбираюсь, я думал, это чтобы сделать шлюз прозрачным при ICS... с одной сетевой на другую... задать маршрут.. я не сталкивался ранее с этой командой.

Сообщение от insect_87 если серевер выступает в роли шлюза, роутер и не нужен, при этом первой сетевой сервера назначить Сообщение от Pablitto static ip провайдра

Здесь, да понимаю... так ранее было, там стоял TMG, но было сложно сопровождать, убрали, поставили роутер Dlink.


Суть в том, что необходимо внедрить максимально просто монитор ip, промониторить, а затем убрать, чтобы было всё как ранее...

Пока у меня так получилось с ICS, (по крайней мере мой ip там отображается в сниффере и показывает трафик адекватный). Но я не могу подставить шлюз незаметно, например сменить ip роутера (192.168.1.1 на другой), а шлюзу назначить ip (192.168.1.1), чтобы согласно текущим настройкам пользователей интернет пошёл через шлюз...

Ну в любом случае спасибо, я думаю целостная картина (страшная для меня) решения начинает складываться со временем (мало соображаю по сетям). Просто я думаю если буду поднимать серьёзный шлюз (реструктуризация, настройки dhcp и т.д) это будет неудобно для пользователей (я уже 2 раза отрубал 1с сервер от сети с последствиями, пока просто внедрял ICS+сниффер ))).

С Благодарностью Павел...

0

Сообщение от Pablitto сменил 192.168.137.1 на 192.168.1.3

не меняют его тут
захочешь изменить, меняй в реестре (regedit от имени администратора)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\services\SharedAccess\Parameters
параметры StandaloneDhcpAddress, Scope Address, потом перезагружайся и расшаривай заново

Сообщение от Pablitto на 2008 R2

делай все через маршрутизацию и удаленный доступ

и еще раз, учти что при общем доступе в инет адреса по разные стороны будут из разных подсетей

и уж, определись, что будешь использовать - ics или routing and remote access

2

Спасибо большое и ещё подумал поинтресоваться по мучающему меня моменту...

Сообщение от insect_87 и еще раз, учти что при общем доступе в инет адреса по разные стороны будут из разных подсетей

А если расшариваемая сеткарта PCI-In берёт интернет с роутера (192.168.1.1) и расшаривается на PCI-Out сеткарту (допустим я сменю ip PCI-Out: 192.168.137.1 на 192.168.1.3 через реестр). Вход и выход будут одной подсети... или я что-то не правильно понимаю.. такое не возможно, нужно чтобы они были с разных подсетей иначе не заработает ?

Т.е другими словами возможен ли такой вариант (который я задумал):
Трафик интернет идёт по пути: [Интернет провайдер (provider ip static)] <-> [(provider ip static) роутер (192.168.1.3)] <-> [(PCI-In:192.168.1.2) 2008R2 (тут мониторится по ip) (PCI-Out:192.168.1.1)] <-> [(192.168.1.10-50 Клиенты).
Возможно ли сделать (как-нибудь) так как я задумал... или это абсурдно (я подозреваю), такая схема, не сработает ? (и тогда мне придётся заменять роутер на шлюз, чтобы оставить ip 192.168.1.1 как интернет-шлюзовой для клиентов)


С уважением Павел...

0

Сообщение от Pablitto Вход и выход будут одной подсети... или я что-то не правильно понимаю

да, и неправильно так делать

Сообщение от Pablitto нужно чтобы они были с разных подсетей иначе не заработает ?

да

Сообщение от Pablitto Трафик интернет идёт по пути: [Интернет провайдер (provider ip static)] <-> [(provider ip static) роутер (192.168.1.3)] <-> [(PCI-In:192.168.1.2) 2008R2 (тут мониторится по ip) (PCI-Out:192.168.1.1)] <-> [(192.168.1.10-50 Клиенты).

поменяй адрес роутера на 192.168.0.1, а адрес PCI-In на 192.168.0.2, адрес PCI-Out при internet connection sharing можно изменить на 192.168.1.1 в

Сообщение от insect_87 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl Set\services\SharedAccess\Parameters параметры StandaloneDhcpAddress, Scope Address, потом перезагружайся

все с маской 255.255.255.0

если будешь настраивать через routing and remote access - адрес PCI-Out можно задать при настройке, там же и dhcp-сервер настроишь

понял я, что не хочешь ты каждому клиенту статику менять.
еще проще - можно роутер в режиме моста использовать, статические адреса от провайдера прописать на PCI-In, зачем нужен двойной nat, PCI-Out:192.168.1.1
ЗЫ, я бы лучше сделал через routing and remote access

1