netzwerk statistik

Ja, nimm einen anderen Router.

Das scheitert erst einmal schon am eingeschalteten "packet accelerator", wo es dann viele Pakete (im Downstream) gar nicht mehr richtig "bis ins System" schaffen und nur noch die Gesamtmenge (vielleicht noch getrennt nach den drei "Kategorien", die man im Online-Monitor sehen kann) gezählt wird - aber nicht mehr pro Verbindung oder auch nur pro LAN-Client (zumindest wüßte ich keine passende Angabe irgendwo im System).

Als Alternative bliebe der "Paketmitschnitt" in eine Pipe auf der Box (wo das dann am besten gleich ausgewertet wird oder man reicht das auch ins Netzwerk weiter), dabei wird der Router dann so langsam (weil er den PA abschaltet oder die Pakete zumindest "doppeln" muß), daß man vielleicht noch an einer 16 MBit/s-Leitung damit leben kann. Schon bei VDSL 25 wird man damit eher nicht glücklich, zumal die 7390 als "single core"-Gerät ohnehin schon nicht die schnellste ist - daher hat die ja solche "Spezialprozessoren" für die Filterregeln, mit denen der PA arbeitet und passende Pakete gleich "am FRITZ!OS vorbei" befördert.

Wenn die FRITZ!Box bleiben soll, kann man das noch auf einem "nachgelagerten Router" (über den dann aber auch alle Client-Verbindungen laufen müssen) delegieren - aber mit extremen Security-Problemen für die FRITZ!Box. Die verwaltet nämlich die aktiven Sitzungen zu ihrem GUI anhand einer "session ID" (SID) und der IP-Adresse, von der diese Sitzung kommt. Greift man nun nur über ein solches Gateway auf die FRITZ!Box zu, kann praktisch jeder Client auf der anderen Seite des Gateways (sofern das NAT macht, ansonsten müßte es ja Proxy-ARP für alle Clients dahinter machen, weil man der FRITZ!Box im Router-Modus auch kein "default gateway" für die LAN-Seite verpassen kann) mit jeder beliebigen SID und den sich daraus ableitenden Rechten zugreifen.

Wenn es hier um die "Überwachung" verschiedener Geräte und Nutzer gehen sollte (Monitoring ist ja auch nur eine freundlichere Umschreibung), dann wäre sicherlich eine solche Lücke, die schon rein durch das "Stehlen" einer SID aufgerissen werden kann und gar kein Spoofing der IP-Adresse zusätzlich erfordert (auch das geht natürlich), auch nicht unbedingt das ideale Ergebnis.

Du hast ja etwas davon geschrieben, daß Du den "Verbrauch" pro Client und Ziel wissen willst. Der PA sorgt dafür, daß bei eintreffenden Paketen (also im Downstream) diese direkt (nach dem Austausch der Zieladresse und des Zielport, Teile davon kann man in den PA-Quellen sehen, wo die Regeln für den Zusatzprozessor aufbereitet und gesetzt werden) an den richtigen Client im LAN weitergeleitet werden und noch ein paar Zähler (aber eben bereits kumulierte, so wie ich das lese - sieh einfach selbst nach) aktualisiert werden.

Das eigentliche Datenpaket kommt aber gar nicht mehr bis in den Routing-Teil des FRITZ!OS (und daher auch nicht bis zur libpcap.so) und so spart man jede Menge "Power" bei höheren Downstream-Raten. Normalerweise würde das FRITZ!OS ja jetzt das Umschreiben der Adressen übernehmen (z.B. mit nf_conntrack), aber außer zusätzlicher Prozessorbelastung bringt das ja keinen Effekt, wenn das Paket im Anschluß ohnehin an einen Client weitergeleitet werden soll (schließlich ist die Box ja ein Edge-Router). Daher gibt es das entweder direkt in Hardware oder zumindest "hardwarenah" (die Dokumentationen dazu kenne ich auch nicht ... falls jemand eine (freie) Quelle kennt, ich nehme sie) und das ist eigentlich das Feature, welches einem recht schwachen Vx180 überhaupt ermöglicht, auch bei hohen Downstream-Raten nicht als Bremse zu wirken.

Wenn Du also wirklich mit "ntop" auf der "dsl"-Schnittstelle auch für den Downstream sinnvolle Daten erhältst, ist der PA vermutlich gar nicht aktiv ... daß so etwas an einem langsamen Anschluß ebenfalls arbeiten kann, habe ich ja bereits geschrieben. Ob der aktiv ist oder nicht, findest Du im procfs selbst heraus - sieh Dich einfach um, denn das ist auch von der FRITZ!OS-Version (die ich hier nicht finden kann) abhängig, was alles im procfs zugänglich ist.