[Gelöst] TCPDump SIP und RTP Traffic. Es werden nur ausgehende Pakete gecaptured

Hallo,

ich nutze den folgenden Befehl, um mit tcpdump auf der FB7390 Pakete zu capturen, für die Analyse von SIP und RTP paketen:

tcpdump -i dsl -C 600 -n -s 0 udp -vvv -w /var/media/ftp/uStor01/cap/capturefile.cap

Die *.cap datei enthällt jedoch nur RTP Pakete für die ausgehende Richtung. Es wird nur ein eiziges Paket für die eingehnde Richtung empfangen.

Jedenfalls zeigt mir Wireshark bei der Analyse das so an.


Stimmt etwas mit meinem Befehl nich? Werden eingehende rtp Pakete nicht über UDP gesendet? Oder wird etwa dafür nicht das dsl interface benutzt? Kann ich die parameter -i dsl und udp einfach weglassen?

Oder macht waireshark einfach einen fehler, die capture datei korrekt zu lesen?

Weiß einer wo das Problem ist? Mache ich einfach etwas in wireshark falsch und öffene die cap datei falsch, oder stimmt etwas mit meiner befehlszeile nicht?

Was ist mit dem parameter udp. Macht der überhaupt sinn?

Ich habe jetzt mal den parameter -i dsl weggelassen, und es werden fast garkeine Daten gecaptured. Eigentlich dachte ich, würde tcpdump für alle interfaces capturen, wenn man den -i parameter wegglässt. Scheinbar ist das nict der fall. Welchen Parameter muss ich setzen, damit tcpdump alle interfaces mitcaptured?

OK. Ich habe nochmal einges getestet. Und es liegt jedenfalls nicht an den tcpdump Befehl. Mit dem gleichen befehl habe ich früher schon problemlos beide Richtungen auf der gleichen Box gecaptured.

Ich habe nochmal getestet und die eingehenden Pakete werden entweder gar nicht gecaptured, oder sie werden alle von TCPdump "fallen gelassen".

Siehe die beiden Screenshots aus Wireshark:

Der folgende Screenshot zeigt, dass alle bis auf 2 Pakete alle anderen verloren gingen (Verlustrate von 100%):



Der folgende Screenshot zeigt, dass angeblich nur 1 Paket hereingekommen ist, und über 150000 Pakete herausgegangen sind.



Dass kann doch alles nicht sein oder?

Ich denke, dass das an der Firmware liegt. Ich habe gerade freetz-devel-10909 am laufen, was eigentlich ansonsten ganz stabil ist.


Kann jemand bestätigen, dass er SIP calls eingehende und auch ausgehende Pakete problemlos mit der 7390 capturn kann und welche Revision er benutzt.

Total komisch ist das. Das Capturn hat seit der 7170 immer problemlos geklappt.

Ich habe auch schon auf der 7390 die Pakete problemlos aufgezeichnet. Ich habe das aber jetzt schon lange nicht mehr gemacht. Irgendwas ist in den letzten revisionen geändert worden, dass eigehende Pakete nicht mewhr aufzeichnen lässt.

@ raflf kannst du mir sagen, welche revision von freetz und welche FW du nutzt? Klappt bei dir alles problemlos?

Da sheint etwas in der original FW geändert worden zu sein. Da gibt es ein Ticket:

http://freetz.org/ticket/1732?cversion=0&cnum_hist=4

Ich bin mir aber nicht sicher, ob das Ticket das richtige ist. Ich habe das Problem nämlich erst jetzt gemerkt. Ich meine jedoch, dass ich unter der FW 5.2X bereits problemlos tcpdump genutzt habe.

Ja das hat cuma auf mein Ticket hier:

http://freetz.org/ticket/2228

auch gesagt.

Ich bin jetzt in Google auf der Suche, wie man das macht.

Kann mir da jemand helfen, wie man mal kurz den packet accelerator abschalten kann?

Cuma hat gesagt, dass ich das so machen kann:

"Ursache ist AVM's packet accelerator. Den mit "echo irgendwas > /proc/vergessen" ausschalten, dann gehts - nur die Box ist wesentlich langsamer "

Ich weiß aber nicht, was er mit "echo irgendwas > /proc/vergessen" meint?

Kann jemand helfen?

OK. Genau an den AVM Packet Accelerator hat es gelegen.

Ich habe jetzt ein capture gestartet, nachdem ich den PA mit dem Befehl oben gestoppt habe und siehe da es werden auch eingehende Pakete gecaptured.


Ich weiß jetzt leider nicht, welche Nachteile es hat, wenn ich den Packet Accelerator abschalte. Kann ich dass dauerhaft machen, oder sollte den nur abschalten, wenn ich einen capture starten will?

Also es scheint keinen Unterschied zu machen. Die Box läuft aktuell ganz stabil. Ich hoffe es bleibt auch so.