Monitorare traffico VPN

1 risposta [Ultimo contenuto]
Ritratto di Dudoleitor
Dudoleitor
(Geek)
Offline
Geek
Iscritto: 24/09/2014
Messaggi: 56

Buongiorno a tutti,
ho configurato il mio VPS come server OpenVPN in modo da portermi collegare dai miei dispositivi e fare qualche test di rete.
Vorrei sapere come potrei tenere traccia del traffico di ogni dispositivo.

Mi spiego meglio, ora iptables inoltra tutto il traffico dall'interfaccia virtuale di OpenVPN a eth0 e i client navigano correttamente (tutto il traffico viene mandato nel tunnel e poi raggiunge senza problemi i server di destinazione).

Così facendo l'unico modo per tenere traccia del traffico è con tcpdump o simili, che però generano tonnellate di log che richiedono un sacco di tempo per essere consultati.
Mi piacerebbe poter vedere semplicemente traffico HTTP e HTTPS per avere un'idea dei siti visitati, per ora non mi interessano i dettagli dei singoli pacchetti.
Allora ho configurato un proxy squid locale, semplice semplice per tenere traccia di tutto (e volendo in futuro anche per filtrare).
Con HTTP funziona tutto, i problemi arrivano con HTTPS. Ho trovato diverse guide che mostrano come decifrare l'HTTPS per lavorare a mo' di man in the middle; tale configurazione però (ammesso che sia legale) darebbe, giustamente, errori di certificato ai client e complicherebbe più le cose.
Quello che interessa a me è semplicemente vedere IP di origine e destinazione, senza quindi dover scompattare l'HTTPS.
Ciò si può fare con squid o con un altro proxy?
A qualcuno viene in mente un'idea migliore per raggiungere il mio scopo?

Mi sto avvicinando a questo mondo e sto cercando di imparare, quindi è altamente probabile che la soluzione da me adottata non sia nè la più semplice nè la migliore, se qualcuno ha qualche critica o consiglio sono ben accetti!

Grazie in anticipo a chi vorrà darmi una mano

Ritratto di mcortese
mcortese
(Moderatore)
Offline
Moderatore
Iscritto: 27/02/2009
Messaggi: 2918

La butto lì:

iptables -A INPUT -p tcp --syn --dport 80 -j LOG --log-prefix="HTTP:"
e poi vai a leggere il syslog alla ricerca di righe col prefisso "HTTP:".