Alle drei oben genannten Werkzeuge sind unabdingbar, wenn man auf Fehlersuche gehen muss.

tcpdump

muss nachinstalliert werden. Mit tcpdump kann man den Netzwerkverkehr in Echtzeit beobachten und/oder mitschneiden.
tcpdump hat viele Optionen, mit den richtigen lässt sich sehr gezielt forschen, und anders als der Name vermuten lässt, kann tcpdump natürlich auch udp mitschneiden.

Beispiele:

tcpdump -i eth1 udp host 10.0.0.100

zeigt nur Pakete mit dem Protokoll udp auf eth1 von oder an AP1, also alles ins oder vom Wlan.

tcpdump -i eth1 port 53

zeigt nur den Verkehr zum Nameserver auf eth1

tcpdump -i eth1 port 53 -s0 -w /tmp/53.pcap

schreibt in eine .pcap Datei, der Standard für spätere Analyse mit z.B. Wireshark. -s0 setzt hierfür keine Grenze für die Paketgrösse.

Wenn etwas nicht funktioniert wie es soll, ist tcpdump der erste Anlaufpunkt um zu schauen ob überhaupt was ankommt.
Aber auch um zu schauen was z.B. ein neues Gerät so treibt im Netz, tcpdump kann es aufzeichnen.

Um den gesamten Netzverkehr beobachten zu können, bedarf es eines managed Switch mit einem gespiegelten Port an einer zentralen Position im Netz. Ist das Netz zu verschachtelt muss der Switch gezielt gesetzt werden.

nmap

nmap muss ebenfalls nachinstalliert werden.
nmap ist ein Portscanner und kann eingesetzt werden, wenn tcpdump z.B. anzeigt, das anfragende Pakete zwar ankommen, aber nicht beantwortet werden. Ist auf dem Port der angesprochen wird ein Dienst aktiv?
nmap beantwortet das eindeutig.

wireshark

lädt man sich bevorzugt auf seinen Verwaltungsrechner.
Wireshark ist ein mächtiges Analyseprogramm. Es kann .pcap Dateien von tcpdump zur Auswertung übernehmen.

https://wiki.ubuntuusers.de/tcpdump/
https://wiki.ubuntuusers.de/nmap/
https://www.ip-insider.de/erste-schritte-mit-wireshark-a-631469/


next > ein LTE-Fallback