Mein Name ist Bernd Krüger-Knauber - Ihr Berater im Bereich OPNsense Firewall.

Kontaktieren Sie uns für eine unverbindliche, kostenfreie Beratung.

Sie schauen nicht täglich ins OPNsense Dashboard – möchten aber trotzdem wissen, wer in Ihrem Netzwerk den meisten Traffic verursacht?
Mit einem kleinen Trick lässt sich der OPNsense Top Talker bequem per E-Mail zusenden – automatisch, übersichtlich und ohne großen Aufwand.

In diesem Beitrag zeigen wir, wie Sie mithilfe von NetFlow, Monit und einem kleinen PHP-Skript regelmäßig eine E-Mail mit den größten Datenverbrauchern Ihres Netzwerks erhalten.

Was ist der „Top Talker“ in OPNsense?

Die Top Talker Analyse zeigt, welche Geräte oder IP-Adressen im Netzwerk die meiste Bandbreite nutzen.
Standardmäßig ist diese Funktion in der OPNsense GUI sichtbar – aber wer will schon jeden Tag manuell nachsehen?
Viel besser ist ein automatischer Report per E-Mail.

Beispielausgabe:

192.168.69.185    232.565.759  2025.08.25 06:19:50
192.168.69.168     94.349.574  2025.08.25 06:50:56
217.113.176.199    73.914.095  2025.08.25 06:51:22
...

Voraussetzungen

Damit OPNsense die Daten für den Top Talker sammelt, müssen folgende Komponenten aktiv sein:

1. NetFlow Reporting aktivieren
   (unter Reporting → NetFlow)
   → sorgt dafür, dass Traffic-Daten lokal gespeichert werden.

2. Monit aktivieren
   (unter Services → Monit)
   → ermöglicht das Ausführen und Planen automatischer Prüfungen sowie das Versenden von E-Mail-Benachrichtigungen.

3. SMTP-Zugang einrichten
   Damit Monit E-Mails versenden kann, wird ein funktionierender SMTP-Zugang benötigt.
   Tipp: Nach der Einrichtung sendet Monit beim Neustart automatisch eine Testmail – ideal zur Funktionsprüfung.

Der technische Weg: OPNsense liefert alles, was wir brauchen

In den Tiefen des OPNsense-Dateisystems gibt es bereits ein hilfreiches Python-Skript:

/usr/local/opnsense/scripts/netflow/get_top_usage.py

Dieses Skript liefert die Basisdaten für den Top Talker.
Ein typischer Aufruf sieht so aus:

/usr/local/opnsense/scripts/netflow/get_top_usage.py \
--provider FlowSourceAddrTotals \
--start_time 1755734400 \
--end_time 1755820799 \
--key_fields src_addr \
--value_field octets \
--max_hits 10 \
--filter "if=vtnet0"

Damit erhalten Sie die zehn größten Datenquellen auf dem Interface vtnet0 (z. B. LAN).

Das fertige PHP-Skript für Monit

Damit Monit regelmäßig den Top Talker ausliest und eine E-Mail versendet, erstellen Sie ein Skript unter:

/usr/local/opnsense/scripts/OPNsense/Monit/toptalker

Hier das Beispiel:

#!/usr/local/bin/php
<?php
$endtime = strtotime("now");
$starttime = $endtime - 86400;
$cmd = '/usr/local/opnsense/scripts/netflow/get_top_usage.py --provider FlowSourceAddrTotals --start_time ' . $starttime . ' --end_time ' . $endtime . ' --key_fields src_addr --value_field octets --max_hits 10 --filter "if=vtnet0"';
exec($cmd, $output, $retval);
$res = '';
$listelements = json_decode($output[0]);
foreach($listelements as $entry) {
    if($entry->last_seen != "") {
        $res .= str_pad($entry->src_addr, 16) .
                str_pad(number_format($entry->total, 0, ',', '.'), 15, " ", STR_PAD_LEFT) .
                " " . date('Y.m.d H:i:s', $entry->last_seen) . "\n";
    }
}
echo ">\n\n" . $res . "\n";
exit(rand(1,255));
?>

Das Skript ruft die Top-Talker-Daten der letzten 24 Stunden ab (86400 Sekunden).
Über den rand(1,255)-Exitcode tricksen wir Monit dazu, bei jeder Ausführung eine neue Benachrichtigung zu senden.

Monit konfigurieren

1. Custom Service erstellen:

Name: TopTalker_LAN

Type: Custom

Path: /usr/local/opnsense/scripts/OPNsense/Monit/toptalker

2. Tests aktivieren:

ChangedStatus

NonZeroStatus (damit Sie beim ersten Lauf direkt eine E-Mail erhalten)

Poll Time anpassen:
Für Tests:

1 cycles

Später z. B. täglich um 6 Uhr:

50-52 6 * * *

Ergebnis: Automatische Top Talker E-Mail

Nach dem Neustart oder Speichern der Monit-Einstellungen sendet OPNsense regelmäßig eine übersichtliche E-Mail mit den größten Bandbreitennutzern.
So behalten Sie Ihr Netzwerk jederzeit im Blick – ohne täglich ins Dashboard zu schauen.

Fazit

Mit wenigen Schritten verwandeln Sie Ihre OPNsense Firewall in ein leistungsfähiges Reporting-System, das Ihnen automatisch die wichtigsten Traffic-Informationen per E-Mail liefert.
Die Kombination aus NetFlow, Monit und einem simplen PHP-Skript sorgt für maximale Transparenz und einfache Automatisierung – perfekt für alle, die Netzwerküberwachung effizient gestalten möchten.

EDNT IT-Services GmbH – Ihr Partner für Firewall-Migrationen

Die EDNT IT-Services GmbH ist seit über 40 Jahren auf IT-Sicherheit, Netzwerkinfrastruktur und Open-Source-Lösungen spezialisiert.
Als erfahrener OPNsense-Integrationspartner begleiten wir Unternehmen bei:

• der Analyse und Planung ihrer neuen Firewall,

• der technischen Umsetzung und Migration auf OPNsense,

• VPN-Designs, Cluster-Setups, IDS/IPS-Tuning

• und dem sicheren Go-Live mit minimaler Downtime.