Okamžitý přehled na nízké úrovni (MAC / IP) dá iptraf-ng. Koukám, že existuje i balíček do OpenWRT.
Tady je zřejmě docela v kostce popsáno, co umí v tomto směru OpenWRT:
https://openwrt.org/docs/guide-user/services/network_monitoring/bwmonTo co žádáte je poměrně pokročilá funkce. Třídit data podle lokálního uživatele (stroje), ale taky podle cílové nikoli jednotlivé adresy, ale "webové služby", a sledovat vedle objemu přenosů také "čas strávený na konkrétní službě". Jako že jak dlouho u toho potomek seděl (/ležel, prostě kvasil). Jednak velké webové "služby" / sajty / aplikace jedou na farmách/cloudech, které čítají tisíce IP adres, které nemusí být ani v rámci jednoho AS. Už jenom nějak agregovat, které cílové IP adresy patří konkrétní "webové službě" (sajtě, aplikaci) je netriviální zadání. Máte DNS a máte RIPE, ale nějak technicistně to agregovat... Jak podle DNS tak podle RIPE (a podobných databází jinde na světě) dohledáte kolikrát jenom cloud, ve kterém to běží (např. Amazon) a v tom cloudu běží webů veliká spousta. Na obyčejném HTTP by šlo vyzobávat a třídit dotazy HTTP GET, ale na HTTPS máte smůlu, pokud nechcete páchat "na férovku MITM" a zneplatnit užovkám všechny certy vzdálených legitimních webserverů (ve variantě s transparentní proxy). Nejsem na tohle expert, možná kdybyste zakázal přímý přístup ven na 80 a 443 a donutil klienty používat proxy explicitně, tak by o tom browser věděl a nedržkoval by ohledně CERTů. Nevím, strašně dlouho jsem explicitní proxy nenasadil.
A pak je tu ta věc, že spousta webových stránek si tahá všelijaký content odjinud. Obrázky, počítadla, reklamy... na nezávislém zpravodajském webíku, který žije z reklamy, můžou většinu objemu snadno tvořit reklamní videostreamy, které tečou bůhví odkud. A pak se v tom nějakým analyzátorem vyznejte, "kde" vlastně uživatel strávil čas / stáhl tolik dat.
A jak už psal @petersveter: jakákoli netriviální analýza bude potřebovat výkon CPU a zřejmě i prostor na disku, do bootovací NAND flashky v routeru si tohle blejt nechcete, ramky nemá moc a výkon CPU taky potřebujete spíš na forwarding provozu.
A když budete dokola oklobávat RIPE a podobné databáze, nedivil bych se, pokud by Vás odstavili jakožto parazitujícího robota... (pouze můj osobní dojem).