Wireshark und IPSec

Ich versuche, die Kommunikation zwischen zwei Servern in einem Windows-Netzwerk zu beheben, in dem IPSEC alles verschlüsselt. Ich habe Wireshark auf dem Quellserver installiert und den Datenverkehr an dem Punkt erfasst, an dem die Kommunikation fehlschlägt. Abgesehen von einigen ARPs und DNS-Paketen ist alles andere, was erfasst wird, ein ESP-verschlüsseltes Paket (Encapsultating Security Payload).

Ich würde das verstehen, wenn ich eine Man-in-the-Middle-Aufnahme machen würde, aber ich bin auf der Quellmaschine. Gibt es eine Möglichkeit, anzugeben, dass Wireshark weiter oben im Stapel erfasst wird (nachdem die Entschlüsselung abgeschlossen ist)? Der Quellcomputer ist W2K8R2, der bei Bedarf als Hyper-V-VM ausgeführt wird.

Wenn Sie den ESP-Verkehr direkt untersuchen und analysieren möchten, muss Ihre Wireshark-Version mit libcrypt verknüpft sein. Weitere Details hier .

Um meine eigene Frage zu beantworten (oder zumindest meine Lösung zu erwähnen), kann Netmon denselben Datenverkehr problemlos erfassen und analysieren. Ich habe das Netmon-Capture gespeichert und in Wireshark geöffnet, und alles wird immer noch als ESP-Paket angezeigt. Anscheinend mag Wireshark es nicht, die Pakete zu entschlüsseln. Vielleicht verwendet Netmon dazu den lokalen Schlüssel? In jedem Fall war die Antwort, Netmon zu verwenden. Es ist bei weitem nicht so gut für die Analyse des Datenverkehrs, aber es öffnet ESP-Pakete, wenn Sie sie von einem Endpunkt erfassen.

Sie müssen Wireshark wahrscheinlich nur anweisen, auf der vom IPSec-VPN-Dienst bereitgestellten virtuellen Schnittstelle und nicht auf der eigentlichen Schnittstelle zu erfassen. Gehen Sie zu Capture-> Schnittstellen oder zu Capture-> Optionen und wählen Sie die Schnittstelle aus der Dropdown-Liste aus.

Gehen Sie in Wireshark zu Bearbeiten / Einstellungen und erweitern Sie die Protokollliste. Suchen Sie ESP in der Liste und geben Sie Ihre Schlüsselinformationen ein.