Я пытаюсь устранить неполадки связи между двумя серверами в сети Windows, где IPSEC все шифрует. Я установил wirehark на исходный сервер и захватил трафик в момент сбоя связи, но, кроме нескольких пакетов ARP и DNS, все остальное, что захватывается, является зашифрованным пакетом ESP (Encapsultating Security Payload).
Я бы понял это, если бы делал захват «человек посередине», но я нахожусь на исходной машине. Есть ли способ указать, что Wireshark захватывает дальше по стеку (после завершения дешифрования)? Исходный компьютер - это W2K8R2, работающий как виртуальная машина Hyper-V, если это необходимо.
Если вы хотите напрямую проверять и анализировать трафик ESP, ваша версия Wireshark должна быть связана с libcrypt. Подробнее здесь.
Чтобы ответить на мой собственный вопрос (или, по крайней мере, упомянуть мое решение), Netmon может без проблем захватывать и анализировать один и тот же трафик. Я сохранил захват Netmon и открыл его в Wireshark, и все по-прежнему отображается как пакеты ESP. Очевидно, Wireshark не любит расшифровывать пакеты. Может быть, Netmon использует для этого локальный ключ? В любом случае ответ был использовать Netmon. Он не так хорош для анализа трафика, но он открывает пакеты ESP, если вы захватываете их с конечной точки.
Вероятно, вам просто нужно указать Wireshark для захвата на виртуальном интерфейсе, предоставляемом службой IPSec VPN, а не на фактическом интерфейсе. Перейдите в захват-> интерфейсы или в захват-> параметры и выберите интерфейс из раскрывающегося списка.
В Wireshark перейдите в Edit / Preferences и разверните список Protocol. Найдите ESP в списке и введите свою ключевую информацию.