Estoy intentando solucionar problemas de comunicación entre dos servidores en una red de Windows donde IPSEC cifra todo. Instalé Wireshark en el servidor de origen y capturé el tráfico en el punto en que la comunicación falla, pero aparte de algunos paquetes ARP y DNS, todo lo demás que se captura es un paquete cifrado ESP (carga útil de seguridad encapsulada).
Entendería esto si estuviera haciendo una captura de intermediario, pero estoy en la máquina de origen. ¿Hay alguna manera de especificar que Wireshark capture más arriba en la pila (después de que se complete el descifrado)? La máquina de origen es W2K8R2 ejecutándose como una máquina virtual Hyper-V si es importante.
Respuesta1
Si desea inspeccionar y analizar el tráfico ESP directamente, su versión de Wireshark debe estar vinculada con libcrypt.Más detalles aquí.
Respuesta2
Para responder a mi propia pregunta (o al menos mencionar mi solución), Netmon puede capturar y analizar el mismo tráfico sin problemas. Guardé la captura de Netmon y la abrí en Wireshark, y todo sigue apareciendo como paquetes ESP. Aparentemente a Wireshark no le gusta descifrar los paquetes. ¿Quizás Netmon usa la clave local para hacerlo? En cualquier caso, la respuesta fue utilizar Netmon. No es tan bueno para analizar el tráfico, pero abre paquetes ESP si los captura desde un punto final.
Respuesta3
Probablemente sólo necesite decirle a Wireshark que capture en la interfaz virtual proporcionada por el servicio VPN IPSec, en lugar de en la interfaz real. Vaya a capturar->interfaces o a capturar->opciones y seleccione la interfaz en el menú desplegable.
Respuesta4
En Wireshark, vaya a Editar/Preferencias y expanda la lista de Protocolo. Busque ESP en la lista e ingrese su información clave.