Estou tentando solucionar problemas de comunicação entre dois servidores em uma rede Windows onde o IPSEC está criptografando tudo. Instalei o wireshark no servidor de origem e capturei o tráfego no ponto em que a comunicação está falhando, mas além de alguns pacotes ARPs e DNS, tudo o mais que é capturado é um pacote criptografado ESP (Encapsultating Security Payload).
Eu entenderia isso se estivesse fazendo uma captura man-in-the-middle, mas estou na máquina de origem. Existe uma maneira de especificar que o Wireshark capture mais acima na pilha (após a conclusão da descriptografia)? A máquina de origem é W2K8R2 em execução como uma VM Hyper-V, se for importante.
Responder1
Se você deseja inspecionar e analisar o tráfego ESP diretamente, sua versão do Wireshark precisa estar vinculada ao libcrypt.Mais detalhes aqui.
Responder2
Para responder à minha pergunta (ou pelo menos mencionar minha solução), o Netmon é capaz de capturar e analisar o mesmo tráfego sem problemas. Salvei a captura do Netmon e abri no Wireshark, e tudo ainda aparece como pacotes ESP. Aparentemente, o Wireshark não gosta de descriptografar os pacotes. Talvez o Netmon use a chave local para fazer isso? De qualquer forma, a resposta foi usar o Netmon. Não é tão bom para analisar o tráfego, mas abre pacotes ESP se você os capturar de um endpoint.
Responder3
Você provavelmente só precisa dizer ao Wireshark para capturar na interface virtual fornecida pelo serviço VPN IPSec, em vez de na interface real. Vá para capture->interfaces ou capture->options e selecione a interface no menu suspenso.
Responder4
No Wireshark, vá em Edit/Preferences e expanda a lista Protocol. Encontre ESP na lista e insira suas informações principais.