sonny1895
Goto Top

Kein VLAN Tag (Hyper-V Container) bei Wireshark Capture sichtbar

Hallo zusammen,

ich erstelle gerade für unsere Hosted umgebung (ca. 600 VM's) ein Tracing System (Grundlage Wireshark bzw. dumpcap.exe).

Um den Netzwerkverkehr der VM's Zentral mitzuschneiden nutze ich die Port-Mirror Funktion des Hyper-V Hosts. Bis hierhin klappt auch alles super.

Nun habe ich die Netwerkadapter meiner Trace-VM im Hyper-V im Trunkmode laufen, damit ich den Netzwerkverkehr mehrerer VM's dort empfangen kann.


Mein Problem:

Wenn ich jetzt Wireshark auf der Trace-VM starte und als Capture Filter das VLAN mitgebe, wird nichts mitgeschnitten.

Nun habe ich Wireshark mal ohne Capture Filter gestartet um ein Paket zu prüfen ... Dort hat sich rausgestellt das im Ehternet Header keine VLAN-ID angezeigt wird.


Versuchte Lösung:

Ich habe bereits viel danach bei Google gesucht und bin auf folgenden Eintrag gestoßen:

https://www.steffr.ch/vlan-tags-in-wireshark-unter-windows/

Er beschreibt als Lösung das setzen eines Reg-Keys ... das hat bei mir leider keinen Erfolg gebracht.


Kann mir hier jemand weiterhelfen warum keine VLAN-ID im Hyper-V Container ankommt?


Dank und Gruß
Patrick

Content-ID: 1079375954

Url: https://administrator.de/forum/kein-vlan-tag-hyper-v-container-bei-wireshark-capture-sichtbar-1079375954.html

Ausgedruckt am: 22.12.2024 um 18:12 Uhr

aqui
aqui 23.07.2021 aktualisiert um 16:32:43 Uhr
Goto Top
Das der TAG nicht angezeigt wird liegt an der Netzwerkkarte im Wireshark Rechner. Die musst du entsprechend einstellen das das klappt:
https://wiki.wireshark.org/CaptureSetup/VLAN#Windows
bzw. bei Intel Karten:
https://www.intel.com/content/www/us/en/support/articles/000005498/netwo ...
Was bei einigen Karten auch hilft ist den Promiscous Mode im Treiber zu aktivieren (Winblows).
Leider schreibst du ja nicht welches OS dein Sniffer Rechner nutzt. face-sad
Oft hilft es auch einfach mal ein Live Linux zu booten das diese Probleme meist nicht kennt. Die bekannte Kali_Linux Distro z.B. hat den Wireshark sowie viele andere Netzwerk Tools gleich schon an Bord.
Du solltest das auf alle Fälle immer VORHER direkt an einem Tagged Port eines VLAN Switches testen um so erstmal vorab sicherzustellen das der VLAN Tag auch sauber angezeigt wird. Erst dann kannst du sicher sein das er nicht woanders schon vorher unterdrückt wird !

Ist das alles richtig eingestellt sollte es dann so aussehen im Wireshark an einem Tagged Port:

vlansniff14
MysticFoxDE
Lösung MysticFoxDE 23.07.2021 aktualisiert um 22:10:55 Uhr
Goto Top
Moin Patrick

Wenn ich jetzt Wireshark auf der Trace-VM starte und als Capture Filter das VLAN mitgebe, wird nichts mitgeschnitten.

Das ist vollkommen korrekt so.

Nun habe ich Wireshark mal ohne Capture Filter gestartet um ein Paket zu prüfen ... Dort hat sich rausgestellt das im Ehternet Header keine VLAN-ID angezeigt wird.

Und das auch.

Kann mir hier jemand weiterhelfen warum keine VLAN-ID im Hyper-V Container ankommt?

Klar, weil es ein (Microsoft) SDN ist, und dieses "funktioniert" etwas anders, als du es von physikalischen Servern und deren NIC's gewohnt bist. 😉

Der Hintergrund ist einfach, wenn du bei einer Hyper-V VM VLAN auf einer NIC aktivierst, dann wird das VLAN Handling nicht wirklich über die NIC gemacht, sondern über den vSwitch.

Sprich wenn du auf der vmNIC z.B. VLAN 100 aktivierts, dann schickt der vSwitch sämtlichen betreffenden VLAN 100 Verkehr ab dem vSwitchport ungetagt Richtung der vmNIC und umgekehrt wird sämtlicher abgehenden Verkehr der vmNIC, erst am vSwitchport des vSwitches mit VLAN100 getagt.

Auf der VM Selbst kannst du daher nur ohne VLAN Filter Tracen.

Beste Grüsse aus BaWü

Alex