Kein VLAN Tag (Hyper-V Container) bei Wireshark Capture sichtbar

Hallo zusammen,

ich erstelle gerade für unsere Hosted umgebung (ca. 600 VM's) ein Tracing System (Grundlage Wireshark bzw. dumpcap.exe).

Um den Netzwerkverkehr der VM's Zentral mitzuschneiden nutze ich die Port-Mirror Funktion des Hyper-V Hosts. Bis hierhin klappt auch alles super.

Nun habe ich die Netwerkadapter meiner Trace-VM im Hyper-V im Trunkmode laufen, damit ich den Netzwerkverkehr mehrerer VM's dort empfangen kann.


Mein Problem:

Wenn ich jetzt Wireshark auf der Trace-VM starte und als Capture Filter das VLAN mitgebe, wird nichts mitgeschnitten.

Nun habe ich Wireshark mal ohne Capture Filter gestartet um ein Paket zu prüfen ... Dort hat sich rausgestellt das im Ehternet Header keine VLAN-ID angezeigt wird.


Versuchte Lösung:

Ich habe bereits viel danach bei Google gesucht und bin auf folgenden Eintrag gestoßen:

https://www.steffr.ch/vlan-tags-in-wireshark-unter-windows/

Er beschreibt als Lösung das setzen eines Reg-Keys ... das hat bei mir leider keinen Erfolg gebracht.


Kann mir hier jemand weiterhelfen warum keine VLAN-ID im Hyper-V Container ankommt?


Dank und Gruß
Patrick

Content-Key: 1079375954

Url: https://administrator.de/contentid/1079375954

Ausgedruckt am: 21.09.2021 um 14:09 Uhr

Mitglied: aqui
aqui 23.07.2021 aktualisiert um 16:32:43 Uhr
Goto Top
Das der TAG nicht angezeigt wird liegt an der Netzwerkkarte im Wireshark Rechner. Die musst du entsprechend einstellen das das klappt:
https://wiki.wireshark.org/CaptureSetup/VLAN#Windows
bzw. bei Intel Karten:
https://www.intel.com/content/www/us/en/support/articles/000005498/netwo ...
Was bei einigen Karten auch hilft ist den Promiscous Mode im Treiber zu aktivieren (Winblows).
Leider schreibst du ja nicht welches OS dein Sniffer Rechner nutzt. :-( face-sad
Oft hilft es auch einfach mal ein Live Linux zu booten das diese Probleme meist nicht kennt. Die bekannte Kali_Linux Distro z.B. hat den Wireshark sowie viele andere Netzwerk Tools gleich schon an Bord.
Du solltest das auf alle Fälle immer VORHER direkt an einem Tagged Port eines VLAN Switches testen um so erstmal vorab sicherzustellen das der VLAN Tag auch sauber angezeigt wird. Erst dann kannst du sicher sein das er nicht woanders schon vorher unterdrückt wird !

Ist das alles richtig eingestellt sollte es dann so aussehen im Wireshark an einem Tagged Port:

vlansniff14
Mitglied: MysticFoxDE
Lösung MysticFoxDE 23.07.2021 aktualisiert um 22:10:55 Uhr
Goto Top
Moin Patrick

Wenn ich jetzt Wireshark auf der Trace-VM starte und als Capture Filter das VLAN mitgebe, wird nichts mitgeschnitten.

Das ist vollkommen korrekt so.

Nun habe ich Wireshark mal ohne Capture Filter gestartet um ein Paket zu prüfen ... Dort hat sich rausgestellt das im Ehternet Header keine VLAN-ID angezeigt wird.

Und das auch.

Kann mir hier jemand weiterhelfen warum keine VLAN-ID im Hyper-V Container ankommt?

Klar, weil es ein (Microsoft) SDN ist, und dieses "funktioniert" etwas anders, als du es von physikalischen Servern und deren NIC's gewohnt bist. 😉

Der Hintergrund ist einfach, wenn du bei einer Hyper-V VM VLAN auf einer NIC aktivierst, dann wird das VLAN Handling nicht wirklich über die NIC gemacht, sondern über den vSwitch.

Sprich wenn du auf der vmNIC z.B. VLAN 100 aktivierts, dann schickt der vSwitch sämtlichen betreffenden VLAN 100 Verkehr ab dem vSwitchport ungetagt Richtung der vmNIC und umgekehrt wird sämtlicher abgehenden Verkehr der vmNIC, erst am vSwitchport des vSwitches mit VLAN100 getagt.

Auf der VM Selbst kannst du daher nur ohne VLAN Filter Tracen.

Beste Grüsse aus BaWü

Alex
Heiß diskutierte Beiträge
question
Windows PrintServer 2016 - KB5005573 macht Drucken unmöglich Fehler 0x11bbeidermachtvongreyscullVor 1 TagFrageWindows Server22 Kommentare

Moin Kollegen, verdammt den hatte ich nicht auf dem Schirm. Ich hab gestern Sicherheitsupdates auf unseren 2016ern ausgerollt und heute morgen kann keiner mehr drucken, ...

question
Rechner im Netzwerk frieren nach Neustart einCZF-MarkusVor 1 TagFrageWindows Netzwerk15 Kommentare

Seit einer Woche frieren unsere Rechner (Windows 10) im Firmennetzwerk nach einem Neustart ein, mal ist es die Outlook.exe, mal die Explorer.exe, mal die .exe ...

question
Macadresse fest auf dem Board ändernDippsVor 1 TagFrageHardware12 Kommentare

Hallo ich habe ein Mainboard was defekt ist. Nun habe ich das Typgleiche geholt und ausgetauscht. Es läuft ein Linux drauf mit einer Software die ...

question
Kauftipp für einfaches KabelmodemTheEPOCHVor 1 TagFrageHardware5 Kommentare

Hallo zusammen, ich bräuchte eine kleine Kaufberatung. Ich suche ein ganz einfaches Kabelmodem. Das Gerät soll vor eine OPNsense und das Internet bereitstellen. DOCSIS 3.0 ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 22 StundenFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Aufbau Netzstruktur für CARP mit OPNsense gelöst screemyVor 1 TagFrageLinux Netzwerk6 Kommentare

Guten Abend, wir betreiben auf 2 ProxmoxVE Hosts jeweils eine OPNsense. Diese möchten wir mittels CARP hochverfügbar konfigurieren für die LAN/WAN Schnittstelle. Folgender Aufbau ist ...

info
Druckprobleme an PrintServern nach Sept. 2021 UpdatekgbornVor 1 TagInformationWindows Server

FYI: Seit die Sicherheitsupdates vom Patchday 14. September 2021 ausgerollt wurden, stehen Administratoren vor dem Problem, dass Clients eventuell nicht mehr an einem Terminalsever oder ...

question
Fritzbox als VPNClientproton34Vor 1 TagFrageRouter & Routing7 Kommentare

Hallo, ich habe dem letzt gelesen, dass es nicht möglich sein soll eine FritzBox 7490 als VPNClient zu verwenden. Den Beitrag findet ihr hier:. Jetzt ...