2
Kein VLAN Tag (Hyper-V Container) bei Wireshark Capture sichtbar
Hallo zusammen,
ich erstelle gerade für unsere Hosted umgebung (ca. 600 VM's) ein Tracing System (Grundlage Wireshark bzw. dumpcap.exe).
Um den Netzwerkverkehr der VM's Zentral mitzuschneiden nutze ich die Port-Mirror Funktion des Hyper-V Hosts. Bis hierhin klappt auch alles super.
Nun habe ich die Netwerkadapter meiner Trace-VM im Hyper-V im Trunkmode laufen, damit ich den Netzwerkverkehr mehrerer VM's dort empfangen kann.
Mein Problem:
Wenn ich jetzt Wireshark auf der Trace-VM starte und als Capture Filter das VLAN mitgebe, wird nichts mitgeschnitten.
Nun habe ich Wireshark mal ohne Capture Filter gestartet um ein Paket zu prüfen ... Dort hat sich rausgestellt das im Ehternet Header keine VLAN-ID angezeigt wird.
Versuchte Lösung:
Ich habe bereits viel danach bei Google gesucht und bin auf folgenden Eintrag gestoßen:
https://www.steffr.ch/vlan-tags-in-wireshark-unter-windows/
Er beschreibt als Lösung das setzen eines Reg-Keys ... das hat bei mir leider keinen Erfolg gebracht.
Kann mir hier jemand weiterhelfen warum keine VLAN-ID im Hyper-V Container ankommt?
Dank und Gruß
Patrick
ich erstelle gerade für unsere Hosted umgebung (ca. 600 VM's) ein Tracing System (Grundlage Wireshark bzw. dumpcap.exe).
Um den Netzwerkverkehr der VM's Zentral mitzuschneiden nutze ich die Port-Mirror Funktion des Hyper-V Hosts. Bis hierhin klappt auch alles super.
Nun habe ich die Netwerkadapter meiner Trace-VM im Hyper-V im Trunkmode laufen, damit ich den Netzwerkverkehr mehrerer VM's dort empfangen kann.
Mein Problem:
Wenn ich jetzt Wireshark auf der Trace-VM starte und als Capture Filter das VLAN mitgebe, wird nichts mitgeschnitten.
Nun habe ich Wireshark mal ohne Capture Filter gestartet um ein Paket zu prüfen ... Dort hat sich rausgestellt das im Ehternet Header keine VLAN-ID angezeigt wird.
Versuchte Lösung:
Ich habe bereits viel danach bei Google gesucht und bin auf folgenden Eintrag gestoßen:
https://www.steffr.ch/vlan-tags-in-wireshark-unter-windows/
Er beschreibt als Lösung das setzen eines Reg-Keys ... das hat bei mir leider keinen Erfolg gebracht.
Kann mir hier jemand weiterhelfen warum keine VLAN-ID im Hyper-V Container ankommt?
Dank und Gruß
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1079375954
Url: https://administrator.de/contentid/1079375954
Printed on: April 16, 2024 at 08:04 o'clock
2 Comments
Latest comment
Das der TAG nicht angezeigt wird liegt an der Netzwerkkarte im Wireshark Rechner. Die musst du entsprechend einstellen das das klappt:
https://wiki.wireshark.org/CaptureSetup/VLAN#Windows
bzw. bei Intel Karten:
https://www.intel.com/content/www/us/en/support/articles/000005498/netwo ...
Was bei einigen Karten auch hilft ist den Promiscous Mode im Treiber zu aktivieren (Winblows).
Leider schreibst du ja nicht welches OS dein Sniffer Rechner nutzt.
Oft hilft es auch einfach mal ein Live Linux zu booten das diese Probleme meist nicht kennt. Die bekannte Kali_Linux Distro z.B. hat den Wireshark sowie viele andere Netzwerk Tools gleich schon an Bord.
Du solltest das auf alle Fälle immer VORHER direkt an einem Tagged Port eines VLAN Switches testen um so erstmal vorab sicherzustellen das der VLAN Tag auch sauber angezeigt wird. Erst dann kannst du sicher sein das er nicht woanders schon vorher unterdrückt wird !
Ist das alles richtig eingestellt sollte es dann so aussehen im Wireshark an einem Tagged Port:
https://wiki.wireshark.org/CaptureSetup/VLAN#Windows
bzw. bei Intel Karten:
https://www.intel.com/content/www/us/en/support/articles/000005498/netwo ...
Was bei einigen Karten auch hilft ist den Promiscous Mode im Treiber zu aktivieren (Winblows).
Leider schreibst du ja nicht welches OS dein Sniffer Rechner nutzt.
Oft hilft es auch einfach mal ein Live Linux zu booten das diese Probleme meist nicht kennt. Die bekannte Kali_Linux Distro z.B. hat den Wireshark sowie viele andere Netzwerk Tools gleich schon an Bord.
Du solltest das auf alle Fälle immer VORHER direkt an einem Tagged Port eines VLAN Switches testen um so erstmal vorab sicherzustellen das der VLAN Tag auch sauber angezeigt wird. Erst dann kannst du sicher sein das er nicht woanders schon vorher unterdrückt wird !
Ist das alles richtig eingestellt sollte es dann so aussehen im Wireshark an einem Tagged Port:
1
Moin Patrick
Das ist vollkommen korrekt so.
Und das auch.
Klar, weil es ein (Microsoft) SDN ist, und dieses "funktioniert" etwas anders, als du es von physikalischen Servern und deren NIC's gewohnt bist. 😉
Der Hintergrund ist einfach, wenn du bei einer Hyper-V VM VLAN auf einer NIC aktivierst, dann wird das VLAN Handling nicht wirklich über die NIC gemacht, sondern über den vSwitch.
Sprich wenn du auf der vmNIC z.B. VLAN 100 aktivierts, dann schickt der vSwitch sämtlichen betreffenden VLAN 100 Verkehr ab dem vSwitchport ungetagt Richtung der vmNIC und umgekehrt wird sämtlicher abgehenden Verkehr der vmNIC, erst am vSwitchport des vSwitches mit VLAN100 getagt.
Auf der VM Selbst kannst du daher nur ohne VLAN Filter Tracen.
Beste Grüsse aus BaWü
Alex
Wenn ich jetzt Wireshark auf der Trace-VM starte und als Capture Filter das VLAN mitgebe, wird nichts mitgeschnitten.
Das ist vollkommen korrekt so.
Nun habe ich Wireshark mal ohne Capture Filter gestartet um ein Paket zu prüfen ... Dort hat sich rausgestellt das im Ehternet Header keine VLAN-ID angezeigt wird.
Und das auch.
Kann mir hier jemand weiterhelfen warum keine VLAN-ID im Hyper-V Container ankommt?
Klar, weil es ein (Microsoft) SDN ist, und dieses "funktioniert" etwas anders, als du es von physikalischen Servern und deren NIC's gewohnt bist. 😉
Der Hintergrund ist einfach, wenn du bei einer Hyper-V VM VLAN auf einer NIC aktivierst, dann wird das VLAN Handling nicht wirklich über die NIC gemacht, sondern über den vSwitch.
Sprich wenn du auf der vmNIC z.B. VLAN 100 aktivierts, dann schickt der vSwitch sämtlichen betreffenden VLAN 100 Verkehr ab dem vSwitchport ungetagt Richtung der vmNIC und umgekehrt wird sämtlicher abgehenden Verkehr der vmNIC, erst am vSwitchport des vSwitches mit VLAN100 getagt.
Auf der VM Selbst kannst du daher nur ohne VLAN Filter Tracen.
Beste Grüsse aus BaWü
Alex