Wireshark Suche nach L2TP
Hallo,
ich versuche mich gerade am VPN-Troubleshooting. Dauernd keine Verbindung, aber nun gehts. Soweit so gut. Nur falls das nochmals vorkommt wäre ich gerne besser vorbereitet. Dazu wollte ich mit wireshark den Verkehr überwachen und hoffte zu sehen wo die VPN-Pakete hängen bleiben. Ich habe dazu etwas MrGoogle gefragt. Ich solle mal nach ESP-Paketen suchen. Leider finde ich keine, bzw. werden mir keine angezeigt. Zuerst dachte ich, das wäre halt auch das Problem. "Dummerweise" geht die Verbindung mittlerweile, aber es werde mir noch immer keine ESP-Pakte angezeigt. Daher nun die Fragen an euch:
1.) Ist die Suche nach ESP richtig bei IPSEC/L2TP?
2.) Suche ich bei Wireshark überhaupt richtig? Ich mache eigentlich nur eine Aufzeichnung - starte die VPN-Verbindung und lasse sie mal 2 Minuten laufen - Aufnahmestopp. Nun gebeich im Filter ESP ein. Keine Treffer. Manuelle Suche mit Sortierung der Protokolle in den Suchergebnissen: Keine Treffer.
3.) Vermutlich sowas wie MAC vs Windows: Sollt eman lieber auf OpenVPN mit Zertifikaten setzten oder IPSEC/L2TP mit PSK.
Dankbar für ein paar Tipps!
bws
ich versuche mich gerade am VPN-Troubleshooting. Dauernd keine Verbindung, aber nun gehts. Soweit so gut. Nur falls das nochmals vorkommt wäre ich gerne besser vorbereitet. Dazu wollte ich mit wireshark den Verkehr überwachen und hoffte zu sehen wo die VPN-Pakete hängen bleiben. Ich habe dazu etwas MrGoogle gefragt. Ich solle mal nach ESP-Paketen suchen. Leider finde ich keine, bzw. werden mir keine angezeigt. Zuerst dachte ich, das wäre halt auch das Problem. "Dummerweise" geht die Verbindung mittlerweile, aber es werde mir noch immer keine ESP-Pakte angezeigt. Daher nun die Fragen an euch:
1.) Ist die Suche nach ESP richtig bei IPSEC/L2TP?
2.) Suche ich bei Wireshark überhaupt richtig? Ich mache eigentlich nur eine Aufzeichnung - starte die VPN-Verbindung und lasse sie mal 2 Minuten laufen - Aufnahmestopp. Nun gebeich im Filter ESP ein. Keine Treffer. Manuelle Suche mit Sortierung der Protokolle in den Suchergebnissen: Keine Treffer.
3.) Vermutlich sowas wie MAC vs Windows: Sollt eman lieber auf OpenVPN mit Zertifikaten setzten oder IPSEC/L2TP mit PSK.
Dankbar für ein paar Tipps!
bws
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 365265
Url: https://administrator.de/forum/wireshark-suche-nach-l2tp-365265.html
Ausgedruckt am: 29.12.2024 um 01:12 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
https://de.wikipedia.org/wiki/IPsec
https://technet.microsoft.com/en-us/library/cc977622.aspx
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
https://www.elektronik-kompendium.de/sites/net/0906191.htm
Gruß,
Peter
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
https://de.wikipedia.org/wiki/IPsec
https://technet.microsoft.com/en-us/library/cc977622.aspx
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
https://www.elektronik-kompendium.de/sites/net/0906191.htm
Leider finde ich keine, bzw. werden mir keine angezeigt.
Nun, zuerst wo werden denn die Datenpakte aufgezeichnet, uf eine Router oder ein PC mit installiertem Wireshark? Wo werden die VPNs Terminiert - auf eine VPN Router oder auf den PC mit installiertem Wireshark?"Dummerweise" geht die Verbindung mittlerweile
Sollte das denn nicht gehen?aber es werde mir noch immer keine ESP-Pakte angezeigt. Daher nun die Fragen an euch:
Wo werden denn nach den Paketen gesucht?Gruß,
Peter
Hallo,
Solange dein Client (Notenbuch) nur in einem LAN per Switch hängt und dort bzw. an dem Switch keinerlei vorkehrung getroffen wurden das alle Netzwerkpakete dorthin kommen, wirst du nur unbeteiligter zuschauer sein. Das ist die Natur eines Switches. Wenn das dort allerdings ein HUB wäre, HUBs sind aber si gut wie nicht mehr erhältlich. Stichwort Portmirror. Die Fritte kann auch das nicht.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt
Nicht jede Fritte kann das.
Gruß,
Peter
Solange dein Client (Notenbuch) nur in einem LAN per Switch hängt und dort bzw. an dem Switch keinerlei vorkehrung getroffen wurden das alle Netzwerkpakete dorthin kommen, wirst du nur unbeteiligter zuschauer sein. Das ist die Natur eines Switches. Wenn das dort allerdings ein HUB wäre, HUBs sind aber si gut wie nicht mehr erhältlich. Stichwort Portmirror. Die Fritte kann auch das nicht.
Geräte hinter einer Fritzbox.
Dann wäre eventuell der Paketmtschnitt auf der Fritte eine möglichkeit deine ESP Pakte zu sehen.https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt
Nicht jede Fritte kann das.
Gruß,
Peter
Ein Klick und die VPN Verbindung geöffnet zeigt Wireshark sofort das:
Eine Bilderbuch IPsec Session mit ESP über den NAT Traversal Port 4500 UDP.
Wo ist also wirklich dein Problem ?!
Vermutlich snifferst du laienhaft irgendwo wo der VPN Datenstrom NICHT durchkommt und siehst nur Broad- und Multicast Pakete im Wireshark, was dann natürlich logisch ist.
Du musst also schon den Wireshark irgendwo lauschen lassen wo der VPN Datenstrom auch logischerweise auch vorbeikommt.
Wenn du Autos zählen sollst die über eine Brücke fahren und du sitzt unter Brücke klappt das doch auch nicht. Das sagt einem doch schon der gesunde Menschenverstand.
Eine Bilderbuch IPsec Session mit ESP über den NAT Traversal Port 4500 UDP.
Wo ist also wirklich dein Problem ?!
Vermutlich snifferst du laienhaft irgendwo wo der VPN Datenstrom NICHT durchkommt und siehst nur Broad- und Multicast Pakete im Wireshark, was dann natürlich logisch ist.
Du musst also schon den Wireshark irgendwo lauschen lassen wo der VPN Datenstrom auch logischerweise auch vorbeikommt.
Wenn du Autos zählen sollst die über eine Brücke fahren und du sitzt unter Brücke klappt das doch auch nicht. Das sagt einem doch schon der gesunde Menschenverstand.
Nicht denken sondern nachdenken !!
Mach dich erstmal kundig wie ein Netzwerk Switch genau funktioniert !!! Ein Switch ist kein Netzwerk Hub wie man das aus der guten alten Steinzeit noch kennt !
https://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)
Er forwardet nur Mac Adress spezifisch. Nur Broad- und Multicasts werden geflutet an alle Ports.
Mach dich erstmal kundig wie ein Netzwerk Switch genau funktioniert !!! Ein Switch ist kein Netzwerk Hub wie man das aus der guten alten Steinzeit noch kennt !
https://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)
Er forwardet nur Mac Adress spezifisch. Nur Broad- und Multicasts werden geflutet an alle Ports.
Dachte gleiches Netz am gleichen Switch reicht.
Wie bereits gesagt: Nicht denken...sondern...