beamenwaerschoen
Goto Top

Wireshark Suche nach L2TP

Hallo,

ich versuche mich gerade am VPN-Troubleshooting. Dauernd keine Verbindung, aber nun gehts. Soweit so gut. Nur falls das nochmals vorkommt wäre ich gerne besser vorbereitet. Dazu wollte ich mit wireshark den Verkehr überwachen und hoffte zu sehen wo die VPN-Pakete hängen bleiben. Ich habe dazu etwas MrGoogle gefragt. Ich solle mal nach ESP-Paketen suchen. Leider finde ich keine, bzw. werden mir keine angezeigt. Zuerst dachte ich, das wäre halt auch das Problem. "Dummerweise" geht die Verbindung mittlerweile, aber es werde mir noch immer keine ESP-Pakte angezeigt. Daher nun die Fragen an euch:

1.) Ist die Suche nach ESP richtig bei IPSEC/L2TP?

2.) Suche ich bei Wireshark überhaupt richtig? Ich mache eigentlich nur eine Aufzeichnung - starte die VPN-Verbindung und lasse sie mal 2 Minuten laufen - Aufnahmestopp. Nun gebeich im Filter ESP ein. Keine Treffer. Manuelle Suche mit Sortierung der Protokolle in den Suchergebnissen: Keine Treffer.

3.) Vermutlich sowas wie MAC vs Windows: Sollt eman lieber auf OpenVPN mit Zertifikaten setzten oder IPSEC/L2TP mit PSK.

Dankbar für ein paar Tipps!

bws

Content-ID: 365265

Url: https://administrator.de/contentid/365265

Ausgedruckt am: 25.11.2024 um 22:11 Uhr

Pjordorf
Pjordorf 19.02.2018 um 21:11:33 Uhr
Goto Top
Hallo,

Zitat von @beamenwaerschoen:
Ich solle mal nach ESP-Paketen suchen.
https://de.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
https://de.wikipedia.org/wiki/IPsec
https://technet.microsoft.com/en-us/library/cc977622.aspx
https://wiki.mikrotik.com/wiki/Manual:Interface/L2TP
https://www.elektronik-kompendium.de/sites/net/0906191.htm


Leider finde ich keine, bzw. werden mir keine angezeigt.
Nun, zuerst wo werden denn die Datenpakte aufgezeichnet, uf eine Router oder ein PC mit installiertem Wireshark? Wo werden die VPNs Terminiert - auf eine VPN Router oder auf den PC mit installiertem Wireshark?

"Dummerweise" geht die Verbindung mittlerweile
Sollte das denn nicht gehen?

aber es werde mir noch immer keine ESP-Pakte angezeigt. Daher nun die Fragen an euch:
Wo werden denn nach den Paketen gesucht?

Gruß,
Peter
beamenwaerschoen
beamenwaerschoen 20.02.2018 aktualisiert um 09:30:13 Uhr
Goto Top
Die Aufzeichnung findet auf einem Notebook statt, dass per WLAN am Netzwerk hängt, an dem auch der VPN-Server angeschlossen ist. Beide als einzige Geräte hinter einer Fritzbox. Das VPN-Signal wird per Android-Handy per Datenverkehr gesendet, und baut ja die Verbindung auch auf.

Gruß

bws
quax08
quax08 20.02.2018 um 10:18:53 Uhr
Goto Top
Hey,
Du musst natürlich auch Wireshark auf einem Interface hören lassen was bei dem Datenverkehr für VPN beteiligt ist bzw wo die Daten drüber gehen! Also entweder Router oder dem Server- Interface!!!
Die Anfragen bzw die Pakete gehen ja zum Server, dein Laptop bekommt davon doch nichts mit!

Gruß
Pjordorf
Pjordorf 20.02.2018 aktualisiert um 10:34:46 Uhr
Goto Top
Hallo,

Zitat von @beamenwaerschoen:
Die Aufzeichnung findet auf einem Notebook statt, dass per
Solange dein Client (Notenbuch) nur in einem LAN per Switch hängt und dort bzw. an dem Switch keinerlei vorkehrung getroffen wurden das alle Netzwerkpakete dorthin kommen, wirst du nur unbeteiligter zuschauer sein. Das ist die Natur eines Switches. Wenn das dort allerdings ein HUB wäre, HUBs sind aber si gut wie nicht mehr erhältlich. Stichwort Portmirror. Die Fritte kann auch das nicht.

Geräte hinter einer Fritzbox.
Dann wäre eventuell der Paketmtschnitt auf der Fritte eine möglichkeit deine ESP Pakte zu sehen.
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
https://avm.de/service/fritzbox/fritzbox-7490/wissensdatenbank/publicati ...
http://www.wehavemorefun.de/fritzbox/Paketmitschnitt
Nicht jede Fritte kann das.

Gruß,
Peter
aqui
aqui 20.02.2018 aktualisiert um 16:14:06 Uhr
Goto Top
Ein Klick und die VPN Verbindung geöffnet zeigt Wireshark sofort das:

esp

Eine Bilderbuch IPsec Session mit ESP über den NAT Traversal Port 4500 UDP.
Wo ist also wirklich dein Problem ?!

Vermutlich snifferst du laienhaft irgendwo wo der VPN Datenstrom NICHT durchkommt und siehst nur Broad- und Multicast Pakete im Wireshark, was dann natürlich logisch ist.
Du musst also schon den Wireshark irgendwo lauschen lassen wo der VPN Datenstrom auch logischerweise auch vorbeikommt.
Wenn du Autos zählen sollst die über eine Brücke fahren und du sitzt unter Brücke klappt das doch auch nicht. Das sagt einem doch schon der gesunde Menschenverstand.
beamenwaerschoen
beamenwaerschoen 21.02.2018 um 22:28:30 Uhr
Goto Top
Sorry für mein Unwissen. Ich dachte ein Switch schickt jedem quasi einmal ales vorbei. Dachte gleiches Netz am gleichen Switch reicht. Sorry.

Gesnifft und gefunden. DANKE an alle.
aqui
aqui 22.02.2018 um 09:09:01 Uhr
Goto Top
Nicht denken sondern nachdenken !!
Mach dich erstmal kundig wie ein Netzwerk Switch genau funktioniert !!! Ein Switch ist kein Netzwerk Hub wie man das aus der guten alten Steinzeit noch kennt !
https://de.wikipedia.org/wiki/Switch_(Netzwerktechnik)
Er forwardet nur Mac Adress spezifisch. Nur Broad- und Multicasts werden geflutet an alle Ports.
Dachte gleiches Netz am gleichen Switch reicht.
Wie bereits gesagt: Nicht denken...sondern... face-wink