Você está enganado que o tcpdump opera na camada 4. Ele reteve o nome de décadas atrás, mas até o modo padrão mostrará o cabeçalho IP L3 (que é as "informações de roteamento") ). Adicione -n para desativar as pesquisas de DNS e mostrar endereços IP numéricos brutos. Adicione -e para mostrar também o cabeçalho da camada de enlace (com endereços MAC L2, tags de VLAN, etc.)
A única coisa que não podemos fazer é monitorar várias interfaces de uma vez - você precisa ter várias janelas, uma interface cada. (O Wireshark gráfico suporta a captura multi-interface).