Se você deseja inspecionar e analisar o tráfego ESP diretamente, sua versão do Wireshark precisa estar vinculada ao libcrypt. Mais detalhes aqui .
Estou tentando solucionar problemas de comunicação entre dois servidores em uma rede do Windows em que o IPSEC está criptografando tudo. Instalei wireshark no servidor de origem e capturei o tráfego no ponto em que a comunicação está falhando, mas além de alguns ARPs e pacotes DNS, tudo o mais que é capturado é um pacote criptografado ESP (Encapsultating Security Payload).
Eu entenderia isso se estivesse fazendo uma captura man-in-the-middle, mas estou na máquina de origem. Existe uma maneira de especificar que o Wireshark capture mais a pilha (após a descriptografia ser concluída)? A máquina de origem é o W2K8R2 em execução como uma VM do Hyper-V, se isso for importante.
Se você deseja inspecionar e analisar o tráfego ESP diretamente, sua versão do Wireshark precisa estar vinculada ao libcrypt. Mais detalhes aqui .
Para responder a minha própria pergunta (ou pelo menos mencionar minha solução), o Netmon é capaz de capturar e analisar o mesmo tráfego sem problemas. Salvei a captura do Netmon e a abri no Wireshark, e tudo ainda aparece como pacotes ESP. Aparentemente o Wireshark não gosta de descriptografar os pacotes. Talvez Netmon use a chave local para fazer isso? Em qualquer caso, a resposta foi usar o Netmon. Não é tão bom para analisar o tráfego, mas ele abre pacotes de ESP se você os capturar de um endpoint.
Você provavelmente só precisa dizer ao Wireshark para capturar na interface virtual fornecida pelo serviço VPN IPSec, em vez de na interface real. Vá para as interfaces de captura > ou para capturar > opções e selecione a interface no menu suspenso.
No Wireshark, vá em Edit / Preferences e expanda a lista Protocol. Encontre ESP na lista e insira suas principais informações.