Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to use tcpdump on IPsec tunnel with ASG V8?

Astaro V8 is using Kernel 2.6 with OpenSWAN 2.2 which does not provide any ipsec0, ipsec1 and so on interfaces anymore. So you can't use tcpdump to take a look on decrypted packet in the tunnel as it was possible in Astaro V7 with "tcpdump -i ipsec0" for instance. With V8 you can only see the encrypted packets on the corresponding normal interface with "tcpdump -i eth0" or whatever interface is used for you IPsec tunnel as shown by the routing tables with "netstat -r".

One important use case why you want to take a look into the decrypted packets of an IPsec tunnel is to check for correct SNAT or DNAT rules being applied. Maybe there is another method to get this information?


This thread was automatically locked due to age.
Parents
  • ...no answers for tcpdump on IPSec tunnel?

    I'm interested too....
  • ...anyway there is a way to sniff the tunneled traffic.

    Suppose we have this configuration:

    -Internet/tunnel--eth0--ASG--eth1---LAN

    you can sniff the traffic to/from an host on LAN on eth1:

    tcpdump -i eth1 host  -w /tmp/sniff.pcap
  • ...anyway there is a way to sniff the tunneled traffic.


    Not completely, I miss one important use case as I wrote above, as I want to make sure a packet is routed over the encrypted channel and not over the non-encrypted internet connection:

    "One important use case why you want to take a look into the decrypted packets of an IPsec tunnel is to check for correct SNAT or DNAT rules being applied. Maybe there is another method to get this information?"
Reply
  • ...anyway there is a way to sniff the tunneled traffic.


    Not completely, I miss one important use case as I wrote above, as I want to make sure a packet is routed over the encrypted channel and not over the non-encrypted internet connection:

    "One important use case why you want to take a look into the decrypted packets of an IPsec tunnel is to check for correct SNAT or DNAT rules being applied. Maybe there is another method to get this information?"
Children
  • My example wanted to "solve" the common sniff need (just used today).

    Not completely, I miss one important use case as I wrote above, as I want to make sure a packet is routed over the encrypted channel and not over the non-encrypted internet connection:


    Could you explain better? what is your configuration?
    A packect, coming from your LAN, is routed to the tunnel if the destination IP is on the remote LAN range, or to other interfaces if explicitly specified on the routing table (static o dynamic).

    If your need is to know if a SNAT o DNAT rule is used by your traffic simply enble the "Log initial packets".

    Let me know...