1. ESP报文解密
(1) IPSec对等体连接完毕后在服务器输入 sudo ip xfrm state 可以看到源地址到目的地址的SPI值,加密/认证算法、加密/认证密钥等。
(2) Wireshark点击ESP报文协议首选项 -》选择ESP字段-》点击ESP SAs -》 添加两条IPv4协议的解密规则,输入两个方向的SPI值,选择加密/认证算法,加密/认证密钥,点击OK即可。
2.ISAKMP报文解密
(1)ISAKMP报文加密密钥需要在服务器Strongwan的日志中查看,默认的存放在/var/log/syslog中,但不会显示加密密钥,需要手动设置日志路径,并把日志等级设置为4.
修改strongwan配置文件,/etc/strongwan.conf 内容如下:
charon {
load_modular = yes
plugins {
include strongswan.d/charon/*.conf
}
filelog {
charon {