https://www.opennet.ru/openforum/vsluhforumID1/97671.html Добрый день, коллеги.<br>Возникла проблема. необходимо снять дамп с VPN-канала, но в дампе получаю только ответы одной стороны, хотя обмен идёт без проблем в обе стороны.<br><br>Есть сервер на Ubuntu 18.04, на котором поднят libreswan, который коннектится к cisco-вскому VPN, за которым находится сервер приложений<br><br>Сама ubuntu находится за натом в сети 192.168.1.0/24. По VPN ей даётся IP 172.18.13.107/32<br>Этот же сервер должен коннектится к серверу приложений за CISCO, с IP 10.241.24.40<br><br>sudo ipsec auto --status<br>000 "vpnconnection/0x1": 172.18.13.107/32===192.168.1.10&lt;192.168.1.10&gt;[XXX.XXX.XXX.XXX]---192.168.1.1...YYY.YYY.YYY.YYY&lt;YYY.YYY.YYY.YYY&gt;===10.241.24.40/32; erouted; eroute owner: #10585<br>000 "vpnconnection/0x1": oriented; my_ip=172.18.13.107; their_ip=unset; my_updown=ipsec _updown;<br>000 "vpnconnection/0x1": xauth us:none, xauth them:none, my_username=[any]; their_username=[any]<br>000 "vpnconnection/0x1": our auth:secret, their auth:secret<br>000 "vpnconnection/0x1": modecfg info: us:none, them: https://www.opennet.ru/openforum/vsluhforumID1/97671.html#2 Thu, 10 Dec 2020 11:57:43 GMT &gt;[оверквотинг удален]<br>&gt; 0 packets dropped by kernel <br>&gt; user:~$ <br>&gt; И в дампе присутсвуют только ответы от 10.241.24.40. Отправки от самого сервера <br>&gt; - отсуствуют. Т.е. вида <br>&gt; 11:22:03.093748 IP 172.18.13.107.38968 &gt; 10.241.24.40.5001: bla-bla-bla <br>&gt; 11:22:03.093749 IP 10.241.24.40.5001 &gt; 172.18.13.107.38968: bla-bla-bla <br>&gt; нет.<br>&gt; Как правильно оформить дамп, чтобы я видел и то, что шлёт локалный <br>&gt; хост, и ответ от сервера приложений?<br>&gt; PS: доступа к VPN серверу на "той" стороне - нет.<br><br>Скорее всего ассиметрия в маршрутизации -- ответные траф улетает через другой интерфейс.<br> https://www.opennet.ru/openforum/vsluhforumID1/97671.html#1 Mon, 07 Dec 2020 19:48:29 GMT <br>&gt; Как правильно оформить дамп, чтобы я видел и то, что шлёт локалный <br>&gt; хост, и ответ от сервера приложений?<br><br>Там дело не столько в том, как оформить дамп, сколько в том в какой точке (на каком этапе) перехватывает траффик типичный сниффер.<br><br>Когда мне подобное понадобилось, я пользовался этой докой для StrongSwan. Решение не специфично, должно сработать и для LibreSwan:<br>https://wiki.strongswan.org/projects/strongswan/wiki/CorrectTrafficDump<br><br>&gt; Capturing traffic with tcpdump or wireshark by listening on a normal<br>&gt; network interface shows encapslated and decapsulated IPsec traffic<br>&gt; only for inbound traffic. For outbound traffic only the encrypted<br>&gt; traffic is seen. This is because of how the capturing socket used<br>&gt; by the aforementioned tools (or rather libpcap) work.