<table cellspacing="0" cellpadding="0" border="0" ><tr><td valign="top" style="font: inherit;"><DIV> </DIV>
<DIV>Hi Martin,</DIV>
<DIV>      It worked. Thanks for your great help!</DIV>
<DIV> </DIV>
<DIV>Best Regards,</DIV>
<DIV>Jessie<BR><BR>--- <B>10/8/10 (二)，Martin Willi <I><martin@strongswan.org></I></B> 寫道：<BR></DIV>
<BLOCKQUOTE style="BORDER-LEFT: rgb(16,16,255) 2px solid; PADDING-LEFT: 5px; MARGIN-LEFT: 5px"><BR>寄件者: Martin Willi <martin@strongswan.org><BR>主旨: Re: [strongSwan] Decryption of ESP packets with Wireshark<BR>收件者: "Jessie Liu" <iamnotjessie@yahoo.com.tw><BR>副本: users@lists.strongswan.org<BR>日期: 2010年8月10日,二,下午7:30<BR><BR>
<DIV class=plainMail>Hi Jessie,<BR><BR>> Is it correct to fill the two fields with CK and IK?<BR><BR>If you are referring to the encryption and integrity keys CK/IK from<BR>EAP-AKA authentication, definitely not.<BR><BR>> If not, what should I fill out to get ESP packets decrypted?<BR><BR>IKE uses a Diffie-Hellman exchange to derive keys used for IKE and ESP<BR>with perfect forward secrecy. You can increase the debug level of the<BR>IKE daemon to log the key derivation process. But it is probably simpler<BR>to use the "ip" utility to extract the keys from the kernel. Try "ip<BR>xfrm state".<BR><BR>Regards<BR>Martin<BR><BR></DIV></BLOCKQUOTE></td></tr></table><br>