<span style="font-family:arial,helvetica,sans-serif">Hi Guys,</span><br style="font-family:arial,helvetica,sans-serif"><br style="font-family:arial,helvetica,sans-serif"><span style="font-family:arial,helvetica,sans-serif">I can easily decrypt ESP packets but I also wanted to decrypt ISAKMP phase 1 encrypted packets. I asked the same question on Wireshark forum and got a really nice response here:<a href="http://ask.wireshark.org/questions/12019/how-can-i-decrypt-ikev1-packets">http://ask.wireshark.org/questions/12019/how-can-i-decrypt-ikev1-packets</a></span><br style="font-family:arial,helvetica,sans-serif">
<br style="font-family:arial,helvetica,sans-serif"><span style="font-family:arial,helvetica,sans-serif">The problem is I cannot seem to find the encryption key for phase 1. I was asked to do this:</span><br style="font-family:arial,helvetica,sans-serif">
<p style="font-family:arial,helvetica,sans-serif">Look for <strong>ICOOKIE</strong> and <strong>enc key</strong> in the Pluto debug log. </p>
<pre style="font-family:arial,helvetica,sans-serif">gw205:/# ps auxww | grep pluto
root     24522  0.0  0.3  12572  3488 ?        Ss   15:46   0:00 /usr/libexec/ipsec/pluto --nofork --debug-raw <b>--debug-crypt</b> --debug-parsing --debug-emitting --debug-control --nocrsend --nat_traversal --keep_alive 60<br>
<br>I cannot find enc key in the /var/log/messages file, any idea where I can find this ? The enc key is needed for the decryption of ISAKMP packets in WireShark<br><br>Also this is a lab test :)<br><br>Thanks<br>Chetan<br>
</pre><br style="font-family:arial,helvetica,sans-serif">