Подключение камеры Nest к точкам доступа Aruba, поддерживаемым брандмауэром Fortinet
У меня проблемы с подключением камер Nest к моей сети.
Я использую точки доступа Aruba серии 300 и брандмауэр Fortinet (который выполняет маршрутизацию).
Камеры Nest никогда не подключаются, и нет реального способа узнать, что происходит.
Как мне решить эту проблему? Как определить, IP-адреса назначает точка доступа Aruba или маршрутизатор Fortinet?
Я только час пытался понять это. Никто не обсуждал это ни на одном форуме, так что это лучшее место, где можно изложить то, что я выяснил, чтобы следующий парень мог найти его в Интернете.
Если вы хотите предать меня забвению за такую публикацию, продолжайте. Но от одного ИТ-специалиста к другому я бы попросил вас просто проигнорировать это, позволить ему заархивироваться, и позволить следующему, бьющемуся головой, получить шанс наткнуться на него.
У нас есть точки доступа Aruba, и они управляется брандмауэром Fortinet.
Не удалось подключить камеры Nest Cameras. Первоначально я думал, что это будет проблема 2,4 ГГц против 5,0 ГГц, поскольку это часто является проблемой. Но после просмотра системного журнала Arubas и Fortinet я увидел, что Nests получают IP. Это дало мне знать, что Arubas работают нормально.
Итак, вопрос в том, почему приложение Nest сообщает, что не подключается.
После раскопок я увидел, что в веб-фильтре есть блоки. на Fortinet. Блоки были для oculus1390-us1.dropcam.com , или я так думал.
В веб-фильтре ( Журнал и отчет -> Веб-фильтр ) я мог видеть эти происходит блокировка, потому что oculus1390-us1.dropcam.com находится в категории « UnRated », и мы заблокировали это. Итак, я попытался создать переопределение веб-рейтинга ( Профили безопасности -> Переопределение веб-рейтинга ), но он сообщил мне, что домен dropcam был распознанным доменом ( Общие бизнес -> Информационные технологии ).
Так почему же Web Filter сообщает мне, что это UnRated, а Fortinet (FortiGate со стороны разведки) говорит, что это законно?
Потому что я смотрел не в правый столбец. Представление журнала Web Filter помогло мне в некоторой разведке и разрешило IP 104.155.137.34 в домен oculus1390-us1.dropcam.com для меня. Камера Nest на самом деле пыталась поразить этот IP-адрес, а не домен, в который она разрешается. Когда я нахожу этот IP-адрес в рейтинге (либо на их сайте оценок, либо в инструменте переопределения веб-рейтинга, который имеет поиск рейтингов на странице, которая подключается к сайту Fortigate), он, очевидно, возвращается как «UnRated». Итак, возникла моя проблема.
Google в своей безграничной мудрости сделал одно из двух: либо жестко запрограммировал IP-адрес сайта dropcam в самом Nest, либо Nest обращается к отдельному (законному) домену, и камере Nest выдается IP-адрес для поиска (а не доменное имя). Я не возвращался и не смотрел, какие домены поражает Nest, чтобы проверить, не извлекает ли оно другие данные из другого домена, прежде чем пытаться поразить жесткий IP.
Итак, у Google есть DNS-имена для этих IP-адресов, но он предпочитает не использовать используй их. Он просто пытается поразить определенные IP-адреса, которые могут попасть в категорию « UnRated » вашего брандмауэра или могут быть заблокированы другой политикой.
Итак, я создал переопределение веб-рейтингов для IP, установите для него тот же рейтинг, что и предоставленное имя DNS, и камера подключилась.
Но следующая камера не подключилась. Посмотрев еще раз журнал Web Filter, я увидел, что эта камера пытается попасть в 35.221.16.97 .
О, мальчик. Другой конкретный IP-адрес.
Таким образом, если вы подключаете множество камер Nest, у вас есть возможность переопределить тонну пространства IP-адресов, потому что Google фактически не использует имена DNS, привязанные к IP (что позволило бы для удобного оператора разрешения веб-фильтра с подстановочными знаками).
Итак, если вы запускаете брандмауэр и у вас возникают проблемы с подключением Nest к AP в кампусе, проверьте свою политику брандмауэра и посмотрите, не блокируете ли вы UnRated веб-сайты. Если это так, вам нужно будет внести некоторые IP-адреса в белый список, чтобы заставить Nests работать.
Это, очевидно, недосмотр со стороны Google, и это усложняет жизнь тем, кто хочет использовать скромную политику брандмауэра и защитить от вредоносные программы, использующие DNS-имена. Это так же обидно, как и тот факт, что они жестко кодируют IP-адреса своих DNS-серверов Google в своих устройствах, вместо того, чтобы использовать DNS через DHCP.
Вот два IP-адреса, с которыми сталкивались мои образцы Nests, и вот куда они должны были указывать ( к счастью,мой Fortinet уже выполнял некоторые из этих поисков, что меня смущало).
35.221.16.97 - oculus5699-us1.dropcam.com
104.155.137.34 - oculus1390-us1.dropcam.com