Подключение камеры Nest к точкам доступа Aruba (AP), поддерживаемым межсетевым экраном Fortinet

Question

Подключение камеры Nest к точкам доступа Aruba (AP), поддерживаемым межсетевым экраном Fortinet

У меня проблемы с подключением камер Nest к моей сети.

Я использую точки доступа Aruba серии 300 и брандмауэр Fortinet (который выполняет маршрутизацию).

Камеры Nest никогда не подключаются, и нет реального способа узнать, что происходит.

Как мне решить эту проблему? Как определить, назначает ли IP-адрес Aruba AP или маршрутизатор Fortinet?

3

ip google access-point fortinet aruba

Источник

jasonmclose 26 янв '19 в 22:58

1 ответ

Решение

Другие вопросы по тегам ip google access-point fortinet aruba

jasonmclose 26 янв '19 в 22:58 2019-01-26 22:58 · Accepted Answer · 2019-01-26 22:58

Я просто потратил час, пытаясь понять это. Никто не обсуждал ни на одном форуме, так что это лучшее место, где можно найти то, что я выяснил, чтобы его можно было найти в Интернете для следующего парня.

Если вы хотите отрицать, что я забыл об этом, продолжайте. Но от одного айтишника к другому я бы попросил вас просто проигнорировать это, позволить ему архивировать, и пусть следующий парень, ударившись головой, сможет наткнуться на него.

Мы используем точки доступа Aruba, и они управляются межсетевым экраном Fortinet.

Нам не удалось подключить камеры Nest. Первоначально я думал, что это будет проблема 2,4 ГГц против 5,0 ГГц, поскольку это часто проблема. Но после просмотра системного журнала Arubas и Fortinet, я увидел, что Гнезда получают IP. Это дало мне знать, что Арубас работал нормально.

Поэтому вопрос в том, почему приложение Nest говорит, что оно не подключается.

После копания я увидел, что в Web Filter на фортинет. Блоки были для oculus1390-us1.dropcam.com или так я думал.

В веб-фильтре (Log & Report -> Web Filter), Я мог видеть, что эти блоки происходят, потому что oculus1390-us1.dropcam.com был в категории " UnRated ", и мы заблокировали его. Поэтому я попытался создать переопределение веб-рейтинга (Security Profiles -> Web Rating Overrides), но он говорил мне, что домен dropcam был признанным доменом (General Business -> Information Technology).

Так почему веб-фильтр говорит мне, что это UnRated, а Fortinet (FortiGate со стороны разведки) говорит, что это законно?

Потому что я не смотрел на правильный столбец. Просмотр журнала веб-фильтра занимался для меня определенным анализом и разрешал IP 104.155.137.34 в домен oculus1390-us1.dropcam.com для меня. Камера Nest фактически пыталась получить доступ к тому IP, а не к домену, к которому она относится. Когда я просматриваю этот IP-адрес в рейтинге (либо на их сайте оценок, либо в инструменте переопределения рейтинга веб-сайтов, у которого есть поиск оценок на странице, которая подключается к сайту Fortigate), он, очевидно, возвращается как "UnRated". Так возникла моя проблема.

Google, в своей бесконечной мудрости, сделал одну из двух вещей: либо жестко запрограммировал IP-адрес сайта dropcam в самом Nest, либо Nest обращается к отдельному (законному) домену, а камере Nest выдан IP-адрес. для поиска (а не доменное имя). Я не вернулся и не посмотрел, какие домены использует Nest, чтобы узнать, извлекает ли он другие данные из другого домена, прежде чем пытаться получить жесткий IP.

Таким образом, у Google есть DNS-имена для этих IP-адресов, но они предпочитают не использовать их. Он просто пытается поразить определенные IP-адреса, которые могут попасть в UnRated на вашем брандмауэре или может быть заблокирована другой политикой.

Поэтому я создал переопределение веб-рейтинга для IP-адреса, установил для него ту же оценку, что и для предоставленного DNS-имени, и подключил камеру.

Но следующая камера не подключалась. Посмотрев журнал Web Filter снова, я увидел, что эта камера пытается 35.221.16.97,

О, парень. Еще один конкретный IP.

Поэтому, если вы подключаете множество камер Nest, у вас есть возможность переопределить тонну пространства IP-адресов, потому что Google фактически не использует DNS-имена, привязанные к IP (что позволило бы использовать удобный шаблонный веб-фильтр Разрешить заявление).

Поэтому, если вы запускаете брандмауэр и у вас возникают проблемы с подключением Nest к точкам доступа вашего кампуса, проверьте политику брандмауэра и посмотрите, не блокируете ли вы UnRated веб-сайты. Если это так, вам понадобится создать белый список IP-адресов, чтобы заставить Nests работать.

Это явно упущение со стороны Google, и оно усложняет жизнь тем, кто хочет использовать скромную политику брандмауэра и защищать от вредоносных программ, передаваемых по DNS-именам. Это усугубляет тот факт, что они жестко кодируют IP-адреса своих DNS-серверов Google на своих устройствах вместо того, чтобы брать DNS через DHCP.

Вот два IP-адреса, на которые попали мои образцы Nests, и вот где они должны были указывать (к счастью, мой Fortinet уже выполнял некоторые из этих поисков, что меня смущало).

35.221.16.97 - oculus5699-us1.dropcam.com
104.155.137.34 - oculus1390-us1.dropcam.com