У меня возникли проблемы с подключением камер Nest к сети.
Я использую точки доступа Aruba серии 300 и брандмауэр Fortinet (который выполняет маршрутизацию).
Камеры Nest никогда не подключаются, и нет реального способа узнать, что происходит.
Как мне решить эту проблему? Как определить, назначает ли IP-адрес точка доступа Aruba или маршрутизатор Fortinet?
Я просто потратил час, пытаясь понять это. Никто не обсуждал это ни на одном форуме, так что это лучшее место, чтобы изложить то, что я выяснил, чтобы следующий парень мог найти его в Интернете.
Если вы хотите предать меня забвению за такую публикацию, продолжайте. Но от одного ИТ-специалиста к другому я бы попросил вас просто проигнорировать это, позволить архивировать и позволить следующему парню, бьющемуся головой, получить шанс наткнуться на это.
У нас есть точки доступа Aruba, которые управляются брандмауэром Fortinet.
Не удалось подключить камеры Nest. Первоначально я думал, что это будет проблема 2,4 ГГц против 5,0 ГГц, поскольку это часто является проблемой. Но после просмотра системного журнала Arubas и Fortinet я увидел, что Nests получают IP. Это дало мне понять, что Arubas работают нормально.
Итак, вопрос в том, почему приложение Nest сообщает, что не подключается.
Покопавшись, я увидел, что в Web Filter на Fortinet. Блоки были для oculus1390-us1.dropcam.comПо крайней мере, я так думал.
В веб-фильтре (Log & Report -> Web Filter), Я мог видеть эти блоки, потому что oculus1390-us1.dropcam.com был в 'Без оценкикатегория, и у нас это заблокировано. Поэтому я попытался создать переопределение веб-рейтинга (Security Profiles -> Web Rating Overrides), но он говорил мне, что домен dropcam был распознанным доменом (General Business -> Information Technology).
Так почему же Web Filter сообщает мне, что это без рейтинга, а Fortinet (FortiGate со стороны разведки) утверждает, что это нормально?
Потому что я смотрел не на правую колонку. Представление журнала веб-фильтра помогало мне в некоторой разведке и разрешало IP-адрес. 104.155.137.34 в домен oculus1390-us1.dropcam.com для меня. Камера Nest на самом деле пыталась поразить этот IP-адрес, а не домен, в который она разрешается. Когда я ищу этот IP-адрес в рейтинге (либо на их сайте оценок, либо в инструменте переопределения веб-рейтинга, который имеет поиск рейтингов на странице, которая подключается к сайту Fortigate), он, очевидно, возвращается как «UnRated». Итак, была моя проблема.
Google в своей бесконечной мудрости сделал одно из двух: либо жестко запрограммировал IP-адрес сайта dropcam в самом Nest, либо Nest обращается к отдельному (законному) домену, а камере Nest выдается IP-адрес. для поиска (а не доменное имя). Я не возвращался и не смотрел, какие домены поражает Nest, чтобы увидеть, не извлекает ли оно другие данные из другого домена, прежде чем пытаться поразить жесткий IP.
Итак, у Google есть DNS-имена для этих IP-адресов, но он предпочитает не использовать их. Он просто пытается поразить определенные IP-адреса, которые могут попасть в 'UnRated'в вашем брандмауэре, или может быть заблокирован другой политикой.
Поэтому я создал переопределение веб-рейтингов для IP-адреса, установил для него тот же рейтинг, что и предоставленное DNS-имя, и подключил камеру.
Но следующую камеру не подключил. Посмотрев снова журнал веб-фильтра, я увидел, что эта камера пытается попасть 35.221.16.97.
О, парень. Другой конкретный IP.
Поэтому, если вы подключаете множество камер Nest, у вас может возникнуть необходимость переопределить тонну пространства IP-адресов, потому что Google фактически не использует DNS-имена, привязанные к IP (что позволило бы использовать удобный веб-фильтр с подстановочными знаками. заявление).
Поэтому, если вы используете брандмауэр и у вас возникают проблемы с подключением Nest к точкам доступа в кампусе, проверьте свою политику брандмауэра и посмотрите, не блокируете ли вы UnRated веб-сайты. Если это так, вам нужно будет внести некоторые IP-адреса в белый список, чтобы заставить Nests работать.
Это, очевидно, упущение со стороны Google, и это усложняет жизнь тем, кто хочет использовать скромную политику брандмауэра и защищаться от вредоносных программ, вводимых DNS-именами. Это так же обидно, как и тот факт, что они жестко кодируют IP-адреса своих DNS-серверов Google в своих устройствах вместо того, чтобы использовать DNS через DHCP.
Вот два IP-адреса, с которыми сталкивались мои образцы Nests, и вот куда они должны были указывать (к счастью, мой Fortinet уже выполнял некоторые из этих поисков, что меня смущало).
35.221.16.97 - oculus5699-us1.dropcam.com
104.155.137.34 - oculus1390-us1.dropcam.com