Как заставить взаимодействовать оборудование из разных Vlan/Подсетей?

Question

[Only4You]

Добрый день Сэнсэи!
Есть маршрутизатор 3 уровня с виртуальными интерфейсами:
-Vlan 10 - 192.168.10.1/24
-Vlan 20 - 192.168.20.1/24;
Компьютер 192.168.10.2/24 gw 192.168.10.1;
В/камера 192.168.20.2/24 gw 192.168.20.1
Суть проблемы заключается в том, что Комп пингует камеру и заходит на Веб-интерфейс, но приложения CMS, IVMS 4200, Орион Видео Про и пр. её не находят, сканируя сеть автоматически, так же не видят и при ручном вводе IP. Вероятно потому что они сканируют только подсеть адаптера?
Но если камер становится слишком много или есть необходимость "пригнать" поток из другой сети, как быть в данном случае? Неужели хосты нужно держать вместе с в/камерами? Может сталкивался кто-то?

Comments

[nApoBo3]

Сейчас нет возможности проверить ivms, но мне кажется вы путаете сканирование и подключение. Сканирование, оно же поиск камер, выполняется в l2 домене, но вы можете подключить камеру "вручную".

[Only4You]

nApoBo3,

но вы можете подключить камеру "вручную".

Пробовал и ручной ввод в iSpy и Орион про, пишут что ничего не найдено. Вероятно загвоздка где-то ещё

[МихаТроник]

Софт ищет устройства только в локальной сети, через шлюз оно не умеет. Но это не значит, что устройство из другой сети добавить нельзя. Если связь есть и пакеты нормально летают в обе стороны, то препятствий к добавлению камеры в софт нет. Если только нужные порты не заблокированы.
Приложения запускаются на том же компе, с которого камера пингуется и пускает в веб-морду?

[Only4You]

МихаТроник,

Приложения запускаются на том же компе, с которого камера пингуется и пускает в веб-морду?

Да, с того же компа запускаются.
Препятствий нет, но и результата тоже) Порт онвиф 12001 в собственной подсети определяется на ура

[Дмитрий]

есть возможность настройть mirror на порты vlan-ов и помониторить трафик , поглядеть как пакетики бегают - от компа точно запросы проходят через гейт и главное - камера отвечает?

[Only4You]

Дмитрий, Возможность наверное есть, только я вот никогда сниффингом не занимался.
Мне кажется это не тот случай. Пинг проходит - вот нам запрос-ответ. На веб-морду тоже заходит, значит и через гейт проходит. Или я чего-то упускаю?

[МихаТроник]

При правильно настроенной маршрутизации всё должно работать. И раз в веб-морду пускает, то значит и работает. 554-й порт тоже доступен? Можно проверить RTSP-поток, открыв его в VLC.
И ещё один момент - что за камера? Например, в последних прошивках HiWatch/Hikvision протокол ONVIF отключен по умолчанию. Надо его включать и пользователя заводить. С авторизацией тоже не всё гладко. У Dahua тоже, кстати ONVIF отключен. И может дело вовсе не в маршрутизации, а в настройках камеры.
У меня в офисе стоит демо-комп с системой распознавания номеров и находится он в одной сети, а сама камера, с которой идёт картинка - в другой и всё работает.

[Only4You]

МихаТроник,

Можно проверить RTSP-поток, открыв его в VLC

Всё это лишние телодвижения, т.к. если камера и комп в одной подсети - проблем нет. Следовательно проблема с маршрутизацией или настройками сети.

При правильно настроенной маршрутизации всё должно работать.

В этом и вопрос, как её настроить правильно, какие нюансы могут быть?

И ещё один момент - что за камера?

Камера LTV dome, полностью настроенная и рабочая. не там копаем =)

[МихаТроник]

Only4You, ну я ж не экстрасенс, знать, что в локалке с подключением проблем нет. Если с маршрутами всё хорошо, значит что-то с портами. Берёшь telnet, VLC и проверяешь, но раз считаешь, что это лишние телодвижения.. . Хозяин - барин! Удачи!

[Only4You]

МихаТроник,

ну я ж не экстрасенс, знать, что в локалке с подключением проблем нет.

Действительно моё упущение, не указал этого =(

Берёшь telnet, VLC и проверяешь, но раз считаешь, что это лишние телодвижения..

Я даже не сильно понимаю что мне VLC должен показать, поток видео с камеры? Так он есть в одной подсети с ivms и пр программ, а что телнетом делать с камерой даже не представляю.

Хозяин - барин! Удачи!

В любом случае спасибо за участие!
как(если) разберусь - отпишусь)

[МихаТроник]

ну вот... это уже конструктивный диалог... telnet-ом можно проверить доступность порта. Например, можно написать в консоли: telnet 192.168.20.2 80 и если сеанс откроется, значит порт 80 доступен, но это и так знаешь. А проверять надо порт 554 (RTSP) и ONVIF. Если не откроется, то надо разбираться почему. Кстати, может брандмауэр или антивирь блокирует порты при подключении к внешним сетям?

VLC умеет открывать RTSP поток, но для этого надо верно указать RTSP URL. Он разный для разных камер. Если камера LTV, то реальный производитель может может быть Hikvision или Dahua или ещё кто. Для Hikvision и Dahua строки такие:
HikVision/HiWatch:
rtsp://admin:password@192.168.0.100:554/streaming/... — 1-й поток;
rtsp://admin:password@192.168.0.100:554/streaming/... — 2-й поток;
rtsp://admin:password@192.168.200.11:554/ISAPI/Str... — 1-й канал, 1-й поток;
rtsp://admin:password@192.168.200.11:554/ISAPI/Str... — 1-й канал, 2-й поток.

Dahua:
rtsp://admin:password@192.168.1.11/cam/realmonitor... — 1-й канал, 1-й поток;
rtsp://admin:password@192.168.1.11/cam/realmonitor... — 1-й канал, 2-й поток.

[Only4You]

МихаТроник, спасибо, завтра ещё попробую с rtsp поиграться

Answer 1

[mordo445]

Постоянно использую статическую маршрутизацию и разделение камер в подстети с помощью vlan. Поиск камер ПО, проприетарным и мультивендорным, не работает вне своего сегмента сети так как использует механизмы ARP (Hikvision), Multicast/uPnP (Dahua). Но для работы камеры нужна только IP доступность, никакой особой "стартовой информации", которая пройдет только внутри своей подсети нет. Проверьте фаерволы, проверьте маршруты, проверьте правильность шлюзов на камере. Если у вас коммутатор ядра l2+ или l3 то попробуйте перенести междувланную маршрутизацию на него, как у вас там выполнены соединения l2 сети с маршрутизатором не очень понятно.

У меня по 500 камер разных производителей в 10 vlan работают на разном ПО и не жалуются. А если сваливать их в одну сеть, то получается широковещательная задница, там до 20% паразитного ШВ трафика, секурос например от такого начинает картинками мелькать

Comments

[mordo445]

Увидел сейчас в вашем комментарии, что сеть плоская, коммутаторы L2 и один маршрутизатор. У вас по одному физическому порту из каждого vlan в сторону маршрутизатора или один транк со всеми vlan? Что там за маршрутизатор и как на нем настроена маршрутизация? Я решение таких проблем начинаю с рисования схемы сети и с написания табличек)

[Only4You]

mordo445, добрый вечер.
Каждый порт это транк со всеми влан.

Что там за маршрутизатор и как на нем настроена маршрутизация?

Aruba FlexNetwork 5130. Каждому Влану создан виртуальный интерфейс, например 10 и 20влан. 192.168.10.53/24 гв 192.168.10.1(вирт инт) и 192.168.20.18 гв 192.168.20.1(вирт инт). При этом хост *10.53 снюхается с *20.18. Но с добавлением камер по ПОшкам прям беда.
брандмауэр отключил

[mordo445]

Ага, ваш маршрутизатор это L3 свитч. Всё должно быть хорошо, что у вас не работает совсем непонятно, такое только ковырять руками, что бы понять что не так

[Only4You]

mordo445, поделитесь секретом, Вы 500 камер держите в 10м Влане в разных подсетях я так понимаю? А какой адрес шлюза указан при этом? Если можно немного подробней)

[mordo445]

нет, не в 10-м, а в 10-и разных) извините за неточность. Как планируется у нас сеть под видеонаблюдение, обычно:
топология collapsed core, в качестве ядра коммутатор L2+ (недорогой, какой нибудь 37-й Zyxel)
Если требований к резервированию нет, то по одному аплинку к коммутаторам доступа, если есть, то стек и агрегированные аплинки, но это редкость, обчыно кроят.
На ядре создаются vlan, которые будут использованы, добавляются в нужные транки или во все сразу, если заранее непонятно что куда.
Создаются сети, каждому vlan на ядре присваивается свой ip адрес, он будет для всей сети шлюзом. Две сети в одном vlan никогда не держим, лучше нарезать больше vlan и сетей.
Создаем еще один vlan и туда добавляем адрес ядру, и заносим этот адрес в разрешенный для менеджмента, из этой сети никуда маршрутов не делаем, или по желанию.
В завершение создаются статические маршруты (на некоторых свичах -- по умолчанию)из каждой сети в каждую.
На свичах доступа аплинк объявляется транком, в него добавляются менеджмент vlan и vlan его камер, ну или все сразу. IP-интерфейс у этих свичей смотрит только в менеджмент vlan, и никак больше не используется, кроме как для настройки. Выставляем камерам адреса подсети соответствующей ее vlan, шлюзом указываем ip адрес ядра для этой подсети. И теперь всё работает.
Ничего особенного мы не делаем, всё обычно и тривиально. Вот на подходе у меня гиперконвергентная сеть с применением 802.1x, dhcp spoofing и прочих ip sec штук, во там будет интересно.
Что нужно что бы всё работало: внимательно следить за масками подсетей, по неопытности люди устанавливают /16 или /8 маску и недоуменно спрашивают, почему из 10.1.10.0 не работает маршрут в 10.1.1.0. Наладку любой большой сетевой системы начинать с эксель-таблицы и карандашных рисунков (ну или в cad). Держать (r/m)stp наготове под рукой. Не строить сеть в 400+ устройств без snmp менеджмента, по возможности. Не покупать dell powerconnect. И planet. Не записывать пароли мелом на стену в кроссовой. Не давать Владу пароль от ядра

[mordo445]

С внешними сетями все коммуникации через фаервол, обчно уже есть в проекте, или ставим какой нибудь маленький atp, а то камеры неизбежно будут майнить -- атака на цепочки поставок при автообнолении и shodan

[Only4You]

mordo445, до фразы гиперконвергентная сеть всё вроде понял, а дальше как будто примеры с буквами ^_^ спасибо!

Answer 2

[radioactivetoy]

В целом все камеры работают с ПО или по своим протоколам (соответственно со своим dedicated software ) или если с другими VMS, то по общепринятым , это зачастую rtsp или onvif.
Например дата порт для протокола Hikvision это 8100 или иногда 8000, их же IVMS 4200 работает как раз по ним.

В общем все что тут нужно сделать, это как уже выше писали, убедиться что необходимые для работы порты открыты и пропускают через себя данные. А какие это порты зависит от метода добавления (протокола).

Comments

[Only4You]

А какие это порты зависит от метода добавления (протокола).

Порты обычно указаны в настройках камер, так?

убедиться что необходимые для работы порты открыты и пропускают через себя данные.

Если в одной подсети все порты открыты, т.к. проблем нет, то в другой они могут быть закрыты или чем-то заблокированы? Как это можно проверить?

[radioactivetoy]

Порты обычно указаны в настройках камер, так?

зачастую да, в веб интерфейсе имеется вкладка для их изменения и соответственно видно какой дефотлтный

Если в одной подсети все порты открыты, т.к. проблем нет, то в другой они могут быть закрыты или чем-то заблокированы? Как это можно проверить?

да обычной проверкой доступности порта, например powershell tnc 192.168.1.100 -p 8100

Answer 3

[Zerg89]

Предположу что между подсетями firewall с пробросом портов, т.е надо открыть доступ по порту onvif в другую подсеть, возможно ещё и nat на gw подсети

Comments

[Only4You]

Вообще никакой защиты, сеть изолирована.
Просто звезда из коммутаторов l2 в маршрутизатор l3 с несколькими vlan

Answer 4

[Only4You]

МихаТроник, Что нам понедельник преподнес. Перво наперво отключил брандмауэр, ничего не изменилось.. Пропущу неинтересную часть. Теперь интересная
Нашел хиковскую камеру, настроил её "рядом" с ЛТВшной. Автоматический поиск в Орионе так и не нашёл ничего, НО сняв галку с Onvif и вбив адрес вручную я смог добавить её в систему и указать производителя. Вуолля хиковская камера *.20.3 завелась на орионе *.10.2. Но это Хик, а ЛТВ в списке вендоров болида просто нет.. Пробовал перебирать модели хика для ЛТВ - ничего.. Изменение маски на /21 плодов тоже не принесло.
Знаете как получилось завести Хик? При инициализации камеры в подсети Болида, вендор ЛТВ определяется автоматически, камера заводится. Потом возвращаем камеру в 20 Влан и исправляем в Орионе адрес ранее инициированной камеры из 10 Влана на *20.2 и она заводится..
Цель достигнута, но мне почему-то кажется что это "удаление гланд через задницу" и всё должно быть как-то проще. К тому же это решение только с болидом, а как же CMS, IVMS и пр софт.
Есть люди у которых сервера и камеры в разных Воланах работают нормально?

Comments

[МихаТроник]

мне почему-то кажется что это "удаление гланд через задницу"

Так и есть. Скорее всего дело в том, что софт и камера не могут обменяться стартовой информацией. Там же как происходит - софт коннектится к камере и камера сообщает по каким портам и что она будет передавать. У нативного протокола порт один, у универсального ONVIF - другой. А точно ONVIF порт указан верно?

[Only4You]

А точно ONVIF порт указан верно?

В камере указан, в ПО его негде указывать. В одной подсети подхватывается в один клик, в разных - геморрой. Я подозреваю беду с настройкой маршрутизации, т.к. это первый опыт без практических знаний, мануала на мой l3 нет. Вероятно коряво настроил или какую-нить галку не поставил и порты блокируются или ещё чего-то.

[МихаТроник]

Only4You, порт ONVIF 12001 какой-то странный. Что за модель камеры и в каком софте используешь? IVMS-4200? Хочу у себя поэкспериментировать.

[Only4You]

МихаТроник, 12001 ltv стационарки на 4Мп, если не ошибаюсь, завтра уточню.
Кстати с VLC и через Орион удалось снять RSTP поток, правда через орион криво и через раз. Подумываю маской широковещательный домен расширить, ибо эти пляски с бубном уже достали

[Andrey Lutsenko]

Only4You,

Подумываю маской широковещательный домен расширить, ибо эти пляски с бубном уже достали

Удачи :) Забивать общую сетку трафиком видео - само то :)

[Only4You]

Andrey Lutsenko, Не общую это сетка чисто видяшная. в /24 не влезаем просто)

[Only4You]

МихаТроник, Ltv-CNE-642-58 12001 порт