web-dev-qa-db-ja.com

フォーティネットファイアウォールに支えられたArubaアクセスポイント(AP)へのNestカメラの接続

Nestカメラをネットワークに接続できません。

Aruba 300シリーズアクセスポイントとフォーティネットファイアウォール(ルーティングを実行しています)を実行しています。

Nestカメラが接続されることはなく、何が起こっているのかを実際に入力する方法はありません。

この問題を解決するにはどうすればよいですか? IPを割り当てているのがArubaAPなのかフォーティネットルーターなのかを判断するにはどうすればよいですか?

3
jasonmclose

私はこれを理解しようとして1時間過ごしました。誰もフォーラムで議論したことがなかったので、これは私が理解したことを置いて、次の人のためにインターネットで検索できるようにするのに最適な場所です。

このような投稿の忘却に私を反対票を投じたい場合は、先に進んでください。しかし、あるIT担当者から別の担当者まで、これを無視してアーカイブし、次の人が頭を叩く機会を与えてください。

Arubaアクセスポイントを実行しており、それらはフォーティネットファイアウォールによって管理されています。

NestCameraを接続できませんでした。私は当初、これは2.4GHz対5.0GHzの問題になると思っていました。これは、しばしば問題になるためです。しかし、ArubasとFortinetの両方のsyslogを見た後、NestがIPを取得していることがわかりました。 それは私にArubasがうまく働いていたことを知らせました。

問題は、Nestアプリが接続されていないと言う理由です。

掘った後、フォーティネットのWeb Filterにブロックがあることがわかりました。ブロックはoculus1390-us1.dropcam.com用だったので、と思いました。

Webフィルタ(Log & Report -> Web Filter)では、oculus1390-us1.dropcam.comが 'nRated'カテゴリに含まれていたため、これらのブロックが発生していることがわかりました。そこで、Web Rating Override(Security Profiles -> Web Rating Overrides)を作成しようとしましたが、dropcamドメインが認識されたドメイン(General Business -> Information Technology)であると表示されていました。

Web FilterがこれがUnRatedであると言っているのに、フォーティネット(インテリジェンス側のFortiGate)が正当だと言っているのはなぜですか?

右の列を見ていなかったからです。 Webフィルタログビューは私のためにいくつかのインテリジェンスを実行していて、IP 104.155.137.34をドメインoculus1390-us1.dropcam.comに解決していました。 Nestカメラは、解決先のドメインではなく、実際にそのIPにアクセスしようとしていました。レーティングでそのIPを検索すると(レーティングサイト、またはFortigateサイトに接続するページでレーティングルックアップがあるWebレーティングオーバーライドツール内で)、明らかに「未評価」として返されます。だから私の問題がありました。

Googleは、その無限の知恵の中で、dropcamサイトのIPをNest自体にハードコーディングするか、Nestが別の(正当な)ドメインに連絡し、NestカメラにIPが発行されるかのいずれかを実行しました。 (ドメイン名ではなく)ルックアップ用。ハードIPにアクセスする前に、Nestが別のドメインから他のデータをプルしているかどうかを確認するために、戻ってNestがヒットしているドメインを確認しませんでした。

したがって、GoogleはこれらのIPのDNS名を持っていますが、それらを使用しないことを選択しています。特定のIPにアクセスしようとしているだけです。これは、ファイアウォールの「UnRated」カテゴリに分類されるか、別のポリシーによってブロックされている可能性があります。

そこで、IPのWebレーティングオーバーライドを作成し、提供されたDNS名と同じレーティングに設定し、カメラを接続しました。

ただし、次のカメラは接続されませんでした。 Webフィルタログを再度確認したところ、このカメラが35.221.16.97をヒットしようとしていることがわかりました。

おやおや。別の特定のIP。

したがって、多数のNestカメラを接続している場合、Googleは実際にはIPに関連付けられたDNS名を使用していないため、大量のIPアドレス空間をオーバーライドする必要がある可能性があります(これにより、便利なワイルドカードWebフィルターが可能になります。ステートメント)。

したがって、ファイアウォールを実行していて、NestをキャンパスAPに接続する際に問題が発生した場合は、ファイアウォールポリシーを確認し、UnRatedWebサイトをブロックしていないかどうかを確認してください。その場合、Nestを機能させるには、IPホワイトリストを作成する必要があります。

これは明らかにGoogleによる見落としであり、適度なファイアウォールポリシーを実行し、マルウェアのドライブバイDNS名から保護したい人にとっては困難です。 DHCP経由でDNSを使用するのではなく、GoogleDNSサーバーのIPをデバイスにハードコーディングしているという事実と同じくらい悪化しています。

これが私のサンプルNestがヒットした2つのIPであり、ここでそれらが指し示すべき場所です(幸い、私のフォーティネットはすでにこのルックアップの一部を実行していたため、混乱していました)。

35.221.16.97-oculus5699-us1.dropcam.com

104.155.137.34-oculus1390-us1.dropcam.com

1
jasonmclose