Bonjour la liste,
Ayant acheté une chinoiserie connectée sur un site bien connu, en
l’occurrence aliexpress, je me retrouve confronté à un problème que je
n'arrive pas à comprendre, et j'aurais besoin de votre science
Ciscotienne, mes compétences en la matière étant somme toute quelque peu
limitées.
Voici le topo : j'ai donc acheté une caméra POE sur aliexpress. J'ai
profité de ce dernier week-end gris pour l'installer et la brancher sur
mon installation:
- un injecteur Gigabit POE 802.3af/at en mode A à 4 ports, qui
alimentent également mon AP WIFI (un Linksys)
- un switch Cisco WS-C3560G-48TSen version 15.0(2)SE11 qui tourne sur
l'image C3560-IPSERVICESK9-M
Je vous passe les détails rocambolesques avec une appli (très) mal
traduite du chinois pour pouvoir configurer la cam en DHCP, lui coller
un mot de passe, et désactiver tout ce qui est inutile (j'ai laissé
uniquement NTP et RTSP), la caméra finit donc par tomber en marche et je
peux l'ajouter à mon ZoneMinder. Ca c'était dimanche.
Hier, je me rends compte que ZM ne capture plus le flux RTSP de cette
cam. Je me rends compte qu'en fait la cam n'est plus joignable. Je
regarde donc les logs de mon dhcpd et je constate que le dernier lease
date de dimanche tard dans la nuit, depuis plus rien !
Comme j'ai un switch L3 sous la main, je regarde son cache ARP, ainsi
que sa table MAC:
quicksilver>show interfaces status
Gi0/39 POE camera connected 10 a-full a-100
10/100/1000BaseTX
Le port est bien up
quicksilver>show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
...
10 0012.4134.5e76 DYNAMIC Gi0/39
...
la MAC de la cam est bien présente dans la table du switch, sur le port
gb sur lequel je l'ai connecté
quicksilver#show interfaces gi0/39 | include ARP
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
config ARP par défaut pour un cisco
quicksilver>show arp
Internet 172.16.80.81 0 0012.4134.5e76 ARPA Vlan10
à priori, la cam a annoncé son conf IP via ARP
Pourtant, pas de réponse au ping, ni sur aucun port supposément ouvert
(HTTP, RTSP), nmap reste aveugle (depuis un host sur le même VLAN que la
CAM) et le soft "DeviceConfig" livré avec la cam ne la voit plus lui non
plus !
A court d'idée, je finis par configurer un port-mirroring sur mon port
g0/39 afin de lancer une capture du trafic au boot de la cam. Voici ce
que j'obtiens:
No. Time Source Destination Protocol Length Info
6 58.060403 a2imarke_34:5e:76 Broadcast ARP
60 Who has 172.16.80.1? Tell 172.16.80.81
Frame 6: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
7 59.059478 a2imarke_34:5e:76 Broadcast ARP
60 Who has 172.16.80.1? Tell 172.16.80.81
Frame 7: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
8 60.059471 a2imarke_34:5e:76 Broadcast ARP
60 Who has 172.16.80.1? Tell 172.16.80.81
Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
18 88.820063 a2imarke_34:5e:76 Broadcast ARP
60 ARP Announcement for 172.16.80.81
Frame 18: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (ARP Announcement)
rien de plus que du trafic ARP. Ce qui explique les entrées au niveau du
switch. Par contre aucun trafic DHCP ou BOOTP. Pourtant la cam me
ressort l'IP que mon dhcpd est sensé lui attribuer. Il a donc dû stocker
ça quelque part dans une NVRAM. Bref, j'en arrive à la conclusion que la
stack DHCP de cette cam pue grave du fion, ce qui explique pourquoi dans
la doc succincte fournie avec la cam ils spécifient "We do not recommand
leaving the IP camera on DHCP" (en config usine elle est en
192.168.1.10/24 statique)
Quand je tente de pinger cette saleté de cam, voici ce que j'obtiens en
capture:
No. Time Source Destination Protocol Length Info
1 0.000000 ASUSTekC_c4:19:e3 Broadcast ARP
60 Who has 172.16.80.81? Tell 172.16.80.90
Frame 1: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
2 1.006997 ASUSTekC_c4:19:e3 Broadcast ARP
60 Who has 172.16.80.81? Tell 172.16.80.90
Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
3 1.293490 Cisco_f6:a2:c2 Broadcast ARP
60 Who has 172.16.80.2? Tell 172.16.80.1
Frame 3: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: Cisco_f6:a2:c2 (00:1d:46:f6:a2:c2), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
4 2.031001 ASUSTekC_c4:19:e3 Broadcast ARP
60 Who has 172.16.80.81? Tell 172.16.80.90
Frame 4: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
7 6.747252 172.16.80.90 224.0.0.251 MDNS
87 Standard query 0x0000 PTR _ipps._tcp.local, "QM" question PTR
_ipp._tcp.local, "QM" question
Frame 7: 87 bytes on wire (696 bits), 87 bytes captured (696 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst:
IPv4mcast_fb (01:00:5e:00:00:fb)
Internet Protocol Version 4, Src: 172.16.80.90, Dst: 224.0.0.251
User Datagram Protocol, Src Port: 5353, Dst Port: 5353
Multicast Domain Name System (query)
No. Time Source Destination Protocol Length Info
8 11.503512 Cisco_f6:a2:c2 Broadcast ARP
60 Who has 172.16.80.2? Tell 172.16.80.1
Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: Cisco_f6:a2:c2 (00:1d:46:f6:a2:c2), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
9 18.932258 ASUSTekC_c4:19:e3 Broadcast ARP
60 Who has 172.16.80.81? Tell 172.16.80.90
Frame 9: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
10 19.950993 ASUSTekC_c4:19:e3 Broadcast ARP
60 Who has 172.16.80.81? Tell 172.16.80.90
Frame 10: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
mon host source 172.16.80.90 fait une requête ARP pour obtenir la MAC de
la cam, mais personne ne lui répond ! Pourtant, on l'a vu, le switch a
bien connaissance dans sa table ARP de 172.16.80.81 ! Il y a là quelque
chose qui me dépasse et j'en appelle à votre sagacité...
--
Rico
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
