.png)
我无法将 Nest 摄像头连接到网络。
我正在运行 Aruba 300 系列接入点和 Fortinet 防火墙(负责路由)。
Nest 摄像头从未连接,并且没有真正的方法来了解正在发生的事情。
我该如何解决这个问题?如何确定是 Aruba AP 还是 Fortinet 路由器分配了 IP?
答案1
我刚花了一个小时才弄清楚。没有人在任何论坛上讨论过,所以这里是存放我所发现内容的最佳位置,以便下一个人可以在互联网上搜索。
如果您想因为我发了这样的帖子而对我投反对票,请尽管来。但作为一名 IT 人员,我恳请您忽略此内容,将其存档,让下一个头疼的人有机会偶然发现它。
我们运行 Aruba 接入点,这些接入点由 Fortinet 防火墙管理。
我们无法连接 Nest 摄像头。我原本以为这是 2.4GHz 与 5.0GHz 之间的问题,因为这经常会成为问题。但在查看了 Arubas 和 Fortinet 的系统日志后,我发现 Nest 正在获取 IP。 这让我知道阿鲁巴运转正常。
所以问题是为什么 Nest 应用程序说它没有连接。
挖掘后,我发现Web FilterFortinet 上的 中有块。这些块是用于 的oculus1390-us1.dropcam.com,至少我是这么认为的。
在 Web 过滤器 ( Log & Report -> Web Filter) 中,我可以看到这些阻止发生,因为oculus1390-us1.dropcam.com在 '未评级' 类别,我们已将其屏蔽。因此,我尝试创建 Web 评级覆盖 ( Security Profiles -> Web Rating Overrides),但它告诉我 dropcam 域是一个可识别的域 ( General Business -> Information Technology)。
那么,为什么 Web 过滤器告诉我这是未评级的,但 Fortinet(情报方面的 FortiGate)却说它是合法的?
因为我没有看正确的列。Web 过滤器日志视图为我提供了一些情报,并将 IP 解析104.155.137.34为域oculus1390-us1.dropcam.com。Nest 摄像头实际上是试图访问该 IP,而不是它解析到的域。当我在评级中查找该 IP 时(在他们的评级网站上,或在 Web Rating Override 工具中,该工具在连接到 Fortigate 网站的页面上有一个评级查询),它显然返回为“未评级”。所以这就是我的问题。
谷歌凭借其无穷的智慧,做了以下两件事之一:要么将 dropcam 站点的 IP 硬编码到 Nest 本身,要么 Nest 正在访问一个单独的(合法)域,并为 Nest 摄像头分配一个用于查找的 IP(而不是域名)。我没有回头看看 Nest 正在访问哪些域,看看它是否在尝试访问硬 IP 之前从其他域中提取其他数据。
因此,Google 拥有这些 IP 的 DNS 名称,但它选择不使用它们。它只是试图访问特定的 IP,这些 IP 可能属于UnRated防火墙上的“ ”类别,或者可能被其他策略阻止。
因此,我为 IP 创建了一个 Web Ratings Override,将其设置为与提供的 DNS 名称相同的评级,然后连接相机。
但旁边的摄像头没有连接。 再次查看 Web 过滤器日志后,我发现该摄像头正试图撞击35.221.16.97。
哦天哪。又一个特定的 IP。
因此,如果您连接了大量 Nest 摄像头,则有可能需要覆盖大量 IP 地址空间,因为 Google 实际上并没有使用与 IP 绑定的 DNS 名称(这将允许使用方便的通配符 Web 过滤器允许语句)。
因此,如果您运行防火墙,并且在将 Nest 连接到校园 AP 时遇到问题,请检查防火墙策略,看看是否阻止了UnRated网站。如果是,您需要进行一些 IP 白名单设置,以使 Nest 正常工作。
这显然是 Google 的疏忽,它让那些想要运行适度防火墙策略并防止恶意软件通过 DNS 名称进行攻击的人的生活变得困难。这与他们将 Google DNS 服务器 IP 硬编码到设备中而不是通过 DHCP 获取 DNS 的事实一样令人恼火。
这是我的样本 Nest 所访问的两个 IP,这是它们应该指向的位置(幸运的是,我的 Fortinet 已经在进行部分查找,这正是让我感到困惑的地方)。
35.221.16.97 - oculus5699-us1.dropcam.com
104.155.137.34 - oculus1390-us1.dropcam.com