[OT] smerovani UDP paketu

[Petr Labaj]

To jste taky mohl už v úvodu napsat, že se jedná o nějakou takovou 
zvláštní konfiguraci.

Vy usuzujete, že switch nezajímají IP adresy. Jenže jak to víte?
Pan Kořenský popsal charakteristiku základních switchů, že přepínají na 
2. vrstvě. Kdysi to bylo jen takto (a u levných domácích switchů to tak 
pořád je), dneska už to ale obecně platit nemusí.
Asi nechtěl svůj post moc natahovat, tak tak nezmínil další možností u 
moderních switchů. Existují L3 switche, které přepínají na základě IP, 
tedy na základě informací z 3. vrstvy. Jsou i nejsou to routery. Sice 
vlastně routují (jen jednoduše, neumí většinou nějaké sofistikované 
routovací protokoly), ale fyzicky pak ty pakety přepínají na HW úrovní.
Nebo přepínání na základě značkování, kterým se pak realizují různé VLANy.

Jde o to, jak vlastně ta komunikace kamery s odběratelem funguje. Pokud 
je skutečně striktně jednosměrná, tak odběratel nijak nerefreshuje údaje 
v přepínací tabulce toho switche. A vlastně ani v kameře.
Obecně se switch neustále učí (opět - pokud to není nějaký speciál s 
natvrdo předem vyplněnou tabulkou, i takové existují) a refreshuje si 
seznam MAC adres, které na daném portu visí.
To tady ale schází.
Kromě toho jste neřekl, jak je to s IP adresami, kam ta kamera něco 
posílá. Zvlášť pokud je to taková podivná jen jednosměrná komunikace.
Ta kamera musí zjistit, že na druhé straně už je někdo jiný, a že dané 
IP adrese už odpovídá jiná MAC adresa. Protože odesilatel je zodpovědný 
za správné vyplnění MAC adresy odběratele, jinak by to musel poslat jako 
broadcast.

Myslím, že na základě takto nekompletních a zkratkovitých informací, 
jaké o tom z Vašeho popisu víme, asi žádnou zázračnou medicínu nevymyslíme.
Ale nespoléhal bych na to, že se switch rozhoduje na základě toho, že 
"tam ta stanice komunikuje moc, tak jí to pošleme a jiným ne". Tak se 
rozhodují asi jen lidští šéfové.

PL

******************

Dne 12.3.2025 v 6:41 Jaroslav Buchta napsal(a):
> Tohle asi nebude ono, je to switch na vyrobni lince ktery tam 
> pouzivaji vsude a ma snad 100+ zasuvek
> To by mel posilat UDP vzdycky na vsechny nebo to muze mit nejakou 
> "inteligenci" a naucit se, odkud kam co chodi. Je to totiz uplne 
> jednosmerna komunikace, kamera vzdycky jen posle kratka UDP data po 
> mereni. Ale na NTB byl konfiguracni program kamery, ktery s ni 
> komunikoval asi TCP nebo i UDP intenzivne a druhe PC na lince melo 
> jenom prijimat UDP z kamery.
> Prislo by mi mozne, ze switch zjistil, kdo s kamerou mohutne 
> komunikuje a UDP posilal jen tam, zvlast, kdyz ho nezajimaji IP 
> adresy. A jestli by treba pomohlo z toho PC pred ocekavanymi daty 
> poslat na kameru nejaky nevyznamny UDP paket, aby switch pochopil, ze 
> tahle zasuvka taky s kamerou komunikuje...
>
>
> Dne 11.03.2025 v 22:21 Pavel Kořenský napsal(a):
>> Zdravím,
>>
>> možná budu opakovat notoricky známou věc, ale přesto.
>>
>> 1. Switch je zařízení, které pracuje na 2. vrstvě. Určující věcí pro 
>> to co a kam switch posílá je MAC adresa.
>> 2. UDP je protokol pracující na třetí vrstvě a určující věcí pro to 
>> co a kam se posílá je IP adresa.
>>
>> Ergo, buď ten velký switch není jenom switch, ale i router (3. 
>> vrstva) a může být problém tam. Nebo je ten switch pouze switch a v 
>> tom případě nerozlišuje mezi TCP a UDP.
>> Pokud UDP někde nechodí, tak podle mých celoživotních zkušeností je 
>> problém někde na firewallu. Zejména tedy ve velkých sítích. Často to 
>> vzniká tím, že v soupisu pravidel má network admin na konci "Deny 
>> All" a v pravidlech před tím povoluje jen TCP. Nebo má nějakou službu 
>> definovanou jako "TCP only". Nebo napíše pravidlo tak, že sice 
>> zahrnuje UDP i TCP, ale platí jen jedním směrem a zapomíná na to, že 
>> zrovna UDP je "connection-less" takže firewall si fakt nedá dohromady 
>> to, že když pravidlo platí jedním směrem, tak má platit i opačně. V 
>> tom se u moderní "statefull" firewallů často chybuje. Admin napíše 
>> pravidlo, správně nastaví povolení TCP i UDP, pomocí telnetu na 
>> cílovou adresu ověří, že pravidlo funguje. Jenže už mu nedocvakne, že 
>> pro TCP si ten firewall sám doplní, že komunikaci má povolit 
>> obousměrně, ale pro UDP nikoli.
>> Tahle chyba se dá celkem snadno odhalit podle logu na firewallu, když 
>> zapneme logování zařezávaných packetů.Pokud tam vidíme, že firewall 
>> pustil UDP jedním směrem, ale nepustil odpověď zpět, tak jsou špatně 
>> pravidla. Pokud to firewall pouští z obou stran, bývá chyba na 
>> koncovém bodu, což je u Windows ten jejich interní firewall a u 
>> Linuxu iptables nebo nějaký ekvivalent.
>>
>> Zdraví PavelK
>>
>> Dne 11.03.2025 v 16:20 Jaroslav Buchta napsal(a):
>>> Narazil jsem zase na problem s UDP, do switche (velkeho, asi 
>>> managovatelneho, typ mohu zjistit) v jedne velke firme je pripojena 
>>> kamera a PC s Win11. Kdyz tam jsem, pripojuju se notebookem, vsechno 
>>> ma pevne adresy, zadne DHCP (to muze byt 1. pricina problemu? )
>>>
>>> UDP nekdy prochazi, nekdy ne, jedna se o prenos nejakych malych dat 
>>> z kamery do PC. Treba do notebooku mi to chodilo cely pulden 
>>> vzorove, do PC pak nic, zkousel jsem to i hercules terminalem, z PC 
>>> do NTB to chodilo spolehlive, obracene jen nekdy, mozna kdyz jsem 
>>> neco odeslal obracene.
>>>
>>> Skoro se mi zda, ze to nejak blokuje ten switch, je to mozne? Jak 
>>> vlastne urci, kam to posilat? Firewall jsem zkousel nakonfigurovat i 
>>> vypnout, tim to asi nebude. Nebo je nejaka skryta zakernost ve Win11 
>>> ? Jinde tam ty aplickace chodi na Win10 a nebyl s tim problem.