[OT] smerovani UDP paketu

Jaroslav Buchta jaroslav.buchta na hascomp.cz
Středa Březen 12 12:20:51 CET 2025 

Z vnejsiho hlediska je to v podstate jednoducha konfigurace - kamera ma 
pevnou IPV4, PC taky, kamera posle UDP na adresu PC - jinak s nim 
nekomunikuje vubec, oboje je v jednom switchi, k tomu asi dalsich 100 
ruznych PC, PLC a dalsich technologii, pripojeni do podnikove site je 
samozrejme taky ale to me doufam nezajima (teda tam zase z PC posilam 
data do DB ale to funguje)
Jeste me napadlo, jestli nemuze byt ten switch zahlcen a proste UDP 
zahodi kdyz nema kapacitu?
Pokud problem nezmizi sam, budu muset badat, jak ho vyresit ale o vyssi 
konfiguraci siti vim celkem.... no nejake zaklady ;-)

Dne 12.03.2025 v 9:17 Petr Labaj napsal(a):
> To jste taky mohl už v úvodu napsat, že se jedná o nějakou takovou 
> zvláštní konfiguraci.
>
> Vy usuzujete, že switch nezajímají IP adresy. Jenže jak to víte?
> Pan Kořenský popsal charakteristiku základních switchů, že přepínají 
> na 2. vrstvě. Kdysi to bylo jen takto (a u levných domácích switchů to 
> tak pořád je), dneska už to ale obecně platit nemusí.
> Asi nechtěl svůj post moc natahovat, tak tak nezmínil další možností u 
> moderních switchů. Existují L3 switche, které přepínají na základě IP, 
> tedy na základě informací z 3. vrstvy. Jsou i nejsou to routery. Sice 
> vlastně routují (jen jednoduše, neumí většinou nějaké sofistikované 
> routovací protokoly), ale fyzicky pak ty pakety přepínají na HW úrovní.
> Nebo přepínání na základě značkování, kterým se pak realizují různé 
> VLANy.
>
> Jde o to, jak vlastně ta komunikace kamery s odběratelem funguje. 
> Pokud je skutečně striktně jednosměrná, tak odběratel nijak 
> nerefreshuje údaje v přepínací tabulce toho switche. A vlastně ani v 
> kameře.
> Obecně se switch neustále učí (opět - pokud to není nějaký speciál s 
> natvrdo předem vyplněnou tabulkou, i takové existují) a refreshuje si 
> seznam MAC adres, které na daném portu visí.
> To tady ale schází.
> Kromě toho jste neřekl, jak je to s IP adresami, kam ta kamera něco 
> posílá. Zvlášť pokud je to taková podivná jen jednosměrná komunikace.
> Ta kamera musí zjistit, že na druhé straně už je někdo jiný, a že dané 
> IP adrese už odpovídá jiná MAC adresa. Protože odesilatel je 
> zodpovědný za správné vyplnění MAC adresy odběratele, jinak by to 
> musel poslat jako broadcast.
>
> Myslím, že na základě takto nekompletních a zkratkovitých informací, 
> jaké o tom z Vašeho popisu víme, asi žádnou zázračnou medicínu 
> nevymyslíme.
> Ale nespoléhal bych na to, že se switch rozhoduje na základě toho, že 
> "tam ta stanice komunikuje moc, tak jí to pošleme a jiným ne". Tak se 
> rozhodují asi jen lidští šéfové.
>
> PL
>
> ******************
>
> Dne 12.3.2025 v 6:41 Jaroslav Buchta napsal(a):
>> Tohle asi nebude ono, je to switch na vyrobni lince ktery tam 
>> pouzivaji vsude a ma snad 100+ zasuvek
>> To by mel posilat UDP vzdycky na vsechny nebo to muze mit nejakou 
>> "inteligenci" a naucit se, odkud kam co chodi. Je to totiz uplne 
>> jednosmerna komunikace, kamera vzdycky jen posle kratka UDP data po 
>> mereni. Ale na NTB byl konfiguracni program kamery, ktery s ni 
>> komunikoval asi TCP nebo i UDP intenzivne a druhe PC na lince melo 
>> jenom prijimat UDP z kamery.
>> Prislo by mi mozne, ze switch zjistil, kdo s kamerou mohutne 
>> komunikuje a UDP posilal jen tam, zvlast, kdyz ho nezajimaji IP 
>> adresy. A jestli by treba pomohlo z toho PC pred ocekavanymi daty 
>> poslat na kameru nejaky nevyznamny UDP paket, aby switch pochopil, ze 
>> tahle zasuvka taky s kamerou komunikuje...
>>
>>
>> Dne 11.03.2025 v 22:21 Pavel Kořenský napsal(a):
>>> Zdravím,
>>>
>>> možná budu opakovat notoricky známou věc, ale přesto.
>>>
>>> 1. Switch je zařízení, které pracuje na 2. vrstvě. Určující věcí pro 
>>> to co a kam switch posílá je MAC adresa.
>>> 2. UDP je protokol pracující na třetí vrstvě a určující věcí pro to 
>>> co a kam se posílá je IP adresa.
>>>
>>> Ergo, buď ten velký switch není jenom switch, ale i router (3. 
>>> vrstva) a může být problém tam. Nebo je ten switch pouze switch a v 
>>> tom případě nerozlišuje mezi TCP a UDP.
>>> Pokud UDP někde nechodí, tak podle mých celoživotních zkušeností je 
>>> problém někde na firewallu. Zejména tedy ve velkých sítích. Často to 
>>> vzniká tím, že v soupisu pravidel má network admin na konci "Deny 
>>> All" a v pravidlech před tím povoluje jen TCP. Nebo má nějakou 
>>> službu definovanou jako "TCP only". Nebo napíše pravidlo tak, že 
>>> sice zahrnuje UDP i TCP, ale platí jen jedním směrem a zapomíná na 
>>> to, že zrovna UDP je "connection-less" takže firewall si fakt nedá 
>>> dohromady to, že když pravidlo platí jedním směrem, tak má platit i 
>>> opačně. V tom se u moderní "statefull" firewallů často chybuje. 
>>> Admin napíše pravidlo, správně nastaví povolení TCP i UDP, pomocí 
>>> telnetu na cílovou adresu ověří, že pravidlo funguje. Jenže už mu 
>>> nedocvakne, že pro TCP si ten firewall sám doplní, že komunikaci má 
>>> povolit obousměrně, ale pro UDP nikoli.
>>> Tahle chyba se dá celkem snadno odhalit podle logu na firewallu, 
>>> když zapneme logování zařezávaných packetů.Pokud tam vidíme, že 
>>> firewall pustil UDP jedním směrem, ale nepustil odpověď zpět, tak 
>>> jsou špatně pravidla. Pokud to firewall pouští z obou stran, bývá 
>>> chyba na koncovém bodu, což je u Windows ten jejich interní firewall 
>>> a u Linuxu iptables nebo nějaký ekvivalent.
>>>
>>> Zdraví PavelK
>>>
>>> Dne 11.03.2025 v 16:20 Jaroslav Buchta napsal(a):
>>>> Narazil jsem zase na problem s UDP, do switche (velkeho, asi 
>>>> managovatelneho, typ mohu zjistit) v jedne velke firme je pripojena 
>>>> kamera a PC s Win11. Kdyz tam jsem, pripojuju se notebookem, 
>>>> vsechno ma pevne adresy, zadne DHCP (to muze byt 1. pricina 
>>>> problemu? )
>>>>
>>>> UDP nekdy prochazi, nekdy ne, jedna se o prenos nejakych malych dat 
>>>> z kamery do PC. Treba do notebooku mi to chodilo cely pulden 
>>>> vzorove, do PC pak nic, zkousel jsem to i hercules terminalem, z PC 
>>>> do NTB to chodilo spolehlive, obracene jen nekdy, mozna kdyz jsem 
>>>> neco odeslal obracene.
>>>>
>>>> Skoro se mi zda, ze to nejak blokuje ten switch, je to mozne? Jak 
>>>> vlastne urci, kam to posilat? Firewall jsem zkousel nakonfigurovat 
>>>> i vypnout, tim to asi nebude. Nebo je nejaka skryta zakernost ve 
>>>> Win11 ? Jinde tam ty aplickace chodi na Win10 a nebyl s tim problem.
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list