[OT] smerovani UDP paketu

[Petr Labaj]

Začal bych tím, že bych kameru vypnul a zapnul.

PL

******************

Dne 12.3.2025 v 12:20 Jaroslav Buchta napsal(a):
> Z vnejsiho hlediska je to v podstate jednoducha konfigurace - kamera 
> ma pevnou IPV4, PC taky, kamera posle UDP na adresu PC - jinak s nim 
> nekomunikuje vubec, oboje je v jednom switchi, k tomu asi dalsich 100 
> ruznych PC, PLC a dalsich technologii, pripojeni do podnikove site je 
> samozrejme taky ale to me doufam nezajima (teda tam zase z PC posilam 
> data do DB ale to funguje)
> Jeste me napadlo, jestli nemuze byt ten switch zahlcen a proste UDP 
> zahodi kdyz nema kapacitu?
> Pokud problem nezmizi sam, budu muset badat, jak ho vyresit ale o 
> vyssi konfiguraci siti vim celkem.... no nejake zaklady ;-)
>
> Dne 12.03.2025 v 9:17 Petr Labaj napsal(a):
>> To jste taky mohl už v úvodu napsat, že se jedná o nějakou takovou 
>> zvláštní konfiguraci.
>>
>> Vy usuzujete, že switch nezajímají IP adresy. Jenže jak to víte?
>> Pan Kořenský popsal charakteristiku základních switchů, že přepínají 
>> na 2. vrstvě. Kdysi to bylo jen takto (a u levných domácích switchů 
>> to tak pořád je), dneska už to ale obecně platit nemusí.
>> Asi nechtěl svůj post moc natahovat, tak tak nezmínil další možností 
>> u moderních switchů. Existují L3 switche, které přepínají na základě 
>> IP, tedy na základě informací z 3. vrstvy. Jsou i nejsou to routery. 
>> Sice vlastně routují (jen jednoduše, neumí většinou nějaké 
>> sofistikované routovací protokoly), ale fyzicky pak ty pakety 
>> přepínají na HW úrovní.
>> Nebo přepínání na základě značkování, kterým se pak realizují různé 
>> VLANy.
>>
>> Jde o to, jak vlastně ta komunikace kamery s odběratelem funguje. 
>> Pokud je skutečně striktně jednosměrná, tak odběratel nijak 
>> nerefreshuje údaje v přepínací tabulce toho switche. A vlastně ani v 
>> kameře.
>> Obecně se switch neustále učí (opět - pokud to není nějaký speciál s 
>> natvrdo předem vyplněnou tabulkou, i takové existují) a refreshuje si 
>> seznam MAC adres, které na daném portu visí.
>> To tady ale schází.
>> Kromě toho jste neřekl, jak je to s IP adresami, kam ta kamera něco 
>> posílá. Zvlášť pokud je to taková podivná jen jednosměrná komunikace.
>> Ta kamera musí zjistit, že na druhé straně už je někdo jiný, a že 
>> dané IP adrese už odpovídá jiná MAC adresa. Protože odesilatel je 
>> zodpovědný za správné vyplnění MAC adresy odběratele, jinak by to 
>> musel poslat jako broadcast.
>>
>> Myslím, že na základě takto nekompletních a zkratkovitých informací, 
>> jaké o tom z Vašeho popisu víme, asi žádnou zázračnou medicínu 
>> nevymyslíme.
>> Ale nespoléhal bych na to, že se switch rozhoduje na základě toho, že 
>> "tam ta stanice komunikuje moc, tak jí to pošleme a jiným ne". Tak se 
>> rozhodují asi jen lidští šéfové.
>>
>> PL
>>
>> ******************
>>
>> Dne 12.3.2025 v 6:41 Jaroslav Buchta napsal(a):
>>> Tohle asi nebude ono, je to switch na vyrobni lince ktery tam 
>>> pouzivaji vsude a ma snad 100+ zasuvek
>>> To by mel posilat UDP vzdycky na vsechny nebo to muze mit nejakou 
>>> "inteligenci" a naucit se, odkud kam co chodi. Je to totiz uplne 
>>> jednosmerna komunikace, kamera vzdycky jen posle kratka UDP data po 
>>> mereni. Ale na NTB byl konfiguracni program kamery, ktery s ni 
>>> komunikoval asi TCP nebo i UDP intenzivne a druhe PC na lince melo 
>>> jenom prijimat UDP z kamery.
>>> Prislo by mi mozne, ze switch zjistil, kdo s kamerou mohutne 
>>> komunikuje a UDP posilal jen tam, zvlast, kdyz ho nezajimaji IP 
>>> adresy. A jestli by treba pomohlo z toho PC pred ocekavanymi daty 
>>> poslat na kameru nejaky nevyznamny UDP paket, aby switch pochopil, 
>>> ze tahle zasuvka taky s kamerou komunikuje...
>>>
>>>
>>> Dne 11.03.2025 v 22:21 Pavel Kořenský napsal(a):
>>>> Zdravím,
>>>>
>>>> možná budu opakovat notoricky známou věc, ale přesto.
>>>>
>>>> 1. Switch je zařízení, které pracuje na 2. vrstvě. Určující věcí 
>>>> pro to co a kam switch posílá je MAC adresa.
>>>> 2. UDP je protokol pracující na třetí vrstvě a určující věcí pro to 
>>>> co a kam se posílá je IP adresa.
>>>>
>>>> Ergo, buď ten velký switch není jenom switch, ale i router (3. 
>>>> vrstva) a může být problém tam. Nebo je ten switch pouze switch a v 
>>>> tom případě nerozlišuje mezi TCP a UDP.
>>>> Pokud UDP někde nechodí, tak podle mých celoživotních zkušeností je 
>>>> problém někde na firewallu. Zejména tedy ve velkých sítích. Často 
>>>> to vzniká tím, že v soupisu pravidel má network admin na konci 
>>>> "Deny All" a v pravidlech před tím povoluje jen TCP. Nebo má 
>>>> nějakou službu definovanou jako "TCP only". Nebo napíše pravidlo 
>>>> tak, že sice zahrnuje UDP i TCP, ale platí jen jedním směrem a 
>>>> zapomíná na to, že zrovna UDP je "connection-less" takže firewall 
>>>> si fakt nedá dohromady to, že když pravidlo platí jedním směrem, 
>>>> tak má platit i opačně. V tom se u moderní "statefull" firewallů 
>>>> často chybuje. Admin napíše pravidlo, správně nastaví povolení TCP 
>>>> i UDP, pomocí telnetu na cílovou adresu ověří, že pravidlo funguje. 
>>>> Jenže už mu nedocvakne, že pro TCP si ten firewall sám doplní, že 
>>>> komunikaci má povolit obousměrně, ale pro UDP nikoli.
>>>> Tahle chyba se dá celkem snadno odhalit podle logu na firewallu, 
>>>> když zapneme logování zařezávaných packetů.Pokud tam vidíme, že 
>>>> firewall pustil UDP jedním směrem, ale nepustil odpověď zpět, tak 
>>>> jsou špatně pravidla. Pokud to firewall pouští z obou stran, bývá 
>>>> chyba na koncovém bodu, což je u Windows ten jejich interní 
>>>> firewall a u Linuxu iptables nebo nějaký ekvivalent.
>>>>
>>>> Zdraví PavelK
>>>>
>>>> Dne 11.03.2025 v 16:20 Jaroslav Buchta napsal(a):
>>>>> Narazil jsem zase na problem s UDP, do switche (velkeho, asi 
>>>>> managovatelneho, typ mohu zjistit) v jedne velke firme je 
>>>>> pripojena kamera a PC s Win11. Kdyz tam jsem, pripojuju se 
>>>>> notebookem, vsechno ma pevne adresy, zadne DHCP (to muze byt 1. 
>>>>> pricina problemu? )
>>>>>
>>>>> UDP nekdy prochazi, nekdy ne, jedna se o prenos nejakych malych 
>>>>> dat z kamery do PC. Treba do notebooku mi to chodilo cely pulden 
>>>>> vzorove, do PC pak nic, zkousel jsem to i hercules terminalem, z 
>>>>> PC do NTB to chodilo spolehlive, obracene jen nekdy, mozna kdyz 
>>>>> jsem neco odeslal obracene.
>>>>>
>>>>> Skoro se mi zda, ze to nejak blokuje ten switch, je to mozne? Jak 
>>>>> vlastne urci, kam to posilat? Firewall jsem zkousel nakonfigurovat 
>>>>> i vypnout, tim to asi nebude. Nebo je nejaka skryta zakernost ve 
>>>>> Win11 ? Jinde tam ty aplickace chodi na Win10 a nebyl s tim problem.
>>