Bonjour la liste,
Ayant acheté une chinoiserie connectée sur un site bien connu, en l'occurrence
aliexpress, je me retrouve confronté à un problème que je n'arrive pas à
comprendre, et j'aurais besoin de votre science Ciscotienne, mes compétences en
la matière étant somme toute quelque peu limitées.
Voici le topo : j'ai donc acheté une caméra POE sur aliexpress. J'ai profité de
ce dernier week-end gris pour l'installer et la brancher sur mon installation:
- un injecteur Gigabit POE 802.3af/at en mode A à 4 ports, qui alimentent
également mon AP WIFI (un Linksys)
- un switch Cisco WS-C3560G-48TSen version 15.0(2)SE11 qui tourne sur l'image
C3560-IPSERVICESK9-M
Je vous passe les détails rocambolesques avec une appli (très) mal traduite du
chinois pour pouvoir configurer la cam en DHCP, lui coller un mot de passe, et
désactiver tout ce qui est inutile (j'ai laissé uniquement NTP et RTSP), la
caméra finit donc par tomber en marche et je peux l'ajouter à mon ZoneMinder.
Ca c'était dimanche.
Hier, je me rends compte que ZM ne capture plus le flux RTSP de cette cam. Je
me rends compte qu'en fait la cam n'est plus joignable. Je regarde donc les
logs de mon dhcpd et je constate que le dernier lease date de dimanche tard
dans la nuit, depuis plus rien !
Comme j'ai un switch L3 sous la main, je regarde son cache ARP, ainsi que sa
table MAC:
quicksilver>show interfaces status
Gi0/39 POE camera connected 10 a-full a-100
10/100/1000BaseTX
Le port est bien up
quicksilver>show mac address-table
Mac Address Table
-------------------------------------------
Vlan Mac Address Type Ports
---- ----------- -------- -----
...
10 0012.4134.5e76 DYNAMIC Gi0/39
...
la MAC de la cam est bien présente dans la table du switch, sur le port gb sur
lequel je l'ai connecté
quicksilver#show interfaces gi0/39 | include ARP
Encapsulation ARPA, loopback not set
ARP type: ARPA, ARP Timeout 04:00:00
config ARP par défaut pour un cisco
quicksilver>show arp
Internet 172.16.80.81 0 0012.4134.5e76 ARPA Vlan10
à priori, la cam a annoncé son conf IP via ARP
Pourtant, pas de réponse au ping, ni sur aucun port supposément ouvert (HTTP, RTSP), nmap
reste aveugle (depuis un host sur le même VLAN que la CAM) et le soft
"DeviceConfig" livré avec la cam ne la voit plus lui non plus !
A court d'idée, je finis par configurer un port-mirroring sur mon port g0/39
afin de lancer une capture du trafic au boot de la cam. Voici ce que j'obtiens:
No. Time Source Destination Protocol Length Info
6 58.060403 a2imarke_34:5e:76 Broadcast ARP 60 Who
has 172.16.80.1? Tell 172.16.80.81
Frame 6: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
7 59.059478 a2imarke_34:5e:76 Broadcast ARP 60 Who
has 172.16.80.1? Tell 172.16.80.81
Frame 7: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
8 60.059471 a2imarke_34:5e:76 Broadcast ARP 60 Who
has 172.16.80.1? Tell 172.16.80.81
Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
18 88.820063 a2imarke_34:5e:76 Broadcast ARP 60 ARP
Announcement for 172.16.80.81
Frame 18: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: a2imarke_34:5e:76 (00:12:41:34:5e:76), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (ARP Announcement)
rien de plus que du trafic ARP. Ce qui explique les entrées au niveau du switch. Par
contre aucun trafic DHCP ou BOOTP. Pourtant la cam me ressort l'IP que mon dhcpd est
sensé lui attribuer. Il a donc dû stocker ça quelque part dans une NVRAM. Bref, j'en
arrive à la conclusion que la stack DHCP de cette cam pue grave du fion, ce qui explique
pourquoi dans la doc succincte fournie avec la cam ils spécifient "We do not
recommand leaving the IP camera on DHCP" (en config usine elle est en
192.168.1.10/24 statique)
Quand je tente de pinger cette saleté de cam, voici ce que j'obtiens en capture:
No. Time Source Destination Protocol Length Info
1 0.000000 ASUSTekC_c4:19:e3 Broadcast ARP 60 Who
has 172.16.80.81? Tell 172.16.80.90
Frame 1: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
2 1.006997 ASUSTekC_c4:19:e3 Broadcast ARP 60 Who
has 172.16.80.81? Tell 172.16.80.90
Frame 2: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
3 1.293490 Cisco_f6:a2:c2 Broadcast ARP 60 Who has
172.16.80.2? Tell 172.16.80.1
Frame 3: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: Cisco_f6:a2:c2 (00:1d:46:f6:a2:c2), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
4 2.031001 ASUSTekC_c4:19:e3 Broadcast ARP 60 Who
has 172.16.80.81? Tell 172.16.80.90
Frame 4: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
7 6.747252 172.16.80.90 224.0.0.251 MDNS 87 Standard query 0x0000 PTR
_ipps._tcp.local, "QM" question PTR _ipp._tcp.local, "QM" question
Frame 7: 87 bytes on wire (696 bits), 87 bytes captured (696 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: IPv4mcast_fb
(01:00:5e:00:00:fb)
Internet Protocol Version 4, Src: 172.16.80.90, Dst: 224.0.0.251
User Datagram Protocol, Src Port: 5353, Dst Port: 5353
Multicast Domain Name System (query)
No. Time Source Destination Protocol Length Info
8 11.503512 Cisco_f6:a2:c2 Broadcast ARP 60 Who has
172.16.80.2? Tell 172.16.80.1
Frame 8: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: Cisco_f6:a2:c2 (00:1d:46:f6:a2:c2), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
9 18.932258 ASUSTekC_c4:19:e3 Broadcast ARP 60 Who
has 172.16.80.81? Tell 172.16.80.90
Frame 9: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
No. Time Source Destination Protocol Length Info
10 19.950993 ASUSTekC_c4:19:e3 Broadcast ARP 60 Who
has 172.16.80.81? Tell 172.16.80.90
Frame 10: 60 bytes on wire (480 bits), 60 bytes captured (480 bits)
Ethernet II, Src: ASUSTekC_c4:19:e3 (ac:22:0b:c4:19:e3), Dst: Broadcast
(ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (request)
mon host source 172.16.80.90 fait une requête ARP pour obtenir la MAC de la
cam, mais personne ne lui répond ! Pourtant, on l'a vu, le switch a bien
connaissance dans sa table ARP de 172.16.80.81 ! Il y a là quelque chose qui me
dépasse et j'en appelle à votre sagacité...
