Тема: Доступ к панели управления SIP-CDA2 через NAT

25.02.20 11:49 Alex56 (16/10.12.19)

Здравствуйте! Не удаётся организовать удалённый доступ к панели управления SIP-CDA2.

Что имеется:
- интернет-подключение от местного провайдера
- маршрутизатор
- SIP-CDA2 и IP-камера, подключенные к маршрутизатору

Интернет-соединение на маршрутизаторе стабильное. Порты на IP-камеру и SIP-CDA2 проброшены. К панели управления маршрутизатором удалённый доступ есть. С удалённым доступом к камере тоже проблем нет, как к админке, так и к видеопотокам. Но вот SIP-CDA2 почему-то упорно не отвечает при попытке удалённого подключения, т.е. запрос просто сбрасывается по истечении таймаута. При этом, если подключиться к маршрутизатору (т.е. в ту же локальную сеть), то админка спокойно открывается по своему локальному IP. И пинг с маршрутизатора до неё идёт.

Проблем с сетевым оборудованием нет: во-первых, внутри локальной сети ведь всё работает, а во вторых, Ethernet-кабель меняли, он новый, тестировали с 4 разными маршрутизаторами — результат всё время один и тот же.

К сожалению, VPN эти маршрутизаторы не умеют, но есть поддержка IPSec-туннеля. Настроили — то же самое: IP-камера без проблем, CDA2 - ни в какую...

В чем проблема?

P.S.: Подозреваю авторизацию в панели управления. Можно ли её отключить, прописав пустые логин и пароль?
P.P.S.: Провайдер порты не блокирует, их тоже меняли.

[ Изменено: 25.02.20 12:01 Alex56 ]

[ #1 ] 25.02.20 12:06 Tech.Support KOMENDANT LAB

Какая версия прошивки?
Авторизация на может работать по разному в разных подсетях, это просто текстовые строки в HTTP.

[ #2 ] 25.02.20 12:25 Alex56 (16/10.12.19)

Прошивка была версии 4.4.3, затем прошили новую 4.5.1, но это не помогло.
Кстати, когда приносили адаптер для прошивки, попробовали подключить его в офисе (интернет-провайдер тот же) — и на удивление сработало. Уже было подумали, что обновление прошивки решило проблему, но нет.

[ #3 ] 25.02.20 12:34 Tech.Support KOMENDANT LAB

Каким браузером пробовали? Попробуйте разными. Если есть возможность посмотреть пакеты, которые приходят на адаптер, например зеркалировать их на комп с установленным wireshark, можно будет сделать более точные выводы.

[ #4 ] 26.02.20 6:54 Alex56 (16/10.12.19)

Пробовали разными браузерами (Chrome, Firefox, IE, Edge), но результат один и тот же.
К сожалению, зазеркалировать порты и посмотреть пакеты, которые приходят на CDA сейчас возможности нет.
Проанализировали Wireshark-ом пакеты при попытке подключиться к CDA2, похоже что теряется (почему?) один из пакетов от CDA2. Однако в ответ всё же приходит 1 поврежденный HTTP-ответ, содержащий фрагмент HTML-кода страницы панели управления.
Прилагаю дамп pcapng из Wireshark, надеюсь поймете в чём дело. Также отправляю на почту адрес самой CDA2.

Вложение

cda_pcapng.zip (Размер: 2KB - Загрузки: 35)

[ #5 ] 26.02.20 7:07 Oleg [Editor] KOMENDANT LAB

Лог посмотрим. Удаленное системное администрирование в рамки технической поддержки не входит.

[ #6 ] 26.02.20 11:44 Oleg [Editor] KOMENDANT LAB

Проверили отклик интерфейса через noip.com - все прекрасно работает. Проверили в режиме DNS HOST (A).

[ #7 ] 26.02.20 11:55 Oleg [Editor] KOMENDANT LAB

Неполноценный лог ситуацию не прояснил. Нужен полноценный.

[ #8 ] 28.02.20 13:36 Alex56 (16/10.12.19)

Проблема решилась сменой типа подключения у провайдера.
Серия вынужденных экпериментов привела к заключению, что удалённый доступ к панели управления SIP-CDA2 при IPoE подключении работает корректно (независимо от того, статический IP или динамический), а при PPPoE подключении возникают проблемы. Точного ответа почему мы, конечно, не узнаем. Это одному провайдеру известно. С технической точки зрения, основное отличие, приходящее на ум — общеизвестный факт, что максимальный MTU в PPPoE (1492) меньше, чем в IPoE (1500). Может это имеет значение. Ну и да, при PPPoE пакеты идут через более длинную цепочку оборудования, которое тоже потенциально может давать подобные “побочные эффекты”.

[ Изменено: 28.02.20 13:40 Alex56 ]