PoE Cam mit statischer IP nicht erreichbar



  • Hallo zusammen,

    ich nutze pfSense auf einer APU1D in Zusammenhang mit einem Ubiquiti UniFi PoE Switch. Nun versuche ich seit Tagen, eine IP Cam mit statischer IP zum Laufen zu bekommen.

    Die Kamera steckt im Switch auf Port 20. Dieser ist dem VLAN "restricted" zugewiesen (Geräte dürfen nicht ins Internet und nicht ins Haupt LAN). pfSense erkennt die Kamera auch und weist Ihr direkt eine IP Adresse zu.

    Unter dieser ist das Gerät allerdings nicht erreichbar und reagiert auch nicht auf Pings:

    ping 192.168.100.4                                                                                                                                                                                                            PING 192.168.100.4 (192.168.100.4): 56 data bytes
    Request timeout for icmp_seq 0
    Request timeout for icmp_seq 1
    Request timeout for icmp_seq 2
    Request timeout for icmp_seq 3
    Request timeout for icmp_seq 4
    Request timeout for icmp_seq 5
    Request timeout for icmp_seq 6
    Request timeout for icmp_seq 7
    Request timeout for icmp_seq 8
    Request timeout for icmp_seq 9
    Request timeout for icmp_seq 10
    

    Unter DHCP Leases wird mir die Kamera allerdings mit der o.g. IP angezeigt und steht dort auch als online. Die Kamera hat ursprünglich eine andere IP von pfSense bekommen (auch im restricted IP Bereich), ich vergebe aber grundsätzlich in meinem Netzwerk statische Adressen; warum das so ist, erläutere ich kurz unten, denn es hat mit diesem Problem ja an sich nichts zu tun.

    Wenn ich die Kamera unter der IP, die sie laut Hersteller statisch bekommen hat, anpinge, passiert folgendes:

    ping 192.168.1.10                                                                             
    PING 192.168.1.10 (192.168.1.10): 56 data bytes
    36 bytes from 62.155.241.111: Destination Host Unreachable
    Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
     4  5  00 5400 e1f2   0 0000  3e  01 cefd 10.0.0.7  192.168.1.10
    

    Src und Dst sind klar; die IP meines Gerätes und die der Kamera. Bei 36 bytes from 62.155.241.111 weiß ich nicht, was das für eine IP sein soll. Laut whois ist das irgend eine IP der Deutschen Telekom AG. Meine public ip ist es nicht, die beginnt mit 87. Auch wenn mir die Ausgabe des ping Befehls hier nichts sagt, es sieht für mich so aus, als würde versucht werden, meinen Ping an 192.168.1.10 an 62.155.241.111 weiterzuleiten. Ist meiner lokalen hosts Datei habe ich nichts derartiges angelegt und wüsste auch nicht, wie pfSense darauf kommen sollte.

    Ich habe nun schon versucht, die Kamera direkt mit meinem Computer zu verbinden. Das funktioniert allerdings auch nicht.

    Es handelt sich hierbei um eine äußerst günstige PoE Kamera aus China. Ich setze einige davon ein (bisher allerdings nicht exakt dieses Model), da ich die Kameras nicht wirklich brauche (in dem Sinne, dass sich ein vernünftiges Gerät zu einem entsprechenden Preis lohnen würde), aber doch gerne habe. Da sind 25 Euro für eine PoE Kamera nicht die Welt - solange sie denn funktioniert ;)

    Könnt Ihr mir weiterhelfen? Der erste Schritt ist ja erst mal, mich überhaupt mit der Kamera zu verbinden. Der grausame Teil kommt erst noch: mit einer Windows VM auf die Kamera verbinden und diese über den Internet Explorer einrichten schauder, weil sich die Benutzeroberfläche ausschließlich mit ActiveX überhaupt aufrufen lässt. Kenne ich aber schon von den anderen China Kameras und da ich sie nur einmalig "einrichten" muss (User/PW, DHCP aktivieren, alle Services bis auf rtsp/onvif deaktivieren) ist das noch machbar.

    Zu dem dhcp/ip Problem von oben: jedes Gerät, das neu mit meinem Netzwerk verbunden wird, erhält eine entsprechende IP aus dem LAN oder zugehörigen VLAN. Das funktioniert grundsätzlich auch immer. Ebenfalls immer tritt aber das Problem auf, dass die Geräte, die keine statische IP über die pfSense UI von mir erhalten haben, zwar anpingbar sind, aber weder ins Internet kommen, noch mit anderen Geräten kommunizieren können. Grundsätzlich ist das erst mal gar nicht schlimm, fast schon eher positiv, da so selbst ein Gerät, was mal "versehentlich" in mein Netzwerk gerät, nichts anstellen kann. Andererseits frage ich mich, ob dieses Problem nun daher stammt: die Kamera erwartet, unter 192.168.1.10 angesprochen zu werden; da dies aber nicht möglich ist, da diese IP nicht in meinem Netzwerk explizit angegeben ist (und ich die IP Range 192.168.1.0/24 auch gar nicht habe, kein Zugriff darauf möglich ist.....?

    Ich bin für jeden Tipp dankbar :)
    LG



  • Hallo!

    @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    pfSense erkennt die Kamera auch und weist Ihr direkt eine IP Adresse zu.
    Unter dieser ist das Gerät allerdings nicht erreichbar und reagiert auch nicht auf Pings

    Hast du den Ping direkt von der pfSense GUI versucht?
    Diagostic > Ping. Source: default

    @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    Ich habe nun schon versucht, die Kamera direkt mit meinem Computer zu verbinden. Das funktioniert allerdings auch nicht.

    Der Netzwerkschnittstelle des Rechners eine IP im Subnetz der Kamera gegeben?

    @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    die Kamera erwartet, unter 192.168.1.10 angesprochen zu werden; da dies aber nicht möglich ist, da diese IP nicht in meinem Netzwerk explizit angegeben ist (und ich die IP Range 192.168.1.0/24 auch gar nicht habe

    Aus diesem Grund wird der Ping an diese Adresse ans Upstream Gateway weitergeleitet. Was da dann weiter passiert, hängt von dessen Konfiguration ab, diese liegt aber vermutlich nicht in deinem Einflussbereich.

    Grüße



  • Die IP-Kamera ist noch auf DHCP eingestellt nehme ich an. Wenn für sie am vorgesehenen VLAN-Interface
    durch pfSense eine IP-Adrese zugewiesen wird, ist sie bei entsprechend gesetzter "ICMP-Regel" für dieses
    VLAN-Interface auch mittels ping von jedem Host in den lokale Netzen ereichbar.
    So ist zumindest die Theorie.

    Wie sehen denn die Regeln für das VLAN-Interface aus?



  • Vielen Dank für Eure Tipps!

    Ich weiß nicht, woran es lag... aber jetzt ist das Gerät unter der von mir festgelegten IP Adresse erreichbar...

    Die statische IP lässt sich unter pfSense direkt auch nicht anpingen (bzw. 100% package loss), aber die von mir festgelegte Adresse ist anpingbar (sowohl unter pfSense, als auch vom Rechner) und die Weboberfläche lässt sich plötzlich auch Problemlos öffnen.



  • Ich reiche mal nach... dasselbe Problem trat jetzt schon bei zwei weiteren Kameras auf. Bei denen hat es sich leider jeweils nicht "von alleine" gelöst, wie es ja vorher der Fall war.

    Die Kameras haben in dem Fall beide die feste IP 192.168.1.10. Von pfSense wird kein solcher IP Bereich vergeben.

    Ich kann die Kameras hoffentlich * auf DHCP umstellen, hierfür muss ich sie aber natürlich erst einmal erreichen, um die entsprechenden Einstellungen vorzunehmen. Das VLAN, in dem sich die Kameras befinden, läuft unter 192.168.10.0/24.

    -> * diese Kameras haben erfahrungsgemäß alle dasselbe Webinterface mit der gruseligen ActiveX Control, für die man immer eine VM mit Windows anfeuern muss ;-)

    Ich habe einen UniFi Switch, der zwischen pfSense und der Kamera steht. Dieser Switch gibt der Kamera via PoE+ Energie; dort wird im Webinterface auch die statisch vorgegene IP 192.168.1.10 angezeigt. Ich kann über den Switch direkt aber keine andere IP zuweisen.

    Unter pfSense erhält die Kamera erst via DHCP eine IP, was ich aber grundsätzlich bei allen Geräten in meinem Netzwerk durch eine statische IP austausche. Nehmen wir für diese Kamera mal 192.168.10.71. Unter der IP ist sie nicht erreichbar, unter 192.168.1.10 allerdings auch nicht).

    Das hier sind die Rules für mein IOT Interface
    alt text

    Von oben nach unten

    • bestimmte Geräte dürfen auf einen dockerized nginx Webserver zugreifen, um eine Update Datei zu laden
    • FireTV darf auf Plex zugreifen
    • Raspberry Pi darf Daten auf dockerized influxdb schreiben
    • smb
    • smb (anderer Port)
    • Geräte aus IOT Vlan dürfen nicht auf das Haupt LAN Zugreifen
    • bestimmte Geräte dürfen aus IOT auf das Internet zugreifen
    • kein Gerät aus IOT darf auf das Internet zugreifen
    • Geräte aus IOT dürfen nicht auf andere Gerät in IOT zugreifen (ich glaube mittlerweile gelesen zu haben, dass Geräte in einem VLAN immer untereinander kommunizieren dürfen, weshalb diese Regel wohl Quatsch ist..?)

    Die Kameras dürfen Grundsätzlich alle nicht ins Internet. Ich habe eine dieser beiden Problemcams nun einmal ins Internet gelassen, in der Hoffnung, dass sie kurz aus dem Internet die Erlaubnis einholen muss, überhaupt benutzt zu werden (war glaube ich bei einer anderen Kamera mal der Fall, dass sie funktionierte, nachdem sie einmalig im Internet war und ich den Zugriff wieder unterbunden habe).

    Vielleicht hat ja hier noch jemand eine Idee, wie ich die Geräte zum Laufen bringen kann. Würde mich sehr freuen!



  • Auszug auf der Dokumentation von pfSense:

    "Firewall Rule Basics

    Firewall rules control what traffic is allowed to enter an interface on the firewall. Once traffic is passed on the interface it enters an entry in the state table is created. A state table entry allows through subsequent packets that are part of that connection.

    Firewall rules on Interface and Group tabs process traffic in the Inbound direction and are processed from the top down, stopping at the first match. Where no user-configured firewall rules match, traffic is denied. Rules on the LAN interface allowing the LAN subnet to any destination come by default. Only what is explicitly allowed via firewall rules will be passed."

    Ob deine Regeln deinem Problem angemessen sind mußt du selbst rausfinden.

    LG



  • @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    Die Kameras haben in dem Fall beide die feste IP 192.168.1.10. Von pfSense wird kein solcher IP Bereich vergeben.
    Nehmen wir für diese Kamera mal 192.168.10.71. Unter der IP ist sie nicht erreichbar, unter 192.168.1.10 allerdings auch nicht).

    Die Kameras haben zusätzlich zur IP auch ein Netzmaske, vermutlich /24. (Und hoffentlich auch ein konfigurierbares Gateway.)

    Damit du mit der Kamera so kommunizieren kannst, muss dein Rechner ebenfalls eine IP aus dem Netz 192.168.1.0/24 haben und direkt mit der Kamera verbunden sein oder zumindest im selben physischen Netz sein. Wenn im Netz, musst du eine der Kameras erst trennen, bis du sie umkonfiguriert hast, damit sich die beiden nicht in die Quere kommen.

    Versuchst du die Verbindung auch in dieser Weise?



  • @viragomann vielen Dank für die Informationen.

    Wenn ich erst einmal mit der Kamera verbunden bin, kann ich statische IP oder DHCP, Netzmaske, und Gateway einstellen.
    Welche Werte dort aktuell eingestellt sind, kann ich leider nicht erkennen. Es gibt praktisch keine Docs, nur ein mitgeliefertes Faltblatt mit IP der Kamera und Login Daten...

    Ich habe eben meinem Rechner eine passende IP zugewiesen. Ein Zugriff auf die Kamera ist trotzdem nicht möglich. "Im physischen Netz" trifft zu, beide Geräte sind aber in unterschiedlichen VLANs.

    Der Versuch, die Kamera direkt via Ethernet mit meinem Computer zu verbinden, hat bislang auch nicht funktioniert. In dem Fall hatte das entsprechende Interface dann auch eine passende IP Adresse.

    Ich habe immer nur ein Gerät zur Zeit verbunden, das ich konfigurieren möchte. Etwas komisch finde ich, dass es "damals" (also vor ca. 2 Monaten, als ich den Thread erstellt hatte) plötzlich ohne Änderung der Einstellungen, aber auch ohne Erklärung, warum das denn so ist, funktioniert hat. Jetzt bleiben die Geräte stoisch nicht erreichbar.

    EDIT: gerade jetzt, quasi Sekunden nach dem Abschicken dieser Nachricht, rufe ich die IP der Kamera, die sie statisch von pfSense bekommen haben soll (und auch hat) auf, und es funktioniert!! WTF?! Also geht es doch wieder, und auch wieder ohne mir nachvollziehbaren Grund, warum es denn auf einmal funktioniert.

    Beim Testen hatte ich auch angedacht, dass sich vielleicht die DHCP Leases oder so in die Quere kommen könnten. Habe das Gerät, auf dem pfSense läuft, sowie den UniFi Switch, komplett neu gestartet. Das war vor ein paar Stunden. Nach dem Neustart ging die Kamera immer noch nicht. Ich habe sie dann einfach trotzdem verbunden gelassen. Jetzt lässt sich zumindest die IP aufrufen. Mal sehen, was ich mit der Windows VM da noch konfigurieren kann.....



  • Beim Lesen dieses Themas könnte man am deterministischen Verhalten von Netzwerkeinstellungen
    zweifeln.
    Aus heiterem Himmel verändert sich plötzlich was zum Positiven oder auch nicht.



  • Ihr werdet lachen, aber heute ist dieser dämliche Fehler schon wieder passiert.

    Zwei neue IP Kameras. Beide (jeweils zu unterschiedlichen Zeiten, damit sie sich nicht in die Quere kommen) angeschlossen. Beide ließen sich nicht erreichen. Ich habe erst eine verbunden gelassen und ihr eine statische IP (innerhalb pfSense) zugewiesen. Ohne Erfolg. Irgendwann habe ich die zweite Kamera zusätzlich auch noch angeschlossen; diese wurde komischerweise vom DHCP Server nicht erkannt (sonst hätte sie ja eine IP zugewiesen bekomme), also habe ich ihr anhand ihrer MAC Adresse -die ich über die UniFi Controller Software auf meinem Switch herausfinden konnte- auch eine IP zugewiesen.

    Stundenlang ist NICHTS passiert. Plötzlich war eine der beiden Kameras dann über die zugewiesene Adresse (über die sie ja vorher, also mehrere Stunden seit IP Zuweisung nicht erreichbar gewesen war) plötzlich ansprechbar.

    Die Kamera, die im DHCP Server sichtbar war, und der ich dann eine feste IP zugeteilt habe, funktioniert mittlerweile. Die andere (DHCP anhand der MAC aus UniFi) ist immer noch nicht unter ihrer Wunsch-IP erreichbar. Unter 192.168.1.10 auch nicht, zumindest weder direkt von pfSense anpingbar, noch über eine VM mit IP 192.168.1.xx zu erreichen.

    Gibt es keine Möglichkeit, herauszufinden, wo der Fehler liegt? Oder anders: was passiert, damit die Geräte jeweils endlich unter der entsprechenden IP erreichbar sind?

    Mein aktueller Gedanke ist, die Kameras sind von Werk aus unter der192.168.1.10 erreichbar. Wenn für Zeit X (in diesem Fall > 3 Stunden) nicht passiert, wechselt sie automatisch von statischer IP auf DHCP und ist dann irgendwann erreichbar.
    Vielleicht ist morgen früh die jetzt nicht erreichbare Cam ja auch ansprechbar, weil bei der "Zeit X" halt nicht ca. 3h, sondern vielleicht 12h ist und sie morgen früh plötzlich auf DHCP steht und die per pfSense zugewiesene IP hat...??!?

    Aber das müsste man doch aus den pfSense Logs herauslesen können. Welches Logfile müsste ich dafür durchsuchen, und wonach (Event, regex, ...?), um da Infos zu bekommen? Naheliegend wäre ja das Log des DHCP Servers. Dort konnte ich beim Durchscrollen gerade nichts erkennen (weiß aber auch nicht, worauf ich achten müsste).

    Jetzt könnte man ja sagen "lass halt die Finger von den blöden China Kameras", aber ich nutze die eigentlich ganz gerne, denn in einem isolierten VLAN (kein Internet, kein Zugriff auf andere VLAN) sind die wirklich unschlagbar, wenn man den Preis von ca. 20 EUR pro Kamera bedenkt. Einziger Haken: das ist erst dann der Fall, wenn sie endlich eingerichtet sind, was aufgrund der IP Problematik halt immer so eine Sache ist.
    Eine nicht-wasserfeste Cam (wurde jedenfalls nicht als IP-irgendwas beworben), die ich nur spaßeshalber mal auf dem Dach installiert habe, steht dort seit über einem Jahr und hat entsprechend alle Jahreszeiten ohne Murren mitgemacht.

    Bin weiterhin für jeden Tipp dankbar. Wäre schon schön, die Geräte mal direkt einrichten zu können, anstatt jedes Mal aufs Neue zu rätseln, wann und ob denn der Zugriff mal möglich ist...

    LG



  • @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    in einem isolierten VLAN (kein Internet, kein Zugriff auf andere VLAN)

    Die Zeit auf diesen Teilen wird wie gesetzt?

    LG



  • @Gladius nach der Einrichtung via ntp, entsprechender Server läuft auf pfsense.

    Vorher.... Keine Ahnung! Heute hatte die Kamera irgend eine Fantasieuhrzeit. Das Datum wird im Stream nicht angezeigt, aber die Uhrzeit war (statt beim Start und ohne ntp wie erwartet vielleicht 00:00) gegen 18 Uhr tatsächliche Uhrzeit 14:28 oder so.

    Aber selbst wenn die Kamera beim ersten Start und ohne NTP den Wert 1.1.1970, 00:00 Uhr hätte, könnte sie ja von diesem Wert ab "Zeit X" ermitteln und irgendwann auf dhcp umstellen - wenn meine Vermutung überhaupt stimmen sollte.


    Dazu sei mal angemerkt: obwohl alle Cams via pfsense ntp die Zeit beziehen (pfsense selbst von einem öffentlichen ntp Server) schwankt die auf die Sekunde exakte Zeit von Cam zu Cam im Stream. Das kann aber auch am Lag liegen. Die heute getestete Kamera hatte einige Sekunden Lag (war aber halt auch noch nicht konfiguriert).



  • @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    Jetzt könnte man ja sagen "lass halt die Finger von den blöden China Kameras"

    Das war auch mein erster Gedanke. 😀

    @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    also habe ich ihr anhand ihrer MAC Adresse -die ich über die UniFi Controller Software auf meinem Switch herausfinden konnte- auch eine IP zugewiesen.

    Du meinst, am pfSense DHCP ein statisches Mapping eingetragen?
    Damit hat aber die Kamera aber nicht auch gleich diese IP. Die hat sie, ebenso wie ohne diesem statischen Mapping, erst nach dem sie ihren DHCP-Request gesendet hat. Der einzige unterschied ist, dass damit ihre IP vorgegeben ist.

    @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    Naheliegend wäre ja das Log des DHCP Servers. Dort konnte ich beim Durchscrollen gerade nichts erkennen (weiß aber auch nicht, worauf ich achten müsste).

    Ich würde schauen, wann die MAC der Cam erstmals im Log auftaucht.
    Genaueres lässt sich aber wohl durch eine Sniffen der DHCP-Pakete herausfinden (Packet Capture). Da kann man die gesamte DHCP-Kommunikation zwischen Cam und Server überprüfen und sehen, was die Kamera sendet. Denn sie muss den ersten Schritt tun.



  • @viragomann said in PoE Cam mit statischer IP nicht erreichbar:

    @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    Jetzt könnte man ja sagen "lass halt die Finger von den blöden China Kameras"

    Das war auch mein erster Gedanke. 😀

    Heureka, mein Problem ist gelöst ^^



  • @benjsing said in PoE Cam mit statischer IP nicht erreichbar:

    Heureka, mein Problem ist gelöst

    Ist diese Erkenntnis auch von allgemeinem Interesse? Wenn ja, laß uns doch daran teilhaben.

    LG