本帖最后由 新手148744 于 2023-1-6 11:19 编辑
问题现象:用户反馈防火墙做的端口映射能通,但是外网登录客户端后,视频预览时却显示“取流失败”错误代码0x0193ea8f,但内网访问视频预览却是正常的。于是开始了一段简单而复杂的排查之路。
前期排查思路: 一开始我听到这个问题时,首先想到的是:咱整这个海康威视的端口映射也不是一回两回了,查映射,开直通就行了呗。实际排查起来却没这么简单。
1.先查看AF映射关系,开直通看有无拦截日志,进行抓包;
然而却发现,AF映射端口正确且测试能通;对服务器开直通用户也显示“取流失败”,并且奇怪的是,AF的直通日志上并没有显示数据包。
2.对内网其他防火墙也开直通,测试依旧如此。这个时候只能抓包看了,然后就发现防火墙到服务器的数据包是能通的,但是外网口却抓不到包。
(提醒大家:在这我其实犯了个错,出口防火墙上开直通时只对服务器地址开直通了,没有对源地址开直通。这就造成对目的地址开直通时,只有内网口的数据包,而目的地址是外网接口IP和端口的数据包就没了。抓包取证时也是同理……)
无效排查步骤
我没招了,心想百度吧,实在不行从内外网分别访问测试去抓包,对比下看看哪不一样。(此为无效排查步骤,但比较有用的是,我发现百度上查到的海康威视取流端口大部分只说需要映射的只有TCP-554端口,不知道用户这个TCP-655端口是干嘛的。于是百度了一下,发现这是客户端与服务器连接时使用的端口)实际抓包时由于设置的抓包命令选择网口不对,没抓到有效数据包。
联系400协助排查
联系400排查,重新测试抓包。发现AF的丢包是服务器方向发起的,而具体丢包标记则显示是5826,400说这是上网行为管理(AC)的丢包标记。让登录到AC去查看。
AC开直通后,显示是【应用规则】-“RTSP-request”丢包。然后就好办了。。。
处理方式
登录AC的日志中心确认具体的拦截策略名称为“禁止访问网站及应用”,再调整策略,搜索关键字找到RTSP后去掉勾选。
最后用户访问后,再次查询验证结果。此时用户的日志审计记录已由“拒绝”状态变为“记录”状态。
总结今天的知识点 1.抓包时犯的低级错误:未明确五元组的IP和端口就进行抓包,导致杂包过多或没有数据包。 2.这次学会了筛选以及在哪里看丢包标记。对wireshark还不熟悉,需要学习。 3.补充知识点: 【错误码】: 0x0193ea8f 【所属组件】:dac 【错误描述】:HPSClient接收服务端响应超时(options) 【错误建议】:1.使用[wireshark/tcpdump]在客户端端和服务端同时抓取网络包分析 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2023-1-16 14:57
发表于 2023-1-6 09:17
工程师2级 
