外网PC无法正常访问内网监控视频服务器

发布时间:  2014-11-28 浏览次数:  563 下载次数:  0
问题描述
内网PC的IP为192.168.3.196能正常访问海康威视的监控视频服务器,输入用户名和密码后,能预览监控的视频;内部服务器映射成公网地址,外网访问113.107.66.154的地址,在输入用户名和密码后,无法预览视频。
告警信息
处理过程
拓扑结构:  


处理过程:
确认客户的拓扑结构为上图,确认SW为二层交换机,海康威视监控视频服务器开放的端口为81、1025、8001,配置如下:
nat server 4 protocol tcp global 113.107.66.154 81 inside 192.168.3.21 81 no-reverse
nat server 5 protocol tcp global 113.107.66.154 8001 inside 192.168.3.21 8001 no-reverse
nat server 6 protocol tcp global 113.107.66.154 1025 inside 192.168.3.21 1025 no-reverse
查看公网口的配置:
interface Ethernet0/0/0
ip address 113.107.66.154 255.255.255.248
service-manage enable
service-manage http permit
service-manage ping permit
service-manage snmp permit
nat enable
detect ftp
安全域间的配置:
firewall interzone trust untrust
detect ftp
detect mms
detect mgcp
detect pptp
detect sip
detect sqlnet
detect h323
detect rtsp
detect qq
detect msn
detect dns
detect ils
detect netbios
detect icq

查看了配置,在公网口配置了detect ftp,怀疑是安全域内的接口没有放行相应的视频音频协议,在公网口配置detect sip、 detect H323 、 detect mgcp、detect rtsp依旧不生效。
在查看防火墙上的会话信息:
http  VPN:public --> public
  Zone: untrust--> trust  TTL: 00:00:10  Left: 00:00:00
  Interface: Vlanif1  NextHop: 192.168.3.21  MAC: 00-40-48-c1-12-99
  <--packets:8 bytes:3423   -->packets:7 bytes:693
  183.10.163.4:49793[113.107.66.154:45720]-->113.107.66.154:81[192.168.3.21:81]
是有外网正常访问内网视频服务器的会话,这与实际实相符的,只是能登陆视频服务器,但是预览不了视频。

此时再从内网PC和外网PC分别去访问视频服务器,再通过抓取PC的报文查看:

内网正常访问抓包情况:


   


外网PC抓包情况:


因为视频服务器涉及的是TCP报文,过滤抓包信息查看,内网正常访问视频服务器是有TCP的RTSP报文数据流和三次握手成功的过程, This is an ACK to the segment in frame: 43478。对比查看外网PC抓包TCP的RTSP报文交互过程是不成功的。




  
  
根因
RTSP(Real Time Streaming Protocol)实时流传输协议,是用来控制声音或影像的多媒体串流协议,并允许同时多个串流需求控制,传输时所用的网络通讯协定并不在其定义的范围内,服务器端可以自行选择使用TCP或UDP来传送串流内容。从报文交互的过程可看出,外网的PC一直在请求视频服务器的554端口,所以需要在防火墙上开启554的端口转换。
解决方案
在全局下添加nat server 7  protocol tcp global 113.107.66.154  554 inside 192.168.3.21 554  no-reverse,外网能正常访问内部视频服务器。
建议与总结
防护墙上做NAT转换的时候,对于某些服务器的协议报文交互可能会有影响,此时的话可能会出现无法访服务器的情况,需要多多排查协议报文交互的过程,查配置,查看会话信息,最后不行的话就抓包,对比抓包是一种比较好的方式。客户当前的场景是没搞清楚服务器有哪些端口需要开放导致!

END