Problema comunicare embedded systems

Salut! Vreau sa explic o situatie.
Am doua dispozitive embedded, pe care le vom denumi D1 si D2, amandoua functioneaza local pe portul 8000 si extern port 443. Amandoua au cate un certificat electronic instalat.  Amandoua transmit aceeasi informatie, difera doar certificatul. Dispozitivele se conecteaza la un server extern denumit S1.
In locatia unde sunt instalate D2 nu mai vrea sa comunice pe extern (nu se conecteaza la server). Am schimbat ip, ip static/dhcp, adresa MAC, cabluri, pana si routerul, am eliminat firewall, am pus dispozitivul pe DMZ, etc... pentru ca in alta locatie, D2 si D1, cu aceeasi configurare transmite catre S1 indiferent de configuratie.

Ca sa ma fac inteles sa eliminam niste dubii:
In Locatia 1, doar D2 nu transmite , pe local functioneaza corect
In Locatia 2, transmit amandoua.
Nu e problema de server sau cetificat.
Locatiile au provideri diferiti, dar nu se pune problema de blocat porturi atata timp cat D1 transmite.

Intrebari:

Ce problema credeti ca ar putea sa fie?

Poate sa existe la unul din furnizori un echipament care sa filtreze pachetele si sa recunoasca un certificat sau un id al dispozitivului, si sa blocheze unul din dizpozitive? Eu cred ca atata timp cat am un router si un singur ip nu vad de ce ar bloca doar unul din dispozitive.

Nu este foarte clar cum anume se conecteaza dispozitivele la server . Cum accesezi dispozitivele din extern ? Pentru ca pe un singur port (443) nu le poti accesa pe ambele daca sunt in spatele unui firewall.

Edited by marchand, 14 July 2023 - 10:55.

marchand, on 14 iulie 2023 - 10:55, said:

Nu accesez disposizitvele, ele acceseaza un server cum acceseaza un browser o pagina web prin ssl.

Poate unul din provideri consideră atac informatic dacă ai mai multe dispozitive ce folosesc același port pt. comunicație externă. E vorba de invertoare fotovoltaice?

Edited by mihaicozac, 14 July 2023 - 11:32.

443 presupun ca inseamna ca dispozitivele se conecteaza prin https la S1. Poti sa verifici de pe server ce se intampla? Macar incepe handshak-ul?

mihaicozac, on 14 iulie 2023 - 11:32, said:

Sa considere un atac... nu stiu, care sa fie cauza? Nu este vorba de panouri, este vb de case de marcat. Am un singur model care este problematic.

_bcristian_, on 14 iulie 2023 - 11:36, said:

Nu pot, e vorba  de un server ANAF. Stiu, a-ti spune ca ei mereu au probleme (si nu zic ca nu), dar daca functioneaza un dispozitiv inseamna ca functioneaza serverul. Iar problema s-a extins pe 3 zile.

Am o solutie, ii conectez un modul gprs si o cartela sim si am rezolvat balamucul. Dar pe mine ma intereseaza sa stiu care este cauza. Am sunat la providerul de internet dar.. mai greu cu specialistii. In principiu daca merge google... merge netu'

Edited by Dany_Darke, 14 July 2023 - 11:57.

Primul lucru care trebuie sa il faci este sa verifici conectivitatea ip . Ai dat un ping de pe dispozitivul respectiv catre ip-ul serverului ?

Nu am posibilitatea de a da ping, as fi dat si traceroute, in schimb: 1.am schimbat ip, mac cu cel al primului dispozitiv si l-am montat inl ocul lui, am facut orice a trebuit sa ma asigur ca local  functioneaza, si pe local functioneaza, dar pe local se foloseste cu totul alta informatie. In alta locatie functioneaza perfect, am setat ip-ul in router ca dmz, am facut port forwarding, am dezactivat firewall, am schimbat si router. Acolo nu functioneaza, in alta locatie functioneaza, diferenta este de provider de internet.  Sau ceva ce imi scapa, motiv pt care am postat pe acest forum.

Edited by Dany_Darke, 14 July 2023 - 12:26.
nu mai cita inutil

Cred ca se realizeaza o conexiune OpenVPN care are nevoie de un certificat pentru autentificare si foloseste portul TCP 443 pentru tunel. Cumva serverul refuza autentificarea lui D2. Cel mai bine solicita un alt certificat. Mai poti creea o conexiune vpn intre 2 routere cum ar fi cel de la magazin si cel de acasa. Va fi ca si cum ti-ai schimbat isp-ul daca cel de acasa e diferit.

Edited by Leo2006, 14 July 2023 - 12:16.

Da si tu mai multe detalii. Ce anume dispozitive embedded folosesti , ce OS au instalat , etc...

Leo2006, on 14 iulie 2023 - 12:13, said:

Multumesc frumos pentru raspuns. Ideea este ca refuza doar intr-o locatie, dar alt dispozitiv in aceeasi locatie merge. Stiu, nici eu nu am gasit logica.

marchand, on 14 iulie 2023 - 13:18, said:

Nu stiu cat este de relevant sa dau mai multe detalii. Este o situatie pe care o poti intampina ca servisant. Pana la urma si daca ai windows linux macos trebuie sa poti accesa google.ro. Nu este o situatie de configurare. Daca din pct B se realizeaza comunicatia si in pct A nu se realizeaza. Te gandesti ca e problema in pct A. OK? Daca muti echipamentele din pct B in pct A si schimbi setarile pentru providerul de internet ca sa se poata realiza conexiunea si tot nu comunica, te gandesti ca e problema de provider nu? Te mai gandesti ca e problema de dispozitiv, dar incodata, dispozitivul comunica in alta locatie. Nu am posibilitatea de a le muta in alte locatii, de a face teste cu diversi provideri.  Desi cred ca am dat toate detaliile, daca este nevoie am sa mai explic situatia.

Eu ma gandesc la altceva, daca stie cineva mai in detaliu cum functioneaza echipamentele care au functie de scanare profunda a pachetelor (DPI), daca este posibil sa aiba impresia ca este spam sau malware sau nu este conform cu "obiceiurile de navigare web ale clientiilor". Dar in cazul acesta de ce doar un echipament sa nu functioneze, poate routerul sa impacheteze o serie sau ceva unic in functie de echipament daca acesta trimite date criptat?

Edited by Dany_Darke, 14 July 2023 - 14:46.

mihailmar8, on 14 iulie 2023 - 13:42, said:

Pe bune ?
Adica noi ar trebui sa visam ce scule folosesti si cum trebuie ele configurate  .

Doar pentru ca sunt echipamente embedded nu inseamna ca nu poti face teste.
Din ce imi dau eu seama tu ai o problema de retea (aka comunicare) insa nu ai facut sau nu ai precizat ca ai facut o diagnosticare a traficului respectiv, indiferent ca ar fi prin interceptare sau alta metoda.
Practic tu nu stii nici macar in care faza (sau layer de comunicatie) se intrerupe comunicarea... nici daca serverul sau clientul refuza comunicarea sau asteapta aiurea pana ajunge la timeout... pactic nu ai idee de ce anume se intampla "in spate" si de data asta nu au mai dat roade cateva incercari reusite alte dati.

Ai scris ca este vina ISP-ului... este posibil... insa atata timp cat nu poti sa-i arati ISP-ului (cu dovezi electronice) ca este de la el si nu de la tine probabil ca nici macar nu o sa treci de level 1 support pentru ca or sa presupuna ca este o problema la tine in retea.

Am rezolvat situatia, problema a fost de la providerul de internet. Nu mi-au spus ce si de ce, dar pe undeva pe drum se bloca transmisia.

dagobar, on 14 iulie 2023 - 15:47, said:

Nu sunt simple echipamente embedded, sunt echipamente la care nu am aces din cauza politicii de securitate, am acces doar la unele optiuni de meniu, in care imi arata ca e conectat la retea, imi aratat ip si pot incarca un certificat. Nu vreau si e de dosar penal sa conectez echipamentele la pc si sa modific softul.

dagobar, on 14 iulie 2023 - 15:47, said:

Repet, nu am acces la mai nimic, nu tu server, nu tu loguri de retea, nu tu loguri in cm, doar o eroare de comunicare catre server.
Cat despre modelul OSI am explicat: La nivel fizic este in regula, am testat tot, la nivel legatura de date (MAC LLC) am spus ca am facut teste a fost in regula, in schimb la nivel de retea, de acolo incepea buba pentru ca nu sunt echipamentele mele. Nu o sa-ti de acces niciodata ISP-ul sau STS-ul. No hate!

Intrebarile mele au fost: "Ce problema credeti ca ar putea sa fie?
Poate sa existe la unul din furnizori un echipament care sa filtreze pachetele si sa recunoasca un certificat sau un id al dispozitivului, si sa blocheze unul din dizpozitive? Eu cred ca atata timp cat am un router si un singur ip nu vad de ce ar bloca doar unul din dispozitive."

Raspuns: Intr-adevar a fost problema la furnizorul de internet. Raspuns 2: Furnizorul nu filtreaza pachetele sau cel putin asa spune el.

Lectii invatate:
Apeleaza la ISP, se mai schimba oamenii. Tipul cu care am vorbit in cele din urma era mai "profi" fata de ce am intalnit pana acum, ne-am inteles imediat.

Topic inchis! Multumesc pentru ajutor! Raman si eu dator la randul meu sa va ajut cu niste raspunsuri!