Tengo un Dell PowerEdge T350 con un iDRAC9 Basic. El servidor está conectado a un conmutador que está conectado a un enrutador ascendente que está conectado a Internet. Muy simple. Tanto la NIC1 del servidor está conectada al conmutador como también la propia tarjeta LAN UTP del iDRAC. Habilité el iDRAC y puedo acceder a la GUI web desde otro host conectado al mismo conmutador (también conocido como intranet).
Ambas interfaces LAN del servidor tienen configuradas IP de intranet estáticas (en el rango 192.168.1.x) y no DHCP-d, ya que las traducciones de puertos en el enrutador es mejor que tengamos una IP fija. Configuré las traducciones de puertos en el enrutador para poder acceder a dos servicios de forma remota: RDP e iDRAC. El RDP es el propio sistema operativo del servidor.
Aquí viene la parte interesante:
- Puedo acceder al sistema operativo del servidor con RDP a través de la intranet
- Puedo acceder al sistema operativo del servidor con RDP de forma remota
- Puedo acceder a la GUI web de iDRAC a través de la intranet
- NO PUEDO acceder a la GUI web de iDRAC de forma remota
Configuré la redirección del puerto iDRAC (o podemos llamarlo orificio del firewall) de la misma manera que lo hice con el RDP. Aunque el RDP necesita la redirección de puertos TCP y UDP 3389. El iDRAC solo necesita la redirección del puerto TCP 443.
Preguntas:
- ¿Existe algún interruptor u opción de configuración en el iDRAC que impida el acceso a la intranet de forma predeterminada? (Aunque el enrutador realiza una traducción de dirección/NAT, ¿es posible que esta pregunta ni siquiera tenga sentido?)
- El enrutador en cuestión es un PACE 5268AC FXN. No puedo encontrar nada en el manual que indique que permitiría la redirección 3389 (o también 3390 porque también coloqué el RDP de otra máquina) pero fallaría con HTTPS. No veo nada útil en el registro del firewall que pueda ayudar. ¿Parece que de alguna manera los 443 paquetes entrantes de la intranet ni siquiera llegan al enrutador? No lo entiendo.
- También probé 33443 -> 443 y otro tipo de redirecciones en lugar de 443 -> 443, pero tampoco funcionó.
- También agrego que el certificado SSL del iDRAC es un fracaso (no válido), pero parece que falla en alguna etapa anterior. El ISP es AT&T.
Para que conste, mi versión de firmware de iDRAC es 6.10.30.00 (compilación 29), versión de configuración de iDRAC 5.00.00.10
Respuesta1
Verifiqué dos veces la configuración de red de mi iDRAC y la puerta de enlace era adecuada (192.168.1.254). También busqué y verifiqué que el iDRAC puede hacer ping a la puerta de enlace (racadmin ping 192.168.1.254 cuando inicié sesión en la GUI web del iDRAC en la intranet). También verifiqué la configuración del puerto del enrutador, que también parecía estar bien. Intenté acceder a la GUI web de forma remota varias veces y verifiqué que los registros del firewall del enrutador no contenían esos paquetes y los reconocían como acceso estenopeico.
No estoy seguro de qué cambió, pero tal vez mi navegador prueba el protocolo http de forma predeterminada cuando ve una dirección IP (estoy accediendo al iDRAc de forma remota solo con una dirección IP estática, sin nombre DNS), cuando introduzco manualmente el protocolo https, tengo que un mensaje de error en lugar de un tiempo de espera:
Solicitud incorrecta
Su navegador envió una solicitud que este servidor no pudo entender
Además, se encontró un error 400 Bad Request al intentar utilizar un ErrorDocument para manejar la solicitud de archivo.
Esto fue tanto con los navegadores basados en Firefox como en Chromium. Luego busqué este mensaje de error específico y en un artículo de la base de conocimientos encontré una solución que me ayudó:Errores de conexión HTTP/HTTPS FQDN en la versión 5.10.00.000 del firmware del iDRAC9
Causa El servidor web en la versión 5.10.00.00 del firmware del iDRAC9 aplica una verificación del encabezado del host HTTP/HTTPS de forma predeterminada. Resolución De forma predeterminada, iDRAC9 comprobará el encabezado del host HTTP/HTTPS y lo comparará con los 'DNSRacName' y 'DNSDomainName' definidos. Cuando los valores no coinciden, el iDRAC rechazará la conexión HTTP/HTTPS. En iDRAC9 5.10.00.00, esta aplicación del encabezado del host se puede desactivar con el siguiente comando RACADM.
#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0
Ahora me pregunto si esto representa algún riesgo para la seguridad. Accedemos al iDRAC desde IP no fijas y lo abordamos con una dirección IP. Solo puedo pensar en un cliente REST que inyectaría los encabezados HTTP requeridos. Pero al menos ahora puedo acceder a la GUI web del iDRAC.
Respuesta2
Una solución es utilizar la dirección IP en lugar del FQDN. Entonces funciona.