iDRAC9에 원격으로 액세스할 수 없는 이유는 무엇입니까?

tag-icon tag-icon router rdp redirection drac
iDRAC9에 원격으로 액세스할 수 없는 이유는 무엇입니까?

iDRAC9 Basic이 포함된 Dell PowerEdge T350이 있습니다. 서버는 인터넷에 연결된 업스트림 라우터에 연결된 스위치에 연결됩니다. 매우 간단합니다. 서버의 NIC1이 모두 스위치에 연결되어 있고 iDRAC의 자체 UTP LAN 카드에도 연결되어 있습니다. iDRAC를 활성화했으며 동일한 스위치(인트라넷이라고도 함)에 연결된 다른 호스트에서 웹 GUI에 액세스할 수 있습니다.

서버의 두 LAN 인터페이스 모두 DHCP-d가 아닌 고정 인트라넷 IP(192.168.1.x 범위)로 구성되어 있습니다. 라우터의 포트 변환은 고정 IP를 갖는 것이 더 좋기 때문입니다. RDP와 iDRAC라는 두 가지 서비스에 원격으로 액세스할 수 있도록 라우터에서 포트 변환을 구성했습니다. RDP는 서버 OS 자체입니다.

흥미로운 부분은 다음과 같습니다.

  1. 인트라넷을 통해 RDP를 사용하여 서버 OS에 액세스할 수 있습니다.
  2. RDP를 사용하여 서버 OS에 원격으로 액세스할 수 있습니다.
  3. 인트라넷을 통해 iDRAC 웹 GUI에 액세스할 수 있습니다.
  4. iDRAC 웹 GUI에 원격으로 액세스할 수 없습니다.

RDP와 동일한 방식으로 iDRAC 포트 리디렉션(또는 방화벽 핀홀이라고도 함)을 구성했습니다. RDP에는 TCP와 UDP 3389 포트 리디렉션이 모두 필요합니다. iDRAC에는 TCP 443 포트 리디렉션만 필요합니다.

질문:

  1. 기본적으로 인트라넷 액세스를 방지하는 스위치나 구성 옵션이 iDRAC에 있습니까? (라우터에서 주소 변환/NAT가 진행되고 있지만 이 질문이 말이 되지 않을 수도 있습니까?)
  2. 문제의 라우터는 PACE 5268AC FXN입니다. 설명서에서 3389(또는 다른 컴퓨터의 RDP를 고정했기 때문에 3390) 리디렉션을 허용하지만 HTTPS에서는 실패한다는 내용을 찾을 수 없습니다. 방화벽 로그에는 도움이 될만한 유용한 내용이 없습니다. 어떻게든 인트라넷 443 수신 패킷이 라우터에 도달하지 못하는 것 같나요? 이해가 안 돼요.
  3. 또한 443 -> 443 대신 33443 -> 443 및 다른 유형의 리디렉션을 시도했지만 그것도 작동하지 않았습니다.
  4. 또한 iDRAC의 SSL 인증서가 잘못된 것(유효하지 않음)이라고 덧붙였지만 일부 초기 단계에서는 문제가 발생한 것 같습니다. ISP는 AT&T입니다.

기록상 내 iDRAC 펌웨어 버전은 6.10.30.00(빌드 29)이고 iDRAC 설정 버전은 5.00.00.10입니다.

답변1

iDRAC 네트워크 설정을 다시 확인했는데 게이트웨이가 적절했습니다(192.168.1.254). 또한 iDRAC가 게이트웨이를 핑할 수 있는지 검색하고 확인했습니다( racadmin ping 192.168.1.254인트라넷에서 iDRAC 웹 GUI에 로그인했을 때). 라우터의 포트 핀홀 구성도 확인해 봤는데 역시 괜찮은 것 같았습니다. 몇 차례 원격으로 Web GUI에 접속을 시도했는데, 라우터의 방화벽 로그가 아직 해당 패킷을 감지하지 못하고 핀홀 접속으로 인식되었음을 확인했습니다.

무엇이 변경되었는지는 모르겠지만 내 브라우저가 IP 주소를 볼 때 기본적으로 http 프로토콜을 시도할 수 있습니다(DNS 이름 없이 고정 IP 주소로만 원격으로 iDRAc에 액세스하고 있습니다). https 프로토콜을 수동으로 입력하면 시간 초과 대신 오류 메시지:

잘못된 요청

브라우저에서 이 서버가 이해할 수 없는 요청을 보냈습니다.

또한 ErrorDocument를 사용하여 파일 요청을 처리하는 동안 400 Bad Request 오류가 발생했습니다.

이는 Firefox 및 Chromium 기반 브라우저에서 모두 발생했습니다. 그런 다음 이 특정 오류 메시지를 검색하고 기술 자료 문서에서 도움이 되는 해결 방법을 찾았습니다.iDRAC9 펌웨어 버전 5.10.00.000에서 HTTP/HTTPS FQDN 연결 실패

원인 iDRAC9 펌웨어 버전 5.10.00.00의 웹 서버는 기본적으로 HTTP/HTTPS 호스트 헤더 확인을 시행합니다. 해결 기본적으로 iDRAC9는 HTTP/HTTPS 호스트 헤더를 확인하고 정의된 'DNSRacName' 및 'DNSDomainName'과 비교합니다. 값이 일치하지 않으면 iDRAC는 HTTP/HTTPS 연결을 거부합니다. iDRAC9 5.10.00.00에서는 다음 RACADM 명령을 사용하여 이 호스트 헤더 적용을 비활성화할 수 있습니다.

#Disable host header check
racadm set idrac.webserver.HostHeaderCheck 0

이제 이것이 보안 위험을 초래하는지 궁금합니다. 고정되지 않은 IP에서 iDRAC에 액세스하고 IP 주소로 주소를 지정합니다. 필요한 HTTP 헤더를 삽입하는 REST 클라이언트만 생각할 수 있습니다. 하지만 적어도 이제 iDRAC 웹 GUI에 액세스할 수 있습니다.

답변2

해결 방법은 FQDN 대신 IP 주소를 사용하는 것입니다. 그러면 작동합니다.

관련 정보