Eu tenho um Dell PowerEdge T350 com um iDRAC9 Basic. O servidor está conectado a um switch que está conectado a um roteador upstream que está conectado à internet. Muito simples. O NIC1 do servidor está conectado ao switch e também a própria placa UTP LAN do iDRAC. Habilitei o iDRAC e posso acessar a GUI da web de outro host conectado ao mesmo switch (também conhecido como intranet).
Ambas as interfaces LAN do servidor possuem IPs de intranet estáticos configurados (na faixa 192.168.1.x) e não DHCP-d, já que as traduções de porta no roteador é melhor que tenhamos um IP fixo. Configurei as traduções de porta no roteador para que dois serviços pudessem ser acessados remotamente: RDP e o iDRAC. O RDP é o próprio sistema operacional do servidor.
Aqui vem a parte interessante:
- Posso acessar o sistema operacional do servidor com RDP via intranet
- Eu posso acessar o sistema operacional do servidor com RDP remotamente
- Posso acessar a GUI da Web do iDRAC por meio da intranet
- NÃO CONSIGO acessar remotamente a GUI da Web do iDRAC
Configurei o redirecionamento de porta do iDRAC (ou podemos chamá-lo de firewall pin hole) da mesma forma que fiz com o RDP. Embora o RDP precise de redirecionamento de porta TCP e UDP 3389. O iDRAC só precisa de redirecionamento de porta TCP 443.
Questões:
- Existe algum switch ou opção de configuração no iDRAC que impeça o acesso à intranet por padrão? (Embora haja uma tradução de endereço / NAT acontecendo pelo roteador, essa pergunta pode nem fazer sentido?)
- O roteador em questão é um PACE 5268AC FXN. Não consigo encontrar nada no manual que indique que ele permitiria o redirecionamento 3389 (ou também 3390, porque também prendi o RDP de outra máquina), mas falharia com HTTPS. Não vejo nada útil no log do firewall que possa ajudar. Parece que de alguma forma os pacotes de entrada da intranet 443 nem chegam ao roteador? Eu não entendo.
- Também tentei 33443 -> 443 e outros tipos de redirecionamento em vez de 443 -> 443, mas também não funcionou.
- Acrescento também que o certificado SSL do iDRAC é um fracasso (não é válido), mas parece que a coisa falha em algum estágio anterior. O provedor é AT&T.
Para o registro, minha versão do firmware iDRAC é 6.10.30.00 (Build 29), iDRAC Settings versão 5.00.00.10
Eu verifiquei minhas configurações de rede do iDRAC, o gateway estava correto (192.168.1.254). Também procurei e verifiquei se o iDRAC pode executar ping no gateway (
racadmin ping 192.168.1.254quando fiz login na GUI da web do iDRAC na intranet). Também verifiquei a configuração do pinhole da porta do roteador, que também parecia boa. Tentei acessar a GUI da Web remotamente algumas vezes e verifiquei que os logs do firewall do roteador não registravam esses pacotes e os reconheciam como acesso pinhole.Não tenho certeza do que mudou, mas talvez meu navegador tente o protocolo http por padrão quando vê um endereço IP (estou acessando o iDRAc remotamente apenas com um endereço IP estático, sem nome DNS), quando coloquei manualmente o protocolo https, consegui uma mensagem de erro em vez de um tempo limite:
Isso ocorreu com os navegadores baseados em Firefox e Chromium. Em seguida, procuro esta mensagem de erro específica e, em um artigo da Base de conhecimento, encontrei uma solução que ajudou: Falhas de conexão HTTP/HTTPS FQDN no firmware iDRAC9 versão 5.10.00.000
Agora eu me pergunto se isso representa algum risco de segurança. Acessamos o iDRAC a partir de IPs não fixos e o endereçamos com um endereço IP. Só consigo pensar em um cliente REST que injetaria os cabeçalhos HTTP necessários. Mas pelo menos posso acessar a GUI da web do iDRAC agora.