我有一台带有 iDRAC9 Basic 的 Dell PowerEdge T350。服务器连接到交换机,交换机连接到路由器上游,路由器上游连接到互联网。很简单。服务器的 NIC1 和 iDRAC 自己的 UTP LAN 卡都连接到交换机。我启用了 iDRAC,我可以从连接到同一交换机(又名 Intranet)的另一台主机访问 Web GUI。
服务器的两个 LAN 接口都配置了静态内网 IP(在 192.168.1.x 范围内)而不是 DHCP-d,因为路由器上的端口转换我们最好有一个固定的 IP。我在路由器上配置了端口转换,以便可以远程访问两项服务:RDP 和 iDRAC。RDP 是服务器操作系统本身。
有趣的部分来了:
- 我可以通过内部网使用 RDP 访问服务器操作系统
- 我可以使用 RDP 远程访问服务器操作系统
- 我可以通过内联网访问 iDRAC Web GUI
- 我无法远程访问 iDRAC Web GUI
我以与 RDP 相同的方式配置 iDRAC 端口重定向(或者我们可以称之为防火墙针孔)。虽然 RDP 需要 TCP 和 UDP 3389 端口重定向。iDRAC 只需要 TCP 443 端口重定向。
问题:
- iDRAC 上是否有任何开关或配置选项默认阻止内联网访问?(尽管路由器正在进行地址转换/NAT,所以这个问题甚至可能没有意义?)
- 有问题的路由器是 PACE 5268AC FXN。我在手册中找不到任何表明它允许 3389(或 3390,因为我也对另一台机器的 RDP 进行了针孔)重定向但会因 HTTPS 而失败的内容。我在防火墙日志中看不到任何有用的信息。似乎不知何故,内网 443 传入数据包甚至没有到达路由器?我不明白。
- 我还尝试了 33443 -> 443 和其他类型的重定向,而不是 443 -> 443,但这也没有用。
- 我还补充说,iDRAC 的 SSL 证书是无效的(无效),但它似乎在早期的某个阶段失败了。ISP 是 AT&T。
作为记录,我的 iDRAC 固件版本为 6.10.30.00(内部版本 29),iDRAC 设置版本为 5.00.00.10
我仔细检查了我的 iDRAC 网络设置,网关是正确的 (192.168.1.254)。我还搜索并验证了 iDRAC 可以 ping 网关(
racadmin ping 192.168.1.254当我登录到内部网上的 iDRAC Web GUI 时)。我还检查了路由器的端口针孔配置,似乎也没有问题。我尝试远程访问 Web GUI 几次,我验证了路由器的防火墙日志没有看到这些数据包,并被识别为针孔访问。不确定发生了什么变化,但也许我的浏览器在看到 IP 地址时默认尝试 http 协议(我仅使用静态 IP 地址远程访问 iDRAc,没有 DNS 名称),当我手动放置 https 协议时,我必须错误消息而不是超时:
这是基于 Firefox 和 Chromium 的浏览器。然后我搜索此特定错误消息,并在知识库文章中找到了一个有帮助的解决方案:iDRAC9 固件版本 5.10.00.000 上的 HTTP/HTTPS FQDN 连接失败
现在我想知道这是否会带来任何安全风险。我们从非固定 IP 访问 iDRAC 并使用 IP 地址对其进行寻址。我只能想到一个 REST 客户端,它会注入所需的 HTTP 标头。但至少我现在可以访问 iDRAC Web GUI。