Egy kis segítség kéne, iLO remote console témában

Közösségi kerekasztal

Rövidre fogva a hátteret: van egy HP ProLiant DL380 G4, pár napja egy régi gép helyett. A régi, ha jól emlékszem, egy DL360 volt.

Az új gépbe a régiből egyszerűen átdugták a harddiskeket. Elindul, de nem jön fel a hálózat, nem ismeri fel a hálózati eszközöket - bizonyára más a hw és más modult kellene betölteni.

A régi gép iLO portját sosem tudtam beköttetni, most, mivel a rendes interfész nem működik, megkértem, hogy a patch kábelt tolják be az iLO-ba.

Eddig jó.

Webes felületen be tudok lépni, látom a státuszt és a konfigurációt.

A következő lépés az lenne, hogy be tudjak lépni valahogy. Igazából az lenne jó, ha a bootolást is látnám, de elfogadom azt is most, ha csak a futó gépre tudok bejelentkezni.

Az első, amit próbáltam, az a remote console. Ez az előző gépnél működött jól, régen. Újraindításkor láttam a POST üzeneteket meg mindent. Olyan volt, mintha ott ültem volna a gép monitora előtt. Ez jó lenne most is, nagyon.

Ezen a gépen ha kiválasztom a Remote Console menüből a Remote Console-t, megnyílik egy igen nagy új ablak. Miután a saját gépemen kikapcsoltam mindenféle java security dolgot és whitelistre tettem ezt a gépet, végre csak panaszkodott, hogy self signed certificate, de elindul.
Viszont csak egy fekete hátteret kapok egy villogó kurzorral.
Alatta ezt írja: java.net.ConnectException: Connection timed out: connect
És hiába nyomok returnt, vagy ilyesmit, nem kapok mondjuk login promptot vagy ilyesmit, amit valamire tudnék használni. Újraindítani nem próbáltam még, így nem tudom, hogy a POST üzenetek látszanának-e.

Ahogy nézelődtem az opciók között, látom, hogy van telnet (ami nem megy át a tűzfalon) és ssh.
Megpróbáltam az ssh-t, kapok egy login promptot.
usert és pass-t kér. Az iLO login user/pass nem működik.
Kipróbáltam a sajátomat is, bár nem fűztem hozzá sok reményt. És persze nem megy.
Nem tudom, itt milyen user és pass kellene.

Az Administration/SSH Key authorization menüben megpróbáltam feltölteni ssh publikus kulcsot. Készítettem egy RSA-t et putty-val és a saját formátumát és az OpenSSH formátumot is megpróbáltam. Ugyanazt kapom:
The SSH key could not be authorized.

One of the following may be the reason:
1. The key store is full. There is only enough storage for 4 SSH keys.
2. The user identified in the key file does not exist in the local user database of this iLO.
3. The supplied key file is not formatted correctly.

1: nem hiszem, nem látom nyomát.
2: mi az, hogy user identified in the key file? Ilyesmiről most hallok először.
3: vajon milyen publikus kulcs formátumot kér?

Szóval most épp itt akadtam el. Valaki tud esetleg valami tanácsot adni?

  • 9127 megtekintés

( Vizibirka | 2014. 03. 12., sze – 07:48 )

Nagyon egyszerű a gond egy tűzfal valahol a hálózatban megfogja a remote console-hoz szükséges portokat.

Itt egy lista, hogy kb mi kell neki (nem biztos, hogy 100%-ig jó, de kiindulásnak jó lesz):
ILO FUNCTION SOCKET TYPE PORT NUMBER
---------------------- ----------- -----------
Secure Shell (SSH) TCP 22
Remote Console/Telnet TCP 23
Web Server Non-SSL TCP 80
Web Server SSL TCP 443
Terminal Services TCP 3389
Virtual Media TCP 17988
Shared Remote Console TCP 9300
Console Replay TCP 17990
Raw Serial Data TCP 3002

http://blog.nachotech.com/?p=119

Ezt a portot kell beengedni:
Console Replay (bár erre nálunk Remote Console Port van írva) TCP 17990

Nálam a beállításokban a következő portok vannak:
Web Server Non-SSL Port 80
Web Server SSL Port 443
Virtual Media Port 17988
Remote Console Port 23
Terminal Services Port 3389
Raw Serial Data Port 3002
Secure Shell (SSH) Port 22

A te 17990-es portod az ugyanaz, mint nekem a Remote Console 23?
Azt feltételeztem, hogy ott simán telneten figyel.

Vagy ez, amit írsz, 17990-es, ez egy nem állítható default?

Illetve ehhez kapcsolódva: biztonságos mindezeket a portokat a külvilág számára elérhetővé tenni?
Nem tud valaki mondjuk telnet vagy serial kapcsolatot kezdeni és a gép felett átvenni a hatalmat?
Ha a remote console-hoz nem kellene, akkor legszívesebben letiltanám azokat.

80, 443, 17988, 22 mellett mi kellene még? A listámban nem szereplő 17990?
Sajnos nem tudok próbálgatni, még az se biztos, hogy ezeket egyáltalán megnyitják nekem.

Nem próbáltam, a 23-as port szűrve van jelenleg. Most a rendes portban van a kábel ráadásul, nem az iLO-ban.
Az iLO beállításokban mindenesetre szerepelt a telnet elérés engedélyezése, szóval azt feltételezem, hogy ha nyitva lenne a port, be lehetne menni telnettel.

Hát, akkor ez valószínű nem fog menni.

Az elmúlt kb. 7 év alatt nem csak azt nem tudtam elérni, hogy az iLO kábelt kössék be, de azt se, hogy a 22, 25, 80, 110, 143, 443, 993, 995 portokon kívül az 587-est is kinyissák.

Maradna az ssh. Erre tud valaki mondani valamit, hogyan használható (és mire)?

Na de hová kapcsolódott az ssh kliensed?

Az iLO az egy másik eth interfészen figyel, tehát ezt valahová be kellene kábelezni.

Nekem annak kapcsán, amit írtál, csak az jut eszembe, hogy ssh az egyébként jól működő gépre, és az eth1 portján át egy cross kábellel az iLO elérhető. ssh port forwarddal megy.
De persze ha a gép nem működik, akkor meg vagyok lőve.

Több tíz gépünk volt egy lokáción általában, szóval valahogy mindig megoldottam.

Azt hogy hogyan kapcsolódtam nem mondhatom el (biztonsági okokból).

Jól látod, az általam vázolt tunelles megoldás csak mégegy gép igénybevételével használható.
Nem tudod megoldani sehogy sem, hogy legyen ott mégegy gép amit ssh-ra használsz csak?

Ha ugyanabba a gépbe rakod switch helyett az iLO kábelét, akkor az egyik legfontosabb funkciójától fosztod meg, ugyanis ha a gép offline, nem tudod iLO-val bebootolni.

-

Á, esélytelen.
Leselejtezett olcsó gép, amire egy baráti társaság dobta össze a pénzt.
Szívességből betéve valami gépterembe valahol.
7 éve egy új portot nem nyitnak meg nekünk, mert szívességből elfér ugyan a gép a polcon, de foglalkozni nem akar vele senki.
iLO azért nincs leginkább, azon kívül, hogy foglalkozni kéne vele, mert nem akarnak publikus fix IP címet adni.
Ha lenne csak ezért egy másik gép, amit szintén be lehetne tenni, akkor ugyanott vagyunk, hogy nincs IP cím és nem akar vele senki foglalkozni.
Ha a másik gépet be tudnák tenni, akkor a routerből rögtön az iLO portba is mehetne a patch kábel.

Nem, egyaltalan nem egyszeru a gond. Nekunk is van DL370 G6, "iLO 2 Advanced features have been activated", helyi halon, szuretlen forgalommal is baszik mukodni, mind az ActiveX, mind a Java verzio. BIOS upgrade megvolt, iLO FW update megvolt. Meg azt is kiprobaltam, hogy az iLO altal javasolt Java 1.4.2_13 + IE7 (meg egy csomo mas) komboval megnezni, de nyilvan ugyanez az eredmeny. Java-n fekete, AX-en szurkes kepernyo. Sot, igazabol a a javasolt Java verzioval el se indul a konzol, mert valami class-t nem talal, es elszall. Az a vicc, hogy pl. ISO-t tudok mountolni AX-en keresztul, meg is jelenik a szerveren, csak a kurva kep nem jon at.

Tanulsag: az iLO egy fos.

Kiraly. Jo neked. Koszonom. Ellenben az Intel IPMI-je hibatlanul mukodik, ugyhogy koszonjuk szepen, az iLO tovabbra is fos. Gugliban is akad erre talalat boven, nagyjabol annyit tudnak ra mondani, hogy vegyel licenszet (van), vagy contact support. Ugyhogy a teny, hogy nalad mukodik, eleg sovany vigasz.

FYI: lehet, h Java verzio a mas (en frissiteni szoktam amikor feldobja h tegyem meg - marmint win alatt) de en IE-t csak akkor hasznalok, ha massal nem megy az applikacio. az iLO nem ilyen. az frankon megy firefox-al. Sot, az ujabb (g8-hoz biztosan, talan g7-hez is) verziohoz van ffox plugin is.

Nincs semmi forward, helyi halorol erem el.

A szoveges konzol megvan, ahhoz nem kell SSH, ott van a "Remote Serial Console" a webes feluleten is, az ugy ahogy hasznalhato boot soran. Viszont a szoveges konzollal tul sokat nem erek, ha pl. a Windows Server feluletet szeretnem elerni, amikor benazik a Remote Desktop...

( asci v | 2014. 03. 12., sze – 09:18 )

Milyen licensz van az iLO-hoz? Ugyanis Advanced szükséges, hogy a grafikus konzolon megjelenő tartalmat a boot után is láthasd.

( AiRLAC v | 2014. 03. 12., sze – 09:28 )

Milyen ILO és firmware verzió? .Net kliens nincs benne? Java verzió? (régebbiek csak 1.6-os Javaval mennek néha)

Ha az ILO reboot az az iLO webes felületén kezdeményezett reboot, akkor az megvolt tegnap éjjel.

Ma este nem lesz rá időm, de holnap majd a linuxomra keresek valami régi javát.
Bár akkor már célszerűbb lenne a gép által kért 1.4.2-es verzióval próbálkozni az 1.6 helyett. Nem?

( Atekka | 2014. 03. 12., sze – 09:32 )

Mi volt hogy a videokártyát letiltottuk és ugye az összes ilyen új vacaknak kell hogy megjelenjen valami a képernyőn. Még annyit megnézhetnél hogy a videokártya engedélyezve van-e BIOSban. Mondjuk ha nincs úgyis helyileg kell bohockodni hogy láss valamit.

( zeller | 2014. 03. 12., sze – 11:51 )

"HP ProLiant DL380 G4, pár napja egy régi gép helyett" - Nem kérdezem meg, milyen lehetett az a régi gép :-P

Lehet. Hétfőn azt mondta a haver, aki viszonylag közel dolgozik és be tud oda menni, hogy: nem indul el, azt írja, hogy nem megy a prociventilátor.

Kedden ugyanő azt mondta: Figyelj, azt írja ki, hogy nem tudta elindítani az akármi programot. Küldött egy fényképet, amiből látszott, hogy nincs olyan IP cím, ami kéne. Pár perc távirányított gépelés után valamit kibökött, hogy hát a régi gépen akármi.

Így derült ki számomra, hogy új gépünk van :-D

( raziiii v | 2014. 03. 12., sze – 13:13 )

Nemtudom mennyire üzletkritikus dolog, de ha belefér akkor pár perc google után annyi iLO kulcsod lehet, amennyit nem szégyelsz :D
most látom fentebb h írtad, Advanced iLO van :D

( gee v | 2014. 03. 12., sze – 17:33 )

félig-meddig megoldottam a dolgot.

Létrehoztam egy új RSA ssh kulcsot PuTTYgennel.

Létrehoztam egy új iLO usert gee felhasználónévvel és gee login névvel.

A PUTTYgenben beállítottam, hogy az új kulcs commentje: gee

Készítettem OpenSSH formátumú publikus kulcsot belőle.

Ezt a publikus kulcsot fel tudtam tölteni.

Ezután ssh-n a gee userrel be tudtam lépni egy iLO felületre.
Itt a help parancs kilistázta, hogy miket lehet, a REMCONS parancs hatására elindult a remote console, és az ssh csatornán szépen jön minden.
Lehet rebootolni, lehet látni a boot folyamatot, aztán a login promptnál be lehet lépni.

A webes remote consol valószínű a zárt portok miatt nem megy - a remote media szintén valószínű nem (nem próbáltam, de a port szűrve van).

Van ssh-n keresztül is Virtual Media elméletileg.
Lehetne valami ilyesmit tolni, ha jól értem:
vm cdrom insert http://server/cdrom.iso

( gee v | 2014. 03. 12., sze – 17:36 )

Az eredeti problémát is sikerült megoldani.
Ugyanaz a tg3 modul kell, mint eddig, viszont az udev az új MAC címek miatt az eth0-t átnevezte eth3-ra, és ezért a korábbi konfiguráció nem működött.

Erről lebeszéltem, így most amit a kernel eth0-nak gondolt, az eth0 is marad ezentúl.

Konfig megint jó, mindenki örülhet.

G