Ipmi láma 2: KVM probléma

 ( plt | 2017. október 10., kedd - 11:26 )

Szerverbérlésre adtam a fejem, egy Supermicro személyében, ami IPMI-n keresztül érhető el.
Debian 9 alól a gyári ipmiview-t (2.13.0) használom - más verziót nem is nagyon találtam. Szépen csatlakozik is, csak a KVM nem indul rajta.
Az impiview első induláskor hiányolta a libc.so.6-ot, bár ettől még rendben működött. Azért belinkeltem neki, azóta nem kiabál.
Mindent szépen csinál, de a KVM konzolt indítására "Connection failed" hibaüzenettel reagál. A logokban érdemi hibaüzenetet nem látok. Megpróbáltam közvetlenül indítani az iKVM-et is, de pont ugyanezt a hibát adja.
Webes kvm-en keresztül a szerver rendben elérhető.
Van valakinek ötlete, mi lehet a probléma?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

tuzfal nem fogja meg nalad?

5900-as (vagy amelyik be van konfigurálva a KVM-hez) port, elérhető, nincs letűzfalazva?

Nincs semmilyen tűzfal-szabályom sajnos.
Az iptables -L -v kimenete:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Akkor nmap/telnettel nézd meg a portot, hogy van-e ott valami.

Megnéztem, és sajnos nyitva van:

Host is up (0.019s latency).
PORT     STATE SERVICE
5900/tcp open  vnc

Érdekes...a Javas ilyet akkor csinált, ha be volt kapcsolva rajta az SSL, de a webes adminjából nyíló iKVM az szokott menni ilyenkor is. Marad a tcpdump.

Közben a szerver oldaláról is megnézték a problémát, és azt mondták, hogy ez a verziója az ipmiview-nek náluk is ezt csinálja, tehát úgy tűnik, nem az én saram.
Valakinek linuxra van működő verziója ipmiview-ből? A V2.10.2 build: 150203-at ajánlották, de nem találtam sehol. Amúgy úgy tűnik, azóta a fájnévformátum is megváltozott. A deb csomagkészítő project is ilyen régebbi formátumban várja el a fájlnevet.

Nagyon köszönöm!
Sajnos ezzel sem sikerült felcsatlakoznom, de hátha segít a szerveroldali probléma beazonosításában, mert azért továbbra is remélem, hogy nem nálam van a gond.

Na várj...de a webes menüjében a remote control/iKVM/HTML5 az megy?

Igen, weben probléma nélkül megy, és azt mondják a szerverközpontban, hogy általában azt szokták használni. Én azonban szeretnék tudni mindkét módon felcsatlakozni.

Ja, akkor rossz hírem van, SSL-en megy ez a konzol, azt meg nem építették be az IPMIView-ba, a webről indítható Java appletes konzolt is sikerült Windows-onlyra megcsinálniuk, ugyanis az SSL-t egy Winre fordított stunnel csinálja.

Van alternatívám?

Lekapcsolod az SSL-t, vagy maradsz a HTML5 konzolnál. Vagy bekonfigurálod az stunnelt, és megpróbálod rábeszélni az IPMIView-t, hogy arra csatlakozzon (de szerintem ez nem lenne egyszerű, se kényelmes).

Nem látok ilyen opciót, hogy SSL ki-/bekapcsolása.

- ipmitool mc reset cold
- java6,7 sun/oracle. Meg veletlenul sem icedtea meg egyebek.
probald meg ezeket is tipustol fuggoen:
LD_LIBRARY_PATH="$HOME/store/ipmiview" java -jar ~/store/ipmiview/iKVM.jar 1.2.3.4 $USER $PASS null 5900 623 2 0
LD_LIBRARY_PATH="$HOME/store/ipmiview" java -jar ~/store/ipmiview/JViewerX9.jar 1.2.3.4 $USER $PASS

verzio: 2.11.0 (build 151223)

Kipróbáltam, de sajnos így sem megy. :(

Ezehez szerintem előbb meg kéne csinálni az SSL tunnelt, majd arra csatlakozni.

Megpróbáltam azt is, de sajna ugyanaz az eredmény. :(

Viszont kipróbáltam azt, ami itt van:
ftp://ftp.supermicro.nl/utility/IPMIView/Linux/
és működik.

Én is ezzel próbálkoztam, nálam nem megy.

Egy
openssl s_client -connect $IP:5900
csinál valamit?

Igen, visszaad sok-sok szöveget, a szerver kulcsát, session adatkat, meg ezer mást.
Többek közt, hogy:
Verification error: self signed certificate
Magam részéről elejétől kezdve arra gyanakszom, hogy a nem hiteles kulcs lehet a háttérben, de mivel nálam sokkal okosabbak ezzel elő sem jönnek, lehet, ostobaság.

Megy az self-signeddel is. A végén ott van az RFB verziója?
Pl.: RFB 055.008

Semmilyen RFB karaktersorozat nincs benne.
De van egy hibaüzenet:
error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:../ssl/record/rec_layer_s3.c:1399:SSL alert number 40

Akkor valószínűleg valami SSL/TLS hiba van, lehetne BMC firmware frissítéssel próbálkozni, vagy új certet felrakni, esetleg debuggolni, hogy mi is történik itt, vagy hagyni a francba, és használni ezt a websocketes HTML5-ös felületet. Az igazi kommunikáció pont ezzel az RFB stringgel kezdődik, az SSL/TLS handshake után.

A BMC firmware frissítés gondolom a gépen van, és ahhoz én nem férek hozzá.
Még a szervert üzemeltetők is megnézik, mire jutnak vele. Addig akkor marad a webes felület.
Azért nagyon köszönöm a segítséget!

Linuxosban is van stunnel es mukodik is. tmpben letrehozza BMCView/stunnel.conf ot vagy vmi hasonlot.
Mitobb supermicro a mostani html5 verzioig standard vnct hasznalt csak csomagokat berakta egy authframebe. Tehat modult irni barmelyik vncviewerhez gyerekjatek volt. Lehet mostani is menne csak websockify pythonszarba raktak bele ugyan azt, viszont ezt nem probaltam.

Hmmm... hát azért ebbe nem biztos, hogy bele mernék vágni.

Lehet, de mekkor gány már...Javaban is van SSL socket, miért nem bírták átírni a VNC kliensüket? Az IPMIView fejlesztőit is elküldhették már egy ideje, abba se sikerült beletenniük.