lunes, 25 de junio de 2007

Colaboraciones: Consola remota a través de un NAT

Nestro amico Juan C. nos envía un tip sobre como acceder a una consola ESX tras un firewall.

"Buenas...
Hace tiempo te envíe una pregunta sobre la forma en que organiza la versión ESX 3 los discos, que había cambiado con respecto a la versión 2. Abriste un hilo para hablar un poco de ello y hace poco (un mes o así) te envíe de nuevo algo sobre el tema, pero al final, no sé si no te ha llegado o bien no lo envie. Je.
Bueno, ahora te envío otro problema que he tenido con el VI, lo bueno es que te envío el problema y la solución. No sé si te sonara el problema y quizás ya lo tengas por tu blog, pero bueno, yo te lo envío y si no lo tienes pues lo publicas o lo añades donde quieras, si quieres, je.
Verás, donde trabajo tenemos varios servidores ESX, generalmente todos en el mismo sitio y en la misma subred (interna). Por cuestiones varias, tuvimos que poner un ESX en la DMZ y por tanto, sacarlo de nuestra subred interna y ponerlo en otro rango de red. Pues bien, al hacer eso (de esto me di cuenta mas tarde) cuando accediamos a través del VI (VMware Virtual Infrastructure Client 2.0) para administrar las máquinas tuvimos un problema, concretamente cuando seleccionabamos una máquina ya creada y pulsabamos sobre la pestalla "console" nos aparecia un cuadro de dialogo con el siguiente mensaje:
"Error connecting. Cannot connect to host x.x.x.x: A connection attempt failed because the connected party did not respond after a period of time, or established connection failed because connection host has failed to respond"
Como puedes imaginar, me quede de piedra, ya ves, no podía acceder a la consola de la máquina. La cosa es que no había ningún problema a la hora de poder arrancarla o pararla, el "único" problema era que no había manera de ver la consola.
Después de mucho buscar y buzear encontré la solución, por lo menos en mi caso. Parece ser que ni la misma gente de VMware eran muy conscientes de que eso podía ocurrir. El problema viene como he dicho anteriormente, al conectar con el VI desde otra subred en la que está el ESX y la solución es añadir la siguiente linea dentro de "/etc/vmware/config":
vmauthd.server.alwaysProxy=TRUE
Haced un copy&paste para que no haya problemas con las mayúsculas y minúsculas.
Espero que a alguien le sirva.
Saludos.
"

He de reconocer que un servidor, desde chiquitito, siempre ha tenido la manía de mantener las redes de gestión (y la de service console de ESX lo es) dentro de la misma VLAN, así que no me he visto obligado a hacer NAT de este tipo de conexiones. Pero entiendo que hay otros entornos donde esto es inevitable.

Bien, efectivamente el problema existe, como podéis leer, además de en este post, en algunos threads de VMware. Mientras las conexiones de gestión se hacen a través del VC, la consola remota se hace contra el servidor ESX directamente. También el puerto IP cambia: Mientras el puerto de gestión es el 902, el de consola es el 903. El error de la conexión via NAT es un bug, donde el único workaround existente es el que comenta Juan C. Gracias por tu colaboración. Sé que te debo el post sobre el disco, no lo olvido.

Un abrazo.