Bonjour,
J'ai une HMC installée dans une DMZ 13.0, j'ai une autre DMZ avec un Iseries en 14.2, au millieu un firewall avec les règles et routes pour
que la DMZ 14.0 discutte avec la DMZ 13.0.
J'ai ouvert de 14.0 à 13.0 toutes les règles (any), (pour qu'un poste de travail en 14.5 puisse discutter avec le Iseries en 14.2).
J'ai ouvert pour le retour les règles suivantes (pour que la HMC puisse
discutter avec le Iseries en 14.2 (retour) :
80, 443, 9090, 9940, 30000 à 30009, 2300, 2301, 22, 4412, 9443, 657 (udp + tcp), 9900, 9920.
Je ne comprend pas, parfois la connexion fonctionne, parfois pas, a savoir que sur le Iseries de destination 14.2, j'ai 2 partitions.
L'adresse du Iséries est fixes sur la HMC, est-ce ok ?
Ais-je oublié d'ouvrir certains ports tcp ou udp ?
Cela fait 2 semaines que je cherche, en vain.
Si une âme charitable a déjà installé une HMC dans une DMZ pour accéder un Iseries dans le réseau, je veux bien un peu d'aide.
Merci d'avance.
Salutations
Raymond
Configuration HMC
(sans texte)
Bonjour Raymond,
Que veux tu faire exactement ?
Une chose à bien comprendre, sur tes serveurs System i ou Power Systems (et pas iSeries
car un iSeries ne peut pas se connecter à une HMC), il y a la carte FSP (Flexible Service Processor) destinée à se connecter aux HMC et les cartes réseau PCI et/ou IVE. Ces dernières sont quant à elles dédiées aux connexions réseaux LAN des différentes partitions.
Lorsque tu dis que cela fonctionne parfois, de quoi parles tu ?
Des liens entre la HMC et le serveur, ou de connexions entre le serveur et des postes clients ?
Je crois comprendre que tu as mis ton serveur et ta HMC dans des DMZ différentes. Est-ce normal ?
Pourquoi mettre la HMC en DMZ ?
La HMC possède au moins deux ports réseau, l'un est réservé à un LAN privé entre la HMC et les serveurs gérés, et il ne DOIT PAS Y AVOIR DE NOTION DE DMZ.
Il faut impérativement connecter la HMC et les cartes FSP des serveurs sur un LAN privé.
En revanche, tu peux tout à fait mettre la seconde interface de la HMC dans une DMZ et les interfaces réseaux des partitions dans une autre DMZ.
Mais les connexions entre la HMC et le serveur se feront par un LAN privé. Lorsque tu paramètres le réseau privé, tous les ports sont ouverts, c'est le principe de cette définition, et il n'y a aucun risque puisque c'est un LAN privé sur lequel personne ne peut se connecter.
La seconde interface HMC est quant à elle dans un LAN public, qui peut être une DMZ, et on est pas obligé d'ouvrir les ports sur cette interface de la HMC car les liaisons entre la HMC et le serveur se feront toujours par le LAN privé.
Cette seconde interface te permets de prendre la main sur la HMC, et comme je le disais toutes les liaisons entre le serveur et la HMC doivent se faire par le LAN privé.
Quelques exceptions, si tu as des partitions AIX ou Linux, le dynamic LPAR s'effectue par le réseau d'entreprise, et dans ce cas, il faut en effet ouvrir des ports entre la HMC et les partitions concernées mais cela n'est pas nécessaire pour des partitions i5/OS ou IBM i.
La seule condition, à ma connaissance, pour que tu réalises un routage entre DMZ pour relier la HMC aux partitions IBM i, est si tu veux lancer des commandes SSH depuis des partitions vers la HMC.
A mon avis, il va falloir reprendre complètement tes branchements réseau et ton paramétrage.
Je pense qu'il faudra connecter le premier port de la HMC et le premier port du FSP de ton serveur sur un même LAN, hors DMZ. Les ports réseaux des partitions et le second port de la HMC peuvent en effet être dans des DMZ différentes et on ouvrira uniquement les ports nécessaires aux remotes commandes s'il s'agit de partitions IBM i et un peu plus s'il s'agit de partitions Linux ou AIX qui doivent faire du dynamic LPAR.
Que veux tu faire exactement ?
Une chose à bien comprendre, sur tes serveurs System i ou Power Systems (et pas iSeries
car un iSeries ne peut pas se connecter à une HMC), il y a la carte FSP (Flexible Service Processor) destinée à se connecter aux HMC et les cartes réseau PCI et/ou IVE. Ces dernières sont quant à elles dédiées aux connexions réseaux LAN des différentes partitions.Lorsque tu dis que cela fonctionne parfois, de quoi parles tu ?
Des liens entre la HMC et le serveur, ou de connexions entre le serveur et des postes clients ?
Je crois comprendre que tu as mis ton serveur et ta HMC dans des DMZ différentes. Est-ce normal ?
Pourquoi mettre la HMC en DMZ ?
La HMC possède au moins deux ports réseau, l'un est réservé à un LAN privé entre la HMC et les serveurs gérés, et il ne DOIT PAS Y AVOIR DE NOTION DE DMZ.
Il faut impérativement connecter la HMC et les cartes FSP des serveurs sur un LAN privé.
En revanche, tu peux tout à fait mettre la seconde interface de la HMC dans une DMZ et les interfaces réseaux des partitions dans une autre DMZ.
Mais les connexions entre la HMC et le serveur se feront par un LAN privé. Lorsque tu paramètres le réseau privé, tous les ports sont ouverts, c'est le principe de cette définition, et il n'y a aucun risque puisque c'est un LAN privé sur lequel personne ne peut se connecter.
La seconde interface HMC est quant à elle dans un LAN public, qui peut être une DMZ, et on est pas obligé d'ouvrir les ports sur cette interface de la HMC car les liaisons entre la HMC et le serveur se feront toujours par le LAN privé.
Cette seconde interface te permets de prendre la main sur la HMC, et comme je le disais toutes les liaisons entre le serveur et la HMC doivent se faire par le LAN privé.
Quelques exceptions, si tu as des partitions AIX ou Linux, le dynamic LPAR s'effectue par le réseau d'entreprise, et dans ce cas, il faut en effet ouvrir des ports entre la HMC et les partitions concernées mais cela n'est pas nécessaire pour des partitions i5/OS ou IBM i.
La seule condition, à ma connaissance, pour que tu réalises un routage entre DMZ pour relier la HMC aux partitions IBM i, est si tu veux lancer des commandes SSH depuis des partitions vers la HMC.
A mon avis, il va falloir reprendre complètement tes branchements réseau et ton paramétrage.
Je pense qu'il faudra connecter le premier port de la HMC et le premier port du FSP de ton serveur sur un même LAN, hors DMZ. Les ports réseaux des partitions et le second port de la HMC peuvent en effet être dans des DMZ différentes et on ouvrira uniquement les ports nécessaires aux remotes commandes s'il s'agit de partitions IBM i et un peu plus s'il s'agit de partitions Linux ou AIX qui doivent faire du dynamic LPAR.
-
web_services74
- Messages : 3
- Enregistré le : lun. 06 juil. 2009, 11:12:41
(sans texte)
Bonjour Fabrice et merci pour ta réponse, je suis administrateur micro sur Windows et je gère les firewall mais je ne suis pas du tout un
specialiste IBM AS400, Iséries, System I ou Power System).
Le département gros systèmes a décidé d'installer une HMC afin de pouvoir gérer les Systems IBM à distance (depuis la maison en cas
par exemple de grippe aviaire (pour limiter les contacts entre collaborateurs et assurer la continuité du business)).
Dans la mesure ou je suis le responsable de la sécurité, mon but est
de faire se connecter les utilisateurs externes non pas directement sur le réseau interne mais en premier dans une DMZ (ou la HMC sera installée), à la suite de quoi, l'utilisateur externe une fois sur la HMC, pourra via la console 5250 de la HMC contacté les systèmes IBM distant. A savoir qu'il y a un système I dans le même réseau que la HMC (réseau 13.0), adresse carte FSP 13.3, adresse de la HMC 13.4, et il y a un autre système IBM dans une autre DMZ (14.0), adresse carte FSP (14.2), le but de cette manoeuvre est de configurer ce fameux réseau privé (FSP / HMC) mais entre DMZ, pourquoi :
- Le system IBM en DMZ 13.0 est un serveur pour notre Webmail (mail
externe)
- Le system IBM en DMZ 14.0 est notre serveur de production.
Avec cette configuration je suis tranquille, je sais que mes utilisateur externes vont se connecter sur ma HMC (par Internet grâce à une sécurité RSA que laissera passer mon système de firewall).
J'ai créé des règles d'accès dans mes firewall pour laisser passer depuis l'Internet mes deux utilisateurs en direction de la HMC (13.4).
Ensuite j'ai créé une règle firewall qui laisse passer tout le réseau 13.0 (HMC) en direction du réseau 14.0 (administration du system I 14.2), j'ai ouvert les ports marqué dans mon premier POST).
J'ai aussi créé une règle qui permet au réseau 14.0 et à certains postes
de l'entreprise (admin) d'aller sur le réseau 13.0 (HMC) et là j'ai ouvert ANY (tous les ports possibles), ceci dans le but de l'aisser les admin gérer
les system I quand ils sont à leur poste de travail la journée, je suis obligé de faire cela car la HMC est en DMZ.
Voici le résultat de mes tests jusqu'à présent :
1) Quand je me connecte depuis mon poste Windows + session Iséries Acces (dans le réseau de production 3.0), j'accède à la HMC (règle ANY, 3.0 to 13.0 ouverte dans le firewall), là, depuis la HMC je vois mes 2 System I, je sélectionne celui dans le réseau 13.0 et tous fonctionne.
2) Quand je fait la même chose mais que je sélectionne dans la HMC mon
System I se trouvant dans le réseau 14.0, j'obtient l'erreur 0041 clignotante, et je ne peux pas me connecter (à noter que ce System I contient 2 partitions (d'apres ce que j'ai compris c'est comme VmWare, ce sont deux serveurs virtuel). Quand je sélectionne la 1ère partition j'obtient l'erreur 0041 et si je me reconnecte à la HMC, et que je sélectionne la 2ème partition, parfois j'accède à la mire de connexion et je vais jusqu'au bout. A noter aussi que si j'accède grâce au "Browser" à la HMC et que j'utilise les raccourci du naviguateur de la HMC pour me connecter sur le System I en 14.0, cela fonctionne sans problème.
Il faut savoir que c'est la carte ETH0 de la HMC qui est configurer dans le réseau 13.0 (en 13.4), l'autre carte n'est pas utilisé.
Ce qui est vraiment bizarre c'est que cela fonctionne parfaitement avec le System I dans la même DMZ que la HMC (13.0) mais que cela est aléatoire avec le System I en DMZ 14.0, je me dit que si c'était un problème d'ouverture de port IP (TCP ou UDP) sur mes firewall, cela ne fonctionnerait JAMAIS, cela ne pourrais pas être un problèmes avec ces 2 partitions ? je n'ai qu'une adresse IP pour le System I 14.2 et j'ai 2 partitions, est-ce normal ?
Merci en tout cas pour ta 1ère réponse.
A+
Raymond
specialiste IBM AS400, Iséries, System I ou Power System).
Le département gros systèmes a décidé d'installer une HMC afin de pouvoir gérer les Systems IBM à distance (depuis la maison en cas
par exemple de grippe aviaire (pour limiter les contacts entre collaborateurs et assurer la continuité du business)).
Dans la mesure ou je suis le responsable de la sécurité, mon but est
de faire se connecter les utilisateurs externes non pas directement sur le réseau interne mais en premier dans une DMZ (ou la HMC sera installée), à la suite de quoi, l'utilisateur externe une fois sur la HMC, pourra via la console 5250 de la HMC contacté les systèmes IBM distant. A savoir qu'il y a un système I dans le même réseau que la HMC (réseau 13.0), adresse carte FSP 13.3, adresse de la HMC 13.4, et il y a un autre système IBM dans une autre DMZ (14.0), adresse carte FSP (14.2), le but de cette manoeuvre est de configurer ce fameux réseau privé (FSP / HMC) mais entre DMZ, pourquoi :
- Le system IBM en DMZ 13.0 est un serveur pour notre Webmail (mail
externe)
- Le system IBM en DMZ 14.0 est notre serveur de production.
Avec cette configuration je suis tranquille, je sais que mes utilisateur externes vont se connecter sur ma HMC (par Internet grâce à une sécurité RSA que laissera passer mon système de firewall).
J'ai créé des règles d'accès dans mes firewall pour laisser passer depuis l'Internet mes deux utilisateurs en direction de la HMC (13.4).
Ensuite j'ai créé une règle firewall qui laisse passer tout le réseau 13.0 (HMC) en direction du réseau 14.0 (administration du system I 14.2), j'ai ouvert les ports marqué dans mon premier POST).
J'ai aussi créé une règle qui permet au réseau 14.0 et à certains postes
de l'entreprise (admin) d'aller sur le réseau 13.0 (HMC) et là j'ai ouvert ANY (tous les ports possibles), ceci dans le but de l'aisser les admin gérer
les system I quand ils sont à leur poste de travail la journée, je suis obligé de faire cela car la HMC est en DMZ.
Voici le résultat de mes tests jusqu'à présent :
1) Quand je me connecte depuis mon poste Windows + session Iséries Acces (dans le réseau de production 3.0), j'accède à la HMC (règle ANY, 3.0 to 13.0 ouverte dans le firewall), là, depuis la HMC je vois mes 2 System I, je sélectionne celui dans le réseau 13.0 et tous fonctionne.
2) Quand je fait la même chose mais que je sélectionne dans la HMC mon
System I se trouvant dans le réseau 14.0, j'obtient l'erreur 0041 clignotante, et je ne peux pas me connecter (à noter que ce System I contient 2 partitions (d'apres ce que j'ai compris c'est comme VmWare, ce sont deux serveurs virtuel). Quand je sélectionne la 1ère partition j'obtient l'erreur 0041 et si je me reconnecte à la HMC, et que je sélectionne la 2ème partition, parfois j'accède à la mire de connexion et je vais jusqu'au bout. A noter aussi que si j'accède grâce au "Browser" à la HMC et que j'utilise les raccourci du naviguateur de la HMC pour me connecter sur le System I en 14.0, cela fonctionne sans problème.
Il faut savoir que c'est la carte ETH0 de la HMC qui est configurer dans le réseau 13.0 (en 13.4), l'autre carte n'est pas utilisé.
Ce qui est vraiment bizarre c'est que cela fonctionne parfaitement avec le System I dans la même DMZ que la HMC (13.0) mais que cela est aléatoire avec le System I en DMZ 14.0, je me dit que si c'était un problème d'ouverture de port IP (TCP ou UDP) sur mes firewall, cela ne fonctionnerait JAMAIS, cela ne pourrais pas être un problèmes avec ces 2 partitions ? je n'ai qu'une adresse IP pour le System I 14.2 et j'ai 2 partitions, est-ce normal ?
Merci en tout cas pour ta 1ère réponse.
A+
Raymond
(sans texte)
web_services74 a écrit : Le département gros systèmes a décidé d'installer une HMC afin de pouvoir gérer les Systems IBM à distance (depuis la maison en cas
par exemple de grippe aviaire (pour limiter les contacts entre collaborateurs et assurer la continuité du business)).
J'imagine que c'est une plaisanterie
Précision, la HMC ne doit pas être dans une DMZ, l'interface utilisateur doit l'être mais l'interface privée doit être dans un LAN privé. Dans la mesure où les HMC doivent avoir au moins deux interfaces Ethernet, il faut en connecter obligatoirement une sur un LAN privé avec le FSP des différents serveurs afin de garantir des échanges directs, et la seconde doit être accessible sur le LAN et/ou en DMZ (on peut en avoir une troisième en cas de besoin).web_services74 a écrit : Dans la mesure ou je suis le responsable de la sécurité, mon but est
de faire se connecter les utilisateurs externes non pas directement sur le réseau interne mais en premier dans une DMZ (ou la HMC sera installée), à la suite de quoi, l'utilisateur externe une fois sur la HMC, pourra via la console 5250 de la HMC contacté les systèmes IBM distant.
Attention, le plan d'adressage FSP/HMC est totalement différent du LAN entreprise ou DMZ, il est très fortement conseillé de configurer l'interface primaire de la HMC en serveur DHCP, les interfaces FSP des serveurs étant quant à elles clientes DHCP. L'interface de la HMC étant serveur DHCP, il ne faut donc pas la mettre sur ta DMZ sous peine d'engendrer des problèmes réseau
.Il existe plusieurs plans d'adressage possible sur la HMC (192, 172, 10 ...). Tu ne dois donc pas avoir d'adresses IP FSP ou HMC (primaire) en 13.x ou 14.x.
La configuration est très probablement à revoir.
Le VPN ne serait-il pas une meilleure solution ?web_services74 a écrit : Avec cette configuration je suis tranquille, je sais que mes utilisateur externes vont se connecter sur ma HMC (par Internet grâce à une sécurité RSA que laissera passer mon système de firewall).
Encore une fois, cette configuration est erronée.web_services74 a écrit : Il faut savoir que c'est la carte ETH0 de la HMC qui est configurer dans le réseau 13.0 (en 13.4), l'autre carte n'est pas utilisé.
Regarde ce Redbook pour plus d'infos.
http://www.mgd.dk/websider/artikler/HMC_HA_redp4075.pdf
La connexion réalisée depuis la HMC vers le serveur System i ou Power Systems est effectuée, non pas vers les partitions, mais vers le FSP. Ensuite, l'hyperviseur (OS du FSP) va proposer de se connecter aux différentes partitions, et cette liaison ne se passera pas par l'interface réseau des partitions mais bel et bien par celle du FSP, il émulera les consoles 5250 via une carte série virtuelleweb_services74 a écrit : Ce qui est vraiment bizarre c'est que cela fonctionne parfaitement avec le System I dans la même DMZ que la HMC (13.0) mais que cela est aléatoire avec le System I en DMZ 14.0, je me dit que si c'était un problème d'ouverture de port IP (TCP ou UDP) sur mes firewall, cela ne fonctionnerait JAMAIS, cela ne pourrais pas être un problèmes avec ces 2 partitions ? je n'ai qu'une adresse IP pour le System I 14.2 et j'ai 2 partitions, est-ce normal ?
Il y a certainement un problème de port que tu pourras résoudre en ajoutant ceux qui manquent dans tes routages, mais ce n'est pas la solution que j'emploierai, personnellement je reconfigurerais le plan d'adressage.
La seconde interface de la HMC est destinée au dynamic LPAR des partitions AIX et Linux ou aux connexions SSH entre la HMC et les partitions (IBM i, AIX et Linux).
-
web_services74
- Messages : 3
- Enregistré le : lun. 06 juil. 2009, 11:12:41
HMC
Bonhour Fabrice,
Merci encore pour le temps passé à me répondre, je pense que je vais arrêter de perdre du temps sur cette configuration, je vais voir avec les gars du gros système pour qu'il revoit leur branchement, je vais leur faire suivre tout ce que tu m'a conseillé de faire et j'ouvrirai les ports necessaire ensuite sur les firewalls.
Meri en tout cas pour tes précieuses informations, quand tout cela fonctionnera je t'écrirai pour te faire part de notre installation.
Merci et à bientôt.
Raymond
Merci encore pour le temps passé à me répondre, je pense que je vais arrêter de perdre du temps sur cette configuration, je vais voir avec les gars du gros système pour qu'il revoit leur branchement, je vais leur faire suivre tout ce que tu m'a conseillé de faire et j'ouvrirai les ports necessaire ensuite sur les firewalls.
Meri en tout cas pour tes précieuses informations, quand tout cela fonctionnera je t'écrirai pour te faire part de notre installation.
Merci et à bientôt.
Raymond