VPLEX: La configurazione della VPN a 3 vie non riesce a causa di un indirizzo IP errato
Summary: Questo articolo illustra come ristabilire la connettività VPN tra i cluster VPlex e il cluster di controllo quando il nuovo indirizzo IP assegnato non viene aggiornato nel file IPSEC.conf. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
L'utente ha modificato o aggiornato l'indirizzo IP del server di gestione VPlex (cluster-1 e/o entrambi cluster-2) o l'indirizzo IP del cluster witness.
Descrizione del problema:
La configurazione di una connessione VPN a 3 vie tra il server di gestione VPlex (cluster-1 e/o entrambi cluster-2) e il server di controllo del cluster ha esito negativo con il seguente messaggio di errore:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Potrebbero esserci due scenari durante i quali la configurazione di una connessione VPN a 3 vie tra il server di gestione VPlex (cluster-1 e/o entrambi cluster-2) e il server di controllo del cluster può avere esito negativo come indicato di seguito:
-
L'utente ha modificato l'indirizzo IP del server di gestione VPlex (eth3) (cluster-1 e/o entrambi cluster-2), ma il file di configurazione IPsec del server di controllo del cluster contiene ancora un indirizzo IP precedente del server di gestione interessato.
O
-
L'utente ha modificato l'indirizzo IP del server di controllo del cluster, ma il file di configurazione IPsec del server di gestione VPlex (cluster-1 e/o entrambi cluster-2) contiene ancora l'indirizzo IP precedente del server di controllo del cluster.
Resolution
Per risolvere il problema, esaminare i seguenti dettagli dello scenario e le fasi di risoluzione:
Scenario 1: L'utente ha modificato l'indirizzo IP del server di gestione VPlex (eth3) (cluster-1 e/o entrambi cluster-2), ma il file di configurazione IPsec del server di controllo del cluster contiene ancora un indirizzo IP precedente del server di gestione interessato.
NOTA: Nell'esempio riportato di seguito, l'utente ha modificato l'indirizzo IP del server di gestione VPlex sia di cluster-1 che di cluster-2.
-
Raccogliere gli indirizzi IP corretti assegnati al server di gestione VPlex (sia cluster-1 che cluster-2) come segue:
Cluster-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Eseguire SSH sul server di controllo del cluster utilizzando il relativo indirizzo IP pubblico:
- Per trovare l'indirizzo IP pubblico del server di controllo del cluster, eseguire il seguente comando VPlexcli:
Esempio:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Eseguire SSH all'indirizzo IP pubblico del cluster di controllo ottenuto dal passaggio 1.a come indicato di seguito:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Esempio:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Per trovare l'indirizzo IP pubblico del server di controllo del cluster, eseguire il seguente comando VPlexcli:
-
Aprire il file "IPsec.config" e cercare gli indirizzi IP cluster-1 e cluster-2 del server di gestione VPlex come indicato di seguito:
Nota: Prima di eseguire il passaggio (3), confermare l'indirizzo IP effettivo del server di gestione VPlex dall'output di stato vpn utilizzando il passaggio (1). Una volta raccolte queste informazioni, confrontarle con il file "IPsec.config" indicato di seguito per verificare/confermare se corrispondono o meno.Esempio:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Come dall'esempio precedente, abbiamo rilevato che il file "IPsec.config" di cluster-witness riporta ancora il vecchio indirizzo IP di VPlex management server-1 e cluster-2. Pertanto, modificare il file "IPsec.config" del server di controllo del cluster utilizzando l'editor vi per aggiornare l'indirizzo IP corretto di VPlex management server-1 e cluster-2.
NOTA: Posizionare l'indirizzo IP corretto di VPlex cluster-1 e cluster-2 dopo il segno di uguale senza spazi tra il segno di uguale e l'indirizzo IP, quindi salvare e uscire dal file.Esempio:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Riavviare il servizio IPSEC nel server di controllo del cluster e nei server di gestione VPlex (cluster-1 e cluster-2) come indicato di seguito:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Verificare lo stato del servizio IPsec come indicato di seguito:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Verificare lo stato del servizio IPsec come indicato di seguito:
-
Eseguire nuovamente il comando riportato di seguito per riconfigurare la connessione VPN a 3 vie tra il server di gestione VPlex e il server di controllo del cluster, come indicato di seguito:
Esempio:
VPlexcli nel cluster-1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Quindi da VPlexcli nel cluster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Verificare lo stato del cluster di controllo dopo il passaggio 1 (sia cluster-1 che cluster-2) come segue:
Esempio:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Controllare la connettività VPN utilizzando il comando vpn status (sia cluster-1 che cluster-2) come indicato di seguito:
Esempio:
Cluster-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Scenario 2: L'utente ha modificato l'indirizzo IP del server di controllo del cluster, ma il file di configurazione IPsec del server di gestione VPlex (cluster-1 e/o entrambi cluster-2) contiene ancora l'indirizzo IP precedente del server di controllo del cluster.
-
Verificare l'indirizzo IP pubblico del cluster witness corretto seguendo il comando seguente:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
Dal server di gestione VPlex (cluster-1 o cluster-2) individuare il file ipsec.conf come segue:
Nota: Prima di eseguire il passaggio (10), confermare l'indirizzo IP effettivo del server di gestione VPlex dall'output di stato vpn utilizzando il passaggio (9). Una volta raccolte queste informazioni, confrontarle con il file "IPsec.config" indicato di seguito per verificare/confermare se corrispondono o meno.Esempio:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Come nell'esempio precedente, abbiamo rilevato che il file "IPsec.config" del server di gestione VPlex (cluster-1 e/o entrambi cluster-2) porta ancora il vecchio indirizzo IP del server di controllo del cluster. Pertanto, modificare il file "IPsec.config" utilizzando vi editor per aggiornare l'indirizzo IP corretto del server di controllo del cluster.
NOTA: Posizionare l'indirizzo IP corretto del server di controllo del cluster sul server di gestione VPlex interessato dopo il segno di uguale senza spazi tra il segno di uguale e l'indirizzo IP, salvare e uscire dal file.
Ripetere i passaggi da 4 a 8 dello scenario 1 per risolvere il problema.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.