「VPLEX:IPアドレスが正しくないために3方向VPN構成が失敗する
Summary: この記事では、割り当てられた新しいIPアドレスがIPSEC.confファイルで更新されていない場合に、VPlexクラスターとクラスター監視の間のVPN接続を再確立する方法について説明します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
ユーザーがVPlex管理サーバーのIPアドレス(クラスター1または両方クラスター2)またはクラスター監視IPアドレスを変更または更新しました。
問題の説明:
VPlex管理サーバー(クラスター1またはクラスター2の両方)とクラスター監視サーバー間の3方向VPN接続の構成が失敗し、次のエラー メッセージが表示されます。
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
VPlex管理サーバー(クラスター1またはクラスター2の両方)とクラスター監視サーバー間の3方向VPN接続の構成が失敗するシナリオは、次のように2種類考えられます。
-
ユーザーがVPlex管理サーバーのIPアドレス(eth3)(クラスター1または両方クラスター2、またはその両方)を変更しましたが、クラスター監視サーバーのIPsec設定ファイルに、影響を受ける管理サーバーの古いIPアドレスがまだ含まれています。
や
-
ユーザーがクラスター監視IPアドレスを変更しましたが、VPlex管理サーバー(クラスター1またはクラスター2の両方)のIPsec設定ファイルに、クラスター監視サーバーの古いIPアドレスがまだ含まれています。
Resolution
この問題を解決するには、以下のシナリオの詳細と解決手順を参照してください。
シナリオ1:ユーザーがVPlex管理サーバーのIPアドレス(eth3)(クラスター1または両方クラスター2、またはその両方)を変更しましたが、クラスター監視サーバーのIPsec設定ファイルに、影響を受ける管理サーバーの古いIPアドレスがまだ含まれています。
メモ: 次の例では、ユーザーがクラスター1とクラスター2の両方のVPlex管理サーバーのIPアドレスを変更しています。
-
VPlex管理サーバー(クラスター1とクラスター2の両方)に割り当てられている正しいIPアドレスを次のように収集します。
クラスター-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
クラスター2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
パブリックIPアドレスを使用して、クラスター監視サーバーにSSHを実行します。
- クラスター監視サーバーのパブリックIPアドレスを検索するには、次のVPlexcliコマンドを実行します。
例:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- 次のように、手順1.aで取得したcluster-witnessのパブリックIPアドレスに対してSSHを実行します。
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Example:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- クラスター監視サーバーのパブリックIPアドレスを検索するには、次のVPlexcliコマンドを実行します。
-
「IPsec.config」ファイルをCatし、次のようにVPlex管理サーバーのクラスター1およびクラスター2のIPアドレスを検索します。
注:ステップ(3)を実行する前に、ステップ(1)を使用してvpnステータス出力からVPlex管理サーバーの実際のIPアドレスを確認します。この情報が収集されたら、以下に記載されている「IPsec.config」ファイルと比較して、一致するかどうかを確認/確認します。Example:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
上記の例から、cluster-witnessの「IPsec.config」ファイルに VPlex管理サーバー1とクラスター2の古いIPアドレスがまだ含まれていることがわかりました。そのため、viエディターを使用してクラスター監視サーバーのファイル「IPsec.config」を編集し、VPlex管理サーバー-1およびクラスター-2の正しいIPアドレスを更新します。
メモ: VPlexクラスター1とクラスター2の正しいIPアドレスを等号の後に、等号とIPアドレスの間にスペースを入れずに配置して、ファイルを保存して終了します。Example:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
次のように、クラスター監視サーバーとVPLEX管理サーバーの両方(クラスター1とクラスター2の両方)でIPSECサービスを再起動します。
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- IPsecサービスのステータスを次のように確認します。
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- IPsecサービスのステータスを次のように確認します。
-
次のコマンドを再実行して、VPlex管理サーバーとクラスター監視サーバー間の3方向VPN接続を次のように再構成します。
例:クラスター1の
VPlexcli:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
次に、クラスター2のVPlexcliから
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
次のように、手順1(クラスター1とクラスター2の両方)に従って、クラスター監視のステータスを確認します。
例:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
次のように、vpn status(cluster-1 と cluster-2 の両方)コマンドを使用して VPN 接続を確認します。
例:
クラスター-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
クラスター2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
シナリオ2:ユーザーがクラスター監視IPアドレスを変更しましたが、VPlex管理サーバー(クラスター1またはクラスター2の両方)のIPsec設定ファイルに、クラスター監視サーバーの古いIPアドレスがまだ含まれています。
-
次のコマンドに従って、正しいクラスター監視パブリックIPアドレスを確認します。
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
VPlex管理サーバー(クラスター1またはクラスター2のいずれか)から、ipsec.confファイルを次のようにcatします。
注:ステップ(10)を実行する前に、ステップ(9)を使用してvpnステータス出力からVPlex管理サーバーの実際のIPアドレスを確認します。この情報が収集されたら、以下に記載されている「IPsec.config」ファイルと比較して、一致するかどうかを確認/確認します。Example:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
上記の例から、VPlex管理サーバー(クラスター1またはクラスター2の両方)の「IPsec.config」ファイルに、クラスター監視サーバーの古いIPアドレスがまだ含まれていることがわかりました。そのため、viエディターを使用して「IPsec.config」ファイルを編集し、クラスター監視サーバーの正しいIPアドレスを更新します。
メモ: 影響を受けるVPlex管理サーバー上のクラスター監視サーバーの正しいIPアドレスを、等号とIPアドレスの間にスペースを入れずに等号の後に入力し、ファイルを保存して終了します。
この問題を解決するには、シナリオ1の手順4から8を繰り返します。
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.