VPLEX: 3-veis VPN-konfigurasjon mislykkes på grunn av feil ip-adresse
Summary: Denne artikkelen veileder deg gjennom hvordan du gjenoppretter VPN-tilkoblingen mellom VPlex-klynger og cluster-witness når den nye ip-adressen som er tilordnet, ikke oppdateres i IPSEC.conf-filen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Brukeren har endret eller oppdatert IP-adressen til VPlex administrasjonsserver (enten cluster-1 eller/begge cluster-2) eller IP-adressen for cluster-witness.
Beskrivelse av problemet:
Konfigurering av en 3-veis VPN-tilkobling mellom VPlex administrasjonsserver (enten cluster-1 eller/begge cluster-2)-servere og cluster-witness-serveren mislykkes med feilmeldingen nedenfor:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Det kan være to scenarier der konfigurasjon av en 3-veis VPN-tilkobling mellom VPlex-administrasjonsserveren (enten cluster-1 eller/begge cluster-2) og cluster-witness-serveren kan mislykkes på følgende måte:
-
Brukeren har endret IP-adressen til VPlex administrasjonsserver (eth3) (enten cluster-1 eller/begge cluster-2), men IPsec-konfigurasjonsfilen for cluster-witness-serveren inneholder fortsatt en gammel IP-adresse for den berørte administrasjonsserveren.
OG/ELLER,
-
Brukeren har endret IP-adressen for klyngevitnet, men VPlex-administrasjonsserveren (enten klynge-1 eller/begge klynge-2) IPsec-konfigurasjonsfilen inneholder fortsatt gammel IP-adresse for klyngevitne-serveren.
Resolution
Gå gjennom scenariedetaljene nedenfor og løsningstrinnene for å løse dette problemet:
Scenario 1: Brukeren har endret IP-adressen til VPlex administrasjonsserver (eth3) (enten cluster-1 eller/begge cluster-2), men IPsec-konfigurasjonsfilen for cluster-witness-serveren inneholder fortsatt en gammel IP-adresse for den berørte administrasjonsserveren.
MERK: I eksemplene nedenfor har brukeren endret IP-adressen til VPlex-administrasjonsserveren for både klynge 1 og klynge 2.
-
Samle inn riktige IP-adresser som er tilordnet til VPlex Management Server (både cluster-1 og cluster-2) som følger:
Klynge-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Klynge-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Utfør SSH til cluster-witness-serveren ved hjelp av den offentlige IP-adressen:
- Hvis du vil finne den offentlige IP-adressen til cluster-witness-serveren, kjører du følgende VPlexcli-kommando:
Eksempel:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Utfør SSH til den offentlige IP-adressen til cluster-witness innhentet fra trinn 1.a som følger:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Eksempel:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Hvis du vil finne den offentlige IP-adressen til cluster-witness-serveren, kjører du følgende VPlexcli-kommando:
-
Koble til "IPsec.config"-filen, og søk etter VPlex management server cluster-1- og cluster-2 IP-adresser på følgende måte:
Merk: Før du utfører trinn(3), må du bekrefte den faktiske IP-adressen til VPlex-administrasjonsserveren fra VPN-statusutdata ved hjelp av step(1). Når denne informasjonen er samlet, sammenligner du den med "IPsec.config"-filen som er nevnt nedenfor, for å sjekke / bekrefte om den samsvarer eller ikke.Eksempel:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Fra eksempelet ovenfor fant vi ut at "IPsec.config"-filen til cluster-witness fortsatt bærer den gamle IP-adressen til VPlex management server-1 og cluster-2. Rediger derfor filen "IPsec.config" på cluster-witness-serveren ved hjelp av vi editor for å oppdatere riktig IP-adresse for VPlex management server-1 og cluster-2.
MERK: Plasser riktig IP-adresse for VPlex cluster-1 og cluster-2 etter likhetstegnet uten mellomrom mellom likhetstegnet og IP-adressen, lagre og avslutt filen.Eksempel:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Start IPSEC-tjenesten på nytt i både cluster-witness-serveren og VPlex-administrasjonsserverne (både cluster-1 og cluster-2) på følgende måte:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Bekreft statusen til IPSec-tjenesten som følger:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Bekreft statusen til IPSec-tjenesten som følger:
-
Utfør kommandoen nedenfor på nytt for å rekonfigurere 3-veis VPN-tilkobling mellom VPlex-administrasjonsserveren og klyngevitneserveren på følgende måte:
Eksempel:
VPlexcli i klynge 1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Deretter fra VPlexcli i Cluster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Bekreft statusen til cluster-witness etter trinn 1 (både cluster-1 og cluster-2) på følgende måte:Eksempel:
VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Sjekk VPN-tilkoblingen ved hjelp av kommando vpn-status (både cluster-1 og cluster-2) som følger:
Eksempel:
Cluster-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Klynge-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Scenario 2: Brukeren har endret IP-adressen for klyngevitnet, men VPlex-administrasjonsserveren (enten klynge-1 eller/begge klynge-2) IPsec-konfigurasjonsfilen inneholder fortsatt gammel IP-adresse for klyngevitne-serveren.
-
Bekreft riktig offentlig IP-adresse for klyngevitne ved å følge kommandoen nedenfor:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
Fra VPlex management server (enten cluster-1 eller cluster-2) cat filen ipsec.conf som følger:
Merk: Før du utfører Step(10), må du bekrefte den faktiske IP-adressen til VPlex-administrasjonsserveren fra VPN-statusutgangen ved hjelp av step(9). Når denne informasjonen er samlet, sammenligner du den med "IPsec.config"-filen som er nevnt nedenfor, for å sjekke / bekrefte om den samsvarer eller ikke.Eksempel:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Fra eksemplet ovenfor fant vi ut at "IPsec.config"-filen til VPlex Management Server (enten cluster-1 eller / begge cluster-2) fortsatt bærer den gamle IP-adressen til cluster-witness-serveren. Rediger derfor filen "IPsec.config" ved hjelp av vi editor for å oppdatere riktig IP-adresse til cluster-witness-serveren.
MERK: Plasser riktig IP-adresse til Cluster-witness-serveren på den berørte VPlex-administrasjonsserveren etter likhetstegnet uten mellomrom mellom likhetstegnet og IP-adressen. Lagre og avslutt filen.
Gjenta trinn fra 4 til 8 fra scenario 1 for å løse dette problemet.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.