ВПЛЕКС: Не вдається налаштувати 3-сторонній VPN через неправильну IP-адресу
Summary: У цій статті ви дізнаєтеся, як відновити VPN-з'єднання між кластерами VPlex і cluster-witness, якщо нова призначена IP-адреса не оновлюється у файлі IPSEC.conf.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Користувач змінив або оновив IP-адресу сервера управління VPlex (кластер-1 або/обидва кластери-2) або IP-адресу кластера-свідка.
Опис випуску:
Не вдається налаштувати 3-стороннє VPN-з'єднання між сервером керування VPlex (кластер-1 або/обидва кластери-2) і сервером кластера-свідка з наступним повідомленням про помилку:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Може бути два сценарії, під час яких конфігурація 3-стороннього VPN-з'єднання між сервером управління VPlex (кластер-1 або/обидва кластери-2) та сервером кластер-свідок може вийти з ладу, а саме:
-
Користувач змінив IP-адресу сервера керування VPlex (eth3) (або кластер-1, або/обидва кластери-2), але файл конфігурації IPsec сервера кластера-свідка все ще містить стару IP-адресу ураженого сервера керування.
ТА/АБО,
-
Користувач змінив IP-адресу кластера-свідка, але файл конфігурації IPsec сервера керування VPlex (або кластер-1 або/обидва кластери-2) все ще містить стару IP-адресу сервера кластера-свідка.
Resolution
Ознайомтеся з деталями сценарію нижче та кроками вирішення, щоб вирішити цю проблему:
Сценарій 1: Користувач змінив IP-адресу сервера керування VPlex (eth3) (або кластер-1, або/обидва кластери-2), але файл конфігурації IPsec сервера кластера-свідка все ще містить стару IP-адресу ураженого сервера керування.
ПРИМІТКА. У наведених нижче прикладах користувач змінив IP-адресу сервера керування VPlex як кластера-1, так і кластера-2.
-
Зберіть правильні IP-адреси, призначені серверу керування VPlex (як кластер-1, так і кластер-2) наступним чином:
Кластер-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Кластер-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Виконайте SSH до сервера кластера-свідка, використовуючи його публічну IP-адресу:
- Щоб знайти публічну IP-адресу сервера кластера-свідка, виконайте наступну команду
VPlexcli:Приклад:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Виконайте SSH на публічну IP-адресу кластера-свідка, отриману з кроку 1.a, наступним чином:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Приклад:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Щоб знайти публічну IP-адресу сервера кластера-свідка, виконайте наступну команду
-
Відкрийте файл "IPsec.config" і знайдіть IP-адреси кластера 1 і кластера 2 сервера управління VPlex наступним чином:
Примітка: Перш ніж перейти до кроку (3), підтвердьте фактичну IP-адресу сервера керування VPlex із виводу статусу VPN за допомогою кроку (1). Зібравши цю інформацію, порівняйте її з файлом "IPsec.config", згаданим нижче, щоб перевірити/підтвердити, чи збігається він чи ні.Приклад:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Як і в наведеному вище прикладі, ми виявили, що файл "IPsec.config" кластера-свідка все ще несе стару IP-адресу сервера управління VPlex-1 і кластера-2. Тому відредагуйте файл "IPsec.config" сервера кластер-свідок за допомогою редактора vi, щоб оновити правильну IP-адресу сервера управління VPlex-1 і кластера-2.
ПРИМІТКА. Розмістіть правильну IP-адресу VPlex cluster-1 і cluster-2 після знака рівності без пробілу між знаком рівності та IP-адресою, збережіть і вийдіть з файлу.Приклад:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Перезапустіть службу IPSEC на сервері керування кластер-свідок і сервері керування VPlex (як кластер-1, так і кластер-2) таким чином:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Перевірте статус служби IPsec наступним чином:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Перевірте статус служби IPsec наступним чином:
-
Повторно виконайте наведену нижче команду, щоб переналаштувати 3-смугове VPN-з'єднання між сервером керування VPlex і сервером кластера-свідка наступним чином:
Приклад:
VPlexcli в Cluster-1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Потім з VPlexcli в Кластері-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Перевірте статус кластера-свідка після кроку 1 (обидва кластери-1 і кластер-2) наступним чином:
Приклад:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Перевірте з'єднання VPN за допомогою команди статус vpn (як кластер-1, так і кластер-2) наступним чином:
Приклад:
Кластер-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Кластер-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Сценарій 2: Користувач змінив IP-адресу кластера-свідка, але файл конфігурації IPsec сервера керування VPlex (або кластер-1 або/обидва кластери-2) все ще містить стару IP-адресу сервера кластера-свідка.
-
Перевірте правильну публічну IP-адресу кластера, дотримуючись наведеної нижче команди:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
З сервера управління VPlex (кластер-1 або кластер-2) запишіть файл ipsec.conf наступним чином:
Примітка: Перш ніж перейти до кроку (10), підтвердьте фактичну IP-адресу сервера керування VPlex з виводу статусу vpn за допомогою кроку (9). Зібравши цю інформацію, порівняйте її з файлом "IPsec.config", згаданим нижче, щоб перевірити/підтвердити, чи збігається він чи ні.Приклад:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Як і в наведеному вище прикладі, ми виявили, що файл "IPsec.config" сервера управління VPlex (кластер-1 або/обидва кластери-2) все ще несе стару IP-адресу сервера кластера-свідка. Тому відредагуйте файл "IPsec.config" за допомогою редактора vi, щоб оновити правильну IP-адресу сервера кластера-свідка.
ПРИМІТКА. Розмістіть правильну IP-адресу сервера Cluster-witness на ураженому сервері керування VPlex після знака рівності без пробілу між знаком рівності та IP-адресою, збережіть та вийдіть із файлу.
Повторіть кроки від 4 до 8 зі сценарію 1, щоб вирішити цю проблему.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.