VPLEX: Konfigurace 3cestné sítě VPN selže kvůli nesprávné IP adrese

Uživatel změnil nebo aktualizoval IP adresu serveru pro správu VPlex (cluster 1 nebo oba clustery 2) nebo IP adresu clusteru s kopií clusteru.

Popis problému:
Konfigurace 3-cestného připojení VPN mezi VPlex serverem pro správu (buď cluster-1 nebo/oba cluster-2) a cluster-witness serverem selže s níže uvedenou chybovou zprávou:

VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force
Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy
Verifying the VPN status between the management servers...
IPSEC is UP
Remote Management Server at IP Address yy.yy.yy.yy is reachable
Remote Internal Gateway addresses are reachable
Verifying the VPN status between the management server and the cluster witness server...
IPSEC is not UP
Cluster Witness Server at IP Address 128.221.254.3 is not reachable

Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration.

It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address.
Please re-run the cluster witness server vpn configuration with the right public IP address.
Resetting the Cluster Witness VPN configuration
Resetting the Cluster Witness Server VPN configuration

.
.
.
<./truncated>

Mohou nastat dva scénáře, během kterých může konfigurace 3-cestného připojení VPN mezi VPlex serverem pro správu (buď cluster-1 nebo/oba cluster-2) a cluster-witness serverem selhat následujícím způsobem:

1. Uživatel změnil IP adresu serveru pro správu VPlex (eth3) (cluster 1 nebo oba clustery 2), ale konfigurační soubor protokolu IPsec serveru s monitorovací službou clusteru stále obsahuje starou IP adresu dotčeného serveru pro správu.

   NEBO

2. Uživatel změnil IP adresu clusteru s kopií clusteru, ale konfigurační soubor IPsec VPlex serveru pro správu (buď cluster-1 nebo oba clustery-2) stále obsahuje starou IP adresu serveru s monitorovací službou clusteru.

Projděte si níže uvedené podrobnosti scénáře a kroky řešení, abyste tento problém vyřešili:

1. scénář: Uživatel změnil IP adresu serveru pro správu VPlex (eth3) (cluster 1 nebo oba clustery 2), ale konfigurační soubor protokolu IPsec serveru s monitorovací službou clusteru stále obsahuje starou IP adresu dotčeného serveru pro správu.

1. Shromážděte správné IP adresy přiřazené serveru pro správu VPlex (cluster 1 i cluster 2) následujícím způsobem:

   Cluster-1:

   VPlexcli:/> vpn status
   Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>

   Cluster-2:

   VPlexcli:/> vpn status
   Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>

2. Proveďte SSH na serveru s kopií clusteru pomocí jeho veřejné IP adresy:

   1. Chcete-li zjistit veřejnou IP adresu serveru clusteru s kopií clusteru, spusťte následující příkaz VPlexcli:
      Příklad:

      VPlexcli:/> ll /cluster-witness/
      /cluster-witness:
      Attributes:
      Name                Value
      ------------------  -------------
      admin-state         unknown
      private-ip-address  128.221.254.3
      public-ip-address   XX.XX.XX.XX      <<< Cluster-Witness server public IP-address

   2. Proveďte SSH na veřejnou IP adresu cluster-witness získanou z kroku 1.a následujícím způsobem:
      service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
      Příklad:

      service@ManagementServer:~> ssh xx.xx.xx.xx       >> cluster-witness-public-IP-address
      Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts.
      Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
      service@ClusterWitness:~>

3. Přejděte do souboru "IPsec.config" a vyhledejte IP adresy clusteru 1 a clusteru 2 serveru VPlex následujícím způsobem:

   Poznámka: Před provedením kroku (3) potvrďte skutečnou IP adresu VPlex serveru pro správu z výstupu stavu VPN pomocí kroku (1). Jakmile jsou tyto informace shromážděny, porovnejte je se souborem "IPsec.config" uvedeným níže a zkontrolujte/potvrďte, zda se shodují nebo ne.

   Příklad:

   service@ClusterWitness:~> cat /etc/ipsec.conf
   # Add connections here.
   # Setup a tunnel between the management servers and the Cluster Witness Server
   # "left" means local, "right" means remote.
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster2
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=15Y.YYY.Y.YYY             <<========== Old/incorrect IP address of VPlex management server-2
   rightsubnet=128.221.252.64/27,128.221.253.64/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start
   
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster1
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=15X.XXX.X.XXX         <<========== Old/incorrect IP address of VPlex management server-1
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

4. Stejně jako ve výše uvedeném příkladu jsme zjistili, že soubor "IPsec.config" cluster-witness stále nese starou IP adresu VPlex Management Server-1 a cluster-2. Proto upravte soubor "IPsec.config" serveru cluster-witness pomocí editoru vi, abyste aktualizovali správnou IP adresu serveru pro správu VPlex 1 a clusteru 2.

   POZNÁMKA: Umístěte správnou IP adresu VPlex clusteru-1 a clusteru-2 za znaménko rovná se bez mezery mezi znaménkem rovná se a IP adresou, uložte a ukončete soubor.

   Příklad:

   service@ClusterWitness:~> vi /etc/ipsec.conf
   # Add connections here.
   # Setup a tunnel between the management servers and the Cluster Witness Server
   # "left" means local, "right" means remote.
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster1
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=14M.MMM.M.MMM       <<========== Add/update the correct IP address of VPlex cluster-1.
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start
   
   # Connection between Cluster Witness Server and Management Server
   conn witness-cluster2
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.254.3/32
   leftcert=hostCert.pem
   right=14N.NNN.N.NNN       <<========== Add/update the correct IP address of VPlex cluster-2.
   rightsubnet=128.221.252.64/27,128.221.253.64/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

5. Restartujte službu IPSEC na serveru s kopií clusteru i na serverech pro správu VPlex (cluster 1 i cluster 2) následujícím způsobem:

   service@ClusterWitness:~> sudo /usr/sbin/ipsec restart
   service@ManagementServer:~> sudo /usr/sbin/ipsec restart

   1. Ověřte stav služby IPsec následujícím způsobem:

      service@ClusterWitness:~> sudo /usr/sbin/ipsec status
      service@ManagementServer:~> sudo /usr/sbin/ipsec status

6. Provedením následujícího příkazu překonfigurujte 3cestné připojení VPN mezi serverem pro správu VPlex a serverem clusteru s kopií clusteru následujícím způsobem:
   Příklad:
   VPlexcli v clusteru 1:

   VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

   Poté z VPlexcli v clusteru-2

   VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

7. Ověřte stav clusteru s kopií clusteru podle kroku 1 (cluster 1 i cluster 2) následujícím způsobem:
   Příklad:

   VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok

8. Zkontrolujte připojení VPN pomocí příkazu vpn status (cluster 1 i cluster 2) následujícím způsobem:

   Příklad:
   Cluster-1:

   VPlexcli:/> vpn status
   
   Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

   Cluster-2:

   VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

2. scénář: Uživatel změnil IP adresu clusteru s kopií clusteru, ale konfigurační soubor IPsec VPlex serveru pro správu (buď cluster-1 nebo oba clustery-2) stále obsahuje starou IP adresu serveru s monitorovací službou clusteru.

9. Pomocí následujícího příkazu ověřte správnou veřejnou IP adresu cluster-witness clusteru:

   VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components

10. Na serveru pro správu VPlex (cluster 1 nebo cluster 2) spusťte soubor ipsec.conf následujícím způsobem:

    Poznámka: Před provedením kroku (10) potvrďte skutečnou IP adresu VPlex serveru pro správu z výstupu stavu VPN pomocí kroku (9). Jakmile jsou tyto informace shromážděny, porovnejte je se souborem "IPsec.config" uvedeným níže a zkontrolujte/potvrďte, zda se shodují nebo ne.

    Příklad:

    service@Managementserver:~> cat /etc/ipsec.conf     >> Cluster-1
    # Add connections here.
    # Setup a tunnel between the management servers and their networks
    # "left" means local, "right" means remote.
    # Connection between Cluster Witness Server and Management Server
    conn net-witness
    type=tunnel
       keyexchange=ikev2
       mobike=no
       reauth=no
       left=%defaultroute
       leftsubnet=128.221.252.64/27,128.221.253.64/27
       leftcert=hostCert.pem
       right=xx.xx.xx.45    <<========== Old/incorrect IP address of cluster-witness
       rightsubnet=128.221.254.3/32
       rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com"
       ike=3des-sha256-modp2048
       esp=aes128-sha1
       auto=start
    
    # Connection between Management Server 1 and Management Server 2
    conn net-net
       type=tunnel
       keyexchange=ikev2
       mobike=no
       reauth=no
       left=%defaultroute
       leftsubnet=128.221.252.64/27,128.221.253.64/27
       leftcert=hostCert.pem
       right=14N.NNN.N.NNN   <<========== IP address of remote management server
       rightsubnet=128.221.252.32/27,128.221.253.32/27
       rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com"
       ike=3des-sha256-modp2048
       esp=aes256-sha256
       auto=start

11. Stejně jako z výše uvedeného příkladu jsme zjistili, že soubor "IPsec.config" serveru pro správu VPlex (buď cluster-1 nebo/oba clustery-2) stále nese starou IP adresu serveru cluster-witness. Proto upravte soubor "IPsec.config" pomocí příkazu "vi editor" a aktualizujte správnou IP adresu serveru clusteru s kopií clusteru.

    POZNÁMKA: Umístěte správnou IP adresu serveru Cluster-witness na dotčený server pro správu VPlex za znaménko rovná se bez mezery mezi znaménkem rovná se a IP adresou, uložte a ukončete soubor.

Tento problém vyřešíte opakováním kroků 4 až 8 ze scénáře 1.