VPLEX: 3-vejs VPN-konfiguration mislykkes på grund af forkert ip-adresse

Summary: Denne artikel fører dig igennem, hvordan du genopretter VPN-forbindelsen mellem VPlex-klynger og klyngevidne, når den nye tildelte ip-adresse ikke opdateres i filen IPSEC.conf.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Brugeren har ændret eller opdateret VPlex-administrationsserverens IP-adresse (enten klynge-1 eller/begge klynge-2) eller klyngevidne-IP-adresse.

Beskrivelse af problemet:
Konfiguration af en 3-vejs VPN-forbindelse mellem VPlex-administrationsserver (enten klynge-1 eller/begge klynge-2) og klyngevidneserver mislykkes med nedenstående fejlmeddelelse:

VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force
Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy
Verifying the VPN status between the management servers...
IPSEC is UP
Remote Management Server at IP Address yy.yy.yy.yy is reachable
Remote Internal Gateway addresses are reachable
Verifying the VPN status between the management server and the cluster witness server...
IPSEC is not UP
Cluster Witness Server at IP Address 128.221.254.3 is not reachable

Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration.

It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address.
Please re-run the cluster witness server vpn configuration with the right public IP address.
Resetting the Cluster Witness VPN configuration
Resetting the Cluster Witness Server VPN configuration

.
.
.
<./truncated>

 

Cause

Der kan være to scenarier, hvor konfigurationen af en 3-vejs VPN-forbindelse mellem VPlex-administrationsserveren (enten klynge-1 eller/begge klynge-2) og klyngevidneserveren kan mislykkes som følger:

  1. Brugeren har ændret VPlex-administrationsserverens IP-adresse (eth3) (enten klynge-1 eller/begge klynge-2), men IPsec-konfigurationsfilen til klyngevidneserver indeholder stadig en gammel IP-adresse for den berørte administrationsserver.

    ELLER

  2. Brugeren har ændret klyngevidne-IP-adresse, men VPlex-administrationsserver (enten klynge-1 eller/begge klynge-2) IPsec-konfigurationsfilen indeholder stadig den gamle IP-adresse for klyngevidneserveren.

 

Resolution

Gennemgå nedenstående scenariedetaljer og løsningstrin for at løse dette problem:

Scenarie 1: Brugeren har ændret VPlex-administrationsserverens IP-adresse (eth3) (enten klynge-1 eller/begge klynge-2), men IPsec-konfigurationsfilen til klyngevidneserver indeholder stadig en gammel IP-adresse for den berørte administrationsserver.

BEMÆRK: I nedenstående eksempler har brugeren ændret VPlex-administrationsserverens IP-adresse for både klynge-1 og klynge-2.

  1. Indsaml de korrekte IP-adresser, der er tildelt VPlex-administrationsserveren (både klynge-1 og klynge-2) på følgende måde:

    Klynge-1:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>

    Klynge-2:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>

  2. Udfør SSH til klyngevidneserveren ved hjælp af dens offentlige IP-adresse:

    1. For at finde klyngevidneserverens offentlige IP-adresse skal du køre følgende VPlexcli-kommando:
      Eksempel: 
      VPlexcli:/> ll /cluster-witness/
/cluster-witness:
Attributes:
Name                Value
------------------  -------------
admin-state         unknown
private-ip-address  128.221.254.3
public-ip-address   XX.XX.XX.XX      <<< Cluster-Witness server public IP-address
    2. Udfør SSH til klyngevidnets offentlige IP-adresse indhentet fra trin 1.a som følger:
      service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
      Eksempel: 
      service@ManagementServer:~> ssh xx.xx.xx.xx       >> cluster-witness-public-IP-address
Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts.
Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
service@ClusterWitness:~>

  3. Kat filen "IPsec.config", og søg efter VPlex-administrationsserverklynge-1- og klynge-2-IP-adresser på følgende måde:

    Bemærk: Før du udfører trin (3), skal du bekræfte den faktiske IP-adresse på VPlex-administrationsserveren fra vpn-statusoutput ved hjælp af trin (1). Når disse oplysninger er indsamlet, skal du sammenligne dem med filen "IPsec.config", der er nævnt nedenfor, for at kontrollere/bekræfte, om de stemmer overens eller ej.

    Eksempel:

    service@ClusterWitness:~> cat /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15Y.YYY.Y.YYY             <<========== Old/incorrect IP address of VPlex management server-2
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15X.XXX.X.XXX         <<========== Old/incorrect IP address of VPlex management server-1
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  4. I ovenstående eksempel fandt vi ud af, at filen "IPsec.config" i cluster-witness stadig indeholder den gamle IP-adresse på VPlex-administrationsserver-1 og klynge-2. Rediger derfor filen "IPsec.config" på cluster-witness-serveren ved hjælp af vi-editoren for at opdatere den korrekte IP-adresse på VPlex-administrationsserver-1 og cluster-2.

    BEMÆRK: Placer den korrekte IP-adresse for VPlex cluster-1 og cluster-2 efter lighedstegnet uden mellemrum mellem lighedstegnet og IP-adressen, og gem og forlad filen.

    Eksempel:

    service@ClusterWitness:~> vi /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14M.MMM.M.MMM       <<========== Add/update the correct IP address of VPlex cluster-1.
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14N.NNN.N.NNN       <<========== Add/update the correct IP address of VPlex cluster-2.
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  5. Genstart IPSEC-tjenesten på både klyngevidneservere og VPlex-administrationsservere (både klynge-1 og klynge-2) på følgende måde:

    service@ClusterWitness:~> sudo /usr/sbin/ipsec restart
service@ManagementServer:~> sudo /usr/sbin/ipsec restart
    1. Kontroller status for IPsec-tjenesten på følgende måde: 
      service@ClusterWitness:~> sudo /usr/sbin/ipsec status
service@ManagementServer:~> sudo /usr/sbin/ipsec status

  6. Genudfør nedenstående kommando for at genkonfigurere 3-vejs VPN-forbindelse mellem VPlex-administrationsservere og klyngevidneserver på følgende måde:
    Eksempel:
    VPlexcli i klynge-1:

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

    Derefter fra VPlexcli i klynge-2

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

  7. Bekræft status for klyngevidne efter trin-1 (både klynge-1 og klynge-2) som følger:
    Eksempel:

    VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok

  8. Kontroller VPN-forbindelsen ved hjælp af kommando vpn-status (både klynge-1 og klynge-2) som følger:

    Eksempel:
    Klynge-1:

    VPlexcli:/> vpn status

Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

    Klynge-2:

    VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

Scenarie 2: Brugeren har ændret klyngevidne-IP-adresse, men VPlex-administrationsserver (enten klynge-1 eller/begge klynge-2) IPsec-konfigurationsfilen indeholder stadig den gamle IP-adresse for klyngevidneserveren.

  1. Bekræft den korrekte klyngevidners offentlige IP-adresse ved at følge nedenstående kommando:

    VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components

  2. Fra VPlex-administrationsserveren (enten klynge-1 eller klynge-2) skal du kategorisere filen ipsec.conf på følgende måde:

    Bemærk: Før du udfører trin (10), skal du bekræfte den faktiske IP-adresse på VPlex-administrationsserveren fra vpn-statusoutput ved hjælp af trin (9). Når disse oplysninger er indsamlet, skal du sammenligne dem med filen "IPsec.config", der er nævnt nedenfor, for at kontrollere/bekræfte, om de stemmer overens eller ej.

    Eksempel:

    service@Managementserver:~> cat /etc/ipsec.conf     >> Cluster-1
# Add connections here.
# Setup a tunnel between the management servers and their networks
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn net-witness
type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=xx.xx.xx.45    <<========== Old/incorrect IP address of cluster-witness
   rightsubnet=128.221.254.3/32
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes128-sha1
   auto=start

# Connection between Management Server 1 and Management Server 2
conn net-net
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=14N.NNN.N.NNN   <<========== IP address of remote management server
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

  3. I ovenstående eksempel konstaterede vi, at filen "IPsec.config" på VPlex-administrationsserveren (enten klynge-1 eller/begge klynge-2) stadig bærer den gamle IP-adresse på klyngevidneserveren. Rediger derfor filen "IPsec.config" ved hjælp af vi-editoren for at opdatere den korrekte IP-adresse på klyngevidneserveren.

    BEMÆRK: Placer den korrekte IP-adresse på klyngevidneserver på den berørte VPlex-administrationsserver efter lighedstegnet uden mellemrum mellem lighedstegnet og IP-adressen, og gem og forlad filen.

Gentag trin fra 4 til 8 fra scenarie 1 for at løse dette problem.

 

Affected Products

VPLEX Series

Products

VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6
Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.