VPLEX: 3-Wege-VPN-Konfiguration schlägt aufgrund einer falschen IP-Adresse fehl
Summary: In diesem Artikel erfahren Sie, wie Sie die VPN-Verbindung zwischen VPlex-Clustern und Cluster-Witness wiederherstellen, wenn die neue zugewiesene IP-Adresse in der Datei IPSEC.conf nicht aktualisiert wird. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Der Nutzer hat die IP-Adresse des VPlex-Managementservers (entweder Cluster-1 oder/beide Cluster-2) oder die IP-Adresse des Cluster-Witness geändert oder aktualisiert.
Problembeschreibung:
Die Konfiguration einer 3-Wege-VPN-Verbindung zwischen dem VPlex-Managementserver (entweder Cluster-1 oder/beide Cluster-2) und dem Cluster-Witness-Server schlägt mit der folgenden Fehlermeldung fehl:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Es kann zwei Szenarien geben, in denen die Konfiguration einer 3-Wege-VPN-Verbindung zwischen VPlex-Managementserver (entweder Cluster-1 oder/beide Cluster-2) und Cluster-Witness-Server wie folgt fehlschlagen kann:
-
Der Nutzer hat die IP-Adresse des VPlex-Managementservers (eth3) geändert (entweder Cluster-1 oder/beide Cluster-2), aber die IPsec-Konfigurationsdatei des Cluster-Witness-Servers enthält immer noch eine alte IP-Adresse des betroffenen Managementservers.
UND/ODER,
-
Der Nutzer hat die Cluster-Witness-IP-Adresse geändert, aber die IPsec-Konfigurationsdatei des VPlex-Managementservers (entweder Cluster-1 oder/beide Cluster-2) enthält immer noch die alte IP-Adresse des Cluster-Witness-Servers.
Resolution
Gehen Sie die folgenden Szenariodetails und Lösungsschritte durch, um dieses Problem zu beheben:
Szenario 1: Der Nutzer hat die IP-Adresse des VPlex-Managementservers (eth3) geändert (entweder Cluster-1 oder/beide Cluster-2), aber die IPsec-Konfigurationsdatei des Cluster-Witness-Servers enthält immer noch eine alte IP-Adresse des betroffenen Managementservers.
HINWEIS: In den folgenden Beispielen hat der Nutzer die IP-Adresse des VPlex-Managementservers von Cluster-1 und Cluster-2 geändert.
-
Erfassen Sie wie folgt die korrekten IP-Adressen, die dem VPlex-Managementserver (sowohl Cluster-1 als auch Cluster-2) zugewiesen sind:
Cluster-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Stellen Sie eine SSH-Verbindung zum Cluster-Witness-Server über dessen öffentliche IP-Adresse her:
- Um die öffentliche IP-Adresse des Cluster-Witness-Servers zu ermitteln, führen Sie den folgenden VPlexcli-Befehl aus:
Beispiel:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Führen Sie SSH für die öffentliche IP-Adresse des Cluster-Witness wie folgt durch, die Sie in Schritt 1.a erhalten haben:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Beispiel:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Um die öffentliche IP-Adresse des Cluster-Witness-Servers zu ermitteln, führen Sie den folgenden VPlexcli-Befehl aus:
-
Navigieren Sie zur Datei "IPsec.config" und suchen Sie wie folgt nach den IP-Adressen von VPlex-Managementserver-Cluster-1 und Cluster-2:
Hinweis: Bevor Sie Schritt (3) ausführen, bestätigen Sie mit Schritt (1) die tatsächliche IP-Adresse des VPlex-Managementservers aus der VPN-Statusausgabe. Sobald diese Informationen erfasst wurden, vergleichen Sie sie mit der unten genannten Datei "IPsec.config", um zu überprüfen/bestätigen, ob sie übereinstimmen oder nicht.Beispiel:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Im obigen Beispiel haben wir festgestellt, dass die Datei "IPsec.config" von cluster-witness immer noch die alte IP-Adresse von VPlex-Managementserver-1 und cluster-2 enthält. Bearbeiten Sie daher die Datei "IPsec.config" des Cluster-Witness-Servers mithilfe des VI-Editors, um die korrekte IP-Adresse von VPlex-Managementserver-1 und Cluster-2 zu aktualisieren.
HINWEIS: Platzieren Sie die richtige IP-Adresse von VPlex-Cluster-1 und Cluster-2 nach dem Gleichheitszeichen ohne Leerzeichen zwischen dem Gleichheitszeichen und der IP-Adresse, speichern und beenden Sie die Datei.Beispiel:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Starten Sie den IPSEC-Service auf beiden Cluster-Witness-Servern und VPlex-Managementservern (Cluster-1 und Cluster-2) wie folgt neu:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Überprüfen Sie den Status des IPsec-Dienstes wie folgt:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Überprüfen Sie den Status des IPsec-Dienstes wie folgt:
-
Führen Sie den folgenden Befehl erneut aus, um die 3-Wege-VPN-Verbindung zwischen dem VPlex-Managementserver und dem Cluster-Witness-Server wie folgt neu zu konfigurieren:
Beispiel:
VPlexcli in Cluster-1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Dann über VPlexcli in Cluster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Überprüfen Sie den Status von cluster-witness gemäß Schritt 1 (sowohl Cluster-1 als auch Cluster-2) wie folgt:
Beispiel:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Überprüfen Sie die VPN-Konnektivität mit dem Befehl vpn status (sowohl cluster-1 als auch cluster-2):
Beispiel:
Cluster-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Szenario 2: Der Nutzer hat die Cluster-Witness-IP-Adresse geändert, aber die IPsec-Konfigurationsdatei des VPlex-Managementservers (entweder Cluster-1 oder/beide Cluster-2) enthält immer noch die alte IP-Adresse des Cluster-Witness-Servers.
-
Überprüfen Sie die richtige öffentliche IP-Adresse des Cluster-Witness, indem Sie den folgenden Befehl ausführen:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
Rufen Sie auf dem VPlex-Managementserver (entweder Cluster-1 oder Cluster-2) die Datei ipsec.conf wie folgt auf:
Hinweis: Bevor Sie Schritt (10) ausführen, bestätigen Sie die tatsächliche IP-Adresse des VPlex-Managementservers aus der VPN-Statusausgabe mit Schritt (9). Sobald diese Informationen erfasst wurden, vergleichen Sie sie mit der unten genannten Datei "IPsec.config", um zu überprüfen/bestätigen, ob sie übereinstimmen oder nicht.Beispiel:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Im obigen Beispiel haben wir festgestellt, dass die Datei "IPsec.config" des VPlex-Managementservers (entweder Cluster-1 oder/beide Cluster-2) immer noch die alte IP-Adresse des Cluster-Witness-Servers enthält. Bearbeiten Sie daher die Datei "IPsec.config" mithilfe des vi-Editors, um die korrekte IP-Adresse des Cluster-Witness-Servers zu aktualisieren.
HINWEIS: Platzieren Sie die richtige IP-Adresse des Cluster-Witness-Servers auf dem betroffenen VPlex-Managementserver nach dem Gleichheitszeichen ohne Leerzeichen zwischen dem Gleichheitszeichen und der IP-Adresse, speichern und beenden Sie die Datei.
Wiederholen Sie die Schritte 4 bis 8 aus Szenario 1, um dieses Problem zu beheben.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.