VPLEX: La configuración de VPN de 3 vías falla debido a una dirección IP incorrecta
Summary: Este artículo lo guía a través de cómo restablecer la conectividad VPN entre los clústeres VPlex y el testigo del clúster cuando la nueva dirección IP asignada no se actualiza en el archivo IPSEC.conf. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
El usuario cambió o actualizó la dirección IP del servidor de administración de VPLEX (ya sea clúster 1 o ambos clústeres 2) o la dirección IP testigo del clúster.
Descripción del problema:
La configuración de una conexión VPN de 3 vías entre el servidor de administración de VPLEX (ya sea el clúster 1 o ambos clústeres 2) y el servidor testigo del clúster falla con el siguiente mensaje de error:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Podría haber dos escenarios durante los cuales la configuración de una conexión VPN de 3 vías entre el servidor de administración de VPLEX (ya sea clúster 1 o ambos clústeres 2) y el servidor testigo del clúster puede fallar de la siguiente manera:
-
El usuario cambió la dirección IP del servidor de administración de VPLEX (eth3) (ya sea clúster-1 o ambos clúster-2), pero el archivo de configuración de IPsec del servidor del testigo del clúster aún contiene una dirección IP antigua del servidor de administración afectado.
Y/O,
-
El usuario cambió la dirección IP del testigo del clúster, pero el archivo de configuración de IPsec del servidor de administración de VPLEX (ya sea del clúster 1 o del clúster 2) aún contiene la dirección IP antigua del servidor del testigo del clúster.
Resolution
Revise los siguientes detalles del escenario y los pasos de resolución para resolver este problema:
Situación 1: El usuario cambió la dirección IP del servidor de administración de VPLEX (eth3) (ya sea clúster-1 o ambos clúster-2), pero el archivo de configuración de IPsec del servidor del testigo del clúster aún contiene una dirección IP antigua del servidor de administración afectado.
NOTA: En los siguientes ejemplos, el usuario cambió la dirección IP del servidor de administración de VPLEX del clúster-1 y el clúster-2.
-
Recopile las direcciones IP correctas asignadas al servidor de administración de VPLEX (clúster 1 y clúster 2) de la siguiente manera:
Clúster 1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Clúster 2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Ejecute SSH en el servidor del testigo del clúster mediante su dirección IP pública:
- Para encontrar la dirección IP pública del servidor del testigo de clúster, ejecute el siguiente comando VPlexcli:
Ejemplo:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Ejecute SSH a la dirección IP pública del testigo del clúster obtenida del paso 1.a de la siguiente manera:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Ejemplo:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Para encontrar la dirección IP pública del servidor del testigo de clúster, ejecute el siguiente comando VPlexcli:
-
Ejecute Cat en el archivo "IPsec.config" y busque las direcciones IP del clúster 1 y del clúster 2 del servidor de administración de VPLEX de la siguiente manera:
Nota: Antes de llevar a cabo el paso (3), confirme la dirección IP real del servidor de administración de VPLEX desde la salida de estado de vpn mediante el paso (1). Una vez que se recopile esta información, compárela con el archivo "IPsec.config" que se menciona a continuación para comprobar/confirmar si coincide o no.Ejemplo:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
En el ejemplo anterior, descubrimos que el archivo "IPsec.config" del testigo de clúster aún lleva la dirección IP antigua del servidor de administración de VPLEX 1 y el clúster 2. Por lo tanto, edite el archivo "IPsec.config" del servidor del testigo de clúster mediante el editor vi para actualizar la dirección IP correcta del servidor de administración de VPLEX 1 y el clúster 2.
NOTA: Coloque la dirección IP correcta de VPlex cluster-1 y cluster-2 después del signo igual sin espacio entre el signo igual y la dirección IP, guarde y salga del archivo.Ejemplo:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Reinicie el servicio IPSEC en el servidor de testigo de clúster y en los servidores de administración de VPLEX (clúster 1 y clúster 2) de la siguiente manera:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Verifique el estado del servicio IPsec de la siguiente manera:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Verifique el estado del servicio IPsec de la siguiente manera:
-
Vuelva a ejecutar el siguiente comando para volver a configurar la conexión VPN de 3 vías entre el servidor de administración de VPLEX y el servidor testigo del clúster de la siguiente manera:
Ejemplo:
VPlexcli en el clúster 1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Luego, desde VPlexcli en el clúster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Verifique el estado del testigo del clúster en el paso 1 (tanto en el clúster 1 como en el clúster 2) de la siguiente manera:
Ejemplo:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Compruebe la conectividad VPN mediante el comando vpn status (tanto del clúster-1 como del clúster-2) de la siguiente manera:
Ejemplo:
clúster 1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Clúster 2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Situación 2: El usuario cambió la dirección IP del testigo del clúster, pero el archivo de configuración de IPsec del servidor de administración de VPLEX (ya sea del clúster 1 o del clúster 2) aún contiene la dirección IP antigua del servidor del testigo del clúster.
-
Verifique la dirección IP pública correcta del testigo del clúster mediante el siguiente comando:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
En el servidor de administración de VPLEX (ya sea cluster-1 o cluster-2), ponga en cat el archivo ipsec.conf de la siguiente manera:
Nota: Antes de llevar a cabo el paso (10), confirme la dirección IP real del servidor de administración de VPLEX desde la salida de estado de vpn mediante el paso (9). Una vez que se recopile esta información, compárela con el archivo "IPsec.config" que se menciona a continuación para comprobar/confirmar si coincide o no.Ejemplo:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
En el ejemplo anterior, descubrimos que el archivo "IPsec.config" del servidor de administración de VPLEX (ya sea clúster-1 o ambos-clúster-2) aún conserva la dirección IP antigua del servidor testigo del clúster. Por lo tanto, edite el archivo "IPsec.config" mediante vi editor para actualizar la dirección IP correcta del servidor del testigo del clúster.
NOTA: Coloque la dirección IP correcta del servidor del testigo del clúster en el servidor de administración de VPLEX afectado después del signo igual sin espacio entre el signo igual y la dirección IP, guarde y salga del archivo.
Repita los pasos del 4 al 8 de la situación 1 para resolver este problema.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.