VPLEX: 3-suuntainen VPN-määritys epäonnistuu väärän IP-osoitteen vuoksi

Summary: Tässä artikkelissa kerrotaan, miten VPN-yhteys muodostetaan uudelleen VPlex-klustereiden ja klusteritodistajan välille, kun uusi määritetty ip-osoite ei päivity IPSEC.conf-tiedostossa.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Käyttäjä on muuttanut tai päivittänyt VPlex-hallintapalvelimen IP-osoitteen (joko cluster-1 ja/tai molemmat klusteri-2) tai klusterin todistajan IP-osoitteen.

Ongelman kuvaus:
Kolmisuuntaisen VPN-yhteyden määrittäminen VPlex-hallintapalvelimen (joko cluster-1 tai/molemmat klusteri-2) ja cluster-witness-palvelimen välille epäonnistuu seuraavan virheilmoituksen vuoksi:

VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force
Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy
Verifying the VPN status between the management servers...
IPSEC is UP
Remote Management Server at IP Address yy.yy.yy.yy is reachable
Remote Internal Gateway addresses are reachable
Verifying the VPN status between the management server and the cluster witness server...
IPSEC is not UP
Cluster Witness Server at IP Address 128.221.254.3 is not reachable

Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration.

It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address.
Please re-run the cluster witness server vpn configuration with the right public IP address.
Resetting the Cluster Witness VPN configuration
Resetting the Cluster Witness Server VPN configuration

.
.
.
<./truncated>

 

Cause

Voi olla kaksi tilannetta, joissa kolmisuuntaisen VPN-yhteyden määrittäminen VPlex-hallintapalvelimen (joko klusteri-1 tai / molemmat klusteri-2) ja klusterin todistajapalvelimen välillä voi epäonnistua seuraavasti:

  1. Käyttäjä on muuttanut VPlex-hallintapalvelimen IP-osoitteen (eth3) (joko klusteri-1 tai /molemmat klusteri-2), mutta klusterin todistajapalvelimen IPsec-määritystiedosto sisältää edelleen sen hallintapalvelimen vanhan IP-osoitteen, jota ongelma koskee.

    TAI

  2. Käyttäjä on vaihtanut klusteritodistajan IP-osoitteen, mutta VPlex-hallintapalvelimen (joko klusteri-1 tai/molemmat klusteri-2) IPsec-määritystiedostot sisältävät edelleen klusteritodistajapalvelimen vanhan IP-osoitteen.

 

Resolution

Käy läpi seuraavat skenaarion tiedot ja ratkaisuvaiheet ongelman ratkaisemiseksi:

Tilanne 1: Käyttäjä on muuttanut VPlex-hallintapalvelimen IP-osoitteen (eth3) (joko klusteri-1 tai /molemmat klusteri-2), mutta klusterin todistajapalvelimen IPsec-määritystiedosto sisältää edelleen sen hallintapalvelimen vanhan IP-osoitteen, jota ongelma koskee.

HUOMAUTUS: Alla olevissa esimerkeissä käyttäjä on muuttanut klusterin 1 ja klusterin 2 VPlex-hallintapalvelimen IP-osoitteen.

  1. Kerää oikeat VPlex-hallintapalvelimelle määritetyt IP-osoitteet (sekä klusteri 1 että klusteri 2) seuraavasti:

    Klusteri 1:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>

    Klusteri 2:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>

  2. Suorita SSH-yhteys klusteritodistajapalvelimeen käyttämällä sen julkista IP-osoitetta:

    1. Voit etsiä klusteritodistajapalvelimen julkisen IP-osoitteen suorittamalla seuraavan VPlexcli-komennon:
      Esimerkki: 
      VPlexcli:/> ll /cluster-witness/
/cluster-witness:
Attributes:
Name                Value
------------------  -------------
admin-state         unknown
private-ip-address  128.221.254.3
public-ip-address   XX.XX.XX.XX      <<< Cluster-Witness server public IP-address
    2. Suorita SSH-yhteys klusterin todistajan julkiseen IP-osoitteeseen, joka on saatu vaiheessa 1.a seuraavasti:
      service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
      Esimerkki: 
      service@ManagementServer:~> ssh xx.xx.xx.xx       >> cluster-witness-public-IP-address
Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts.
Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
service@ClusterWitness:~>

  3. Etsi IPsec.config-tiedosto ja etsi VPlex-hallintapalvelimen klusterin 1 ja klusterin 2 IP-osoitteet seuraavasti:

    Huomautus: Ennen kuin suoritat vaiheen (3), varmista VPlex-hallintapalvelimen todellinen IP-osoite VPN-tilatulosteesta käyttämällä vaihetta (1). Kun nämä tiedot on kerätty, vertaa niitä alla mainittuun IPsec.config-tiedostoon ja tarkista/varmista, vastaavatko ne toisiaan.

    Esimerkki:

    service@ClusterWitness:~> cat /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15Y.YYY.Y.YYY             <<========== Old/incorrect IP address of VPlex management server-2
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15X.XXX.X.XXX         <<========== Old/incorrect IP address of VPlex management server-1
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  4. Edellä olevasta esimerkistä kävi ilmi, että klusteritodistajan IPsec.config-tiedostossa on edelleen VPlex-hallintapalvelimen 1 ja klusteri-2:n vanha IP-osoite. Muokkaa sen vuoksi klusteritodistajapalvelimen IPsec.config-tiedostoa vi-editorilla päivittääksesi VPlex-hallintapalvelimen 1 ja klusteri-2:n oikean IP-osoitteen.

    HUOMAUTUS: Aseta VPlex-klusterin 1 ja klusteri-2 oikea IP-osoite yhtäläisyysmerkin jälkeen ilman välilyöntiä yhtäläisyysmerkin ja IP-osoitteen väliin. Tallenna tiedosto ja poistu siitä.

    Esimerkki:

    service@ClusterWitness:~> vi /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14M.MMM.M.MMM       <<========== Add/update the correct IP address of VPlex cluster-1.
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14N.NNN.N.NNN       <<========== Add/update the correct IP address of VPlex cluster-2.
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  5. Käynnistä IPSEC-palvelu uudelleen sekä klusteritodistajapalvelimessa että VPlex-hallintapalvelimissa (sekä klusterissa 1 että klusterissa 2) seuraavasti:

    service@ClusterWitness:~> sudo /usr/sbin/ipsec restart
service@ManagementServer:~> sudo /usr/sbin/ipsec restart
    1. Tarkista IPsec-palvelun tila seuraavasti: 
      service@ClusterWitness:~> sudo /usr/sbin/ipsec status
service@ManagementServer:~> sudo /usr/sbin/ipsec status

  6. Määritä uudelleen 3-suuntainen VPN-yhteys VPlex-hallintapalvelimen ja klusterin todistajapalvelimen välille suorittamalla seuraava komento seuraavasti:
    Esimerkki:
    VPlexcli klusterissa 1:

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

    Sen jälkeen klusterin 2 VPlexcli-asemasta

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

  7. Tarkista klusterin todistajan tila vaiheen 1 jälkeen (sekä klusteri 1 että klusteri 2) seuraavasti:
    Esimerkki:

    VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok

  8. Tarkista VPN-yhteys komennolla vpn-tila (sekä klusteri-1 että klusteri-2) seuraavasti:

    Esimerkki:
    Klusteri-1:

    VPlexcli:/> vpn status

Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

    Klusteri 2:

    VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

Tilanne 2: Käyttäjä on vaihtanut klusteritodistajan IP-osoitteen, mutta VPlex-hallintapalvelimen (joko klusteri-1 tai/molemmat klusteri-2) IPsec-määritystiedostot sisältävät edelleen klusteritodistajapalvelimen vanhan IP-osoitteen.

  1. Varmista oikea klusterin todistajan julkinen IP-osoite seuraamalla alla olevaa komentoa:

    VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components

  2. Siirrä tiedosto ipsec.conf VPlex-hallintapalvelimesta (klusteri-1 tai klusteri-2) seuraavasti:

    Huomautus: Ennen kuin suoritat vaiheen (10), varmista VPlex-hallintapalvelimen todellinen IP-osoite VPN-tilatulosteesta käyttämällä vaihetta (9). Kun nämä tiedot on kerätty, vertaa niitä alla mainittuun IPsec.config-tiedostoon ja tarkista/varmista, vastaavatko ne toisiaan.

    Esimerkki:

    service@Managementserver:~> cat /etc/ipsec.conf     >> Cluster-1
# Add connections here.
# Setup a tunnel between the management servers and their networks
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn net-witness
type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=xx.xx.xx.45    <<========== Old/incorrect IP address of cluster-witness
   rightsubnet=128.221.254.3/32
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes128-sha1
   auto=start

# Connection between Management Server 1 and Management Server 2
conn net-net
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=14N.NNN.N.NNN   <<========== IP address of remote management server
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

  3. Kuten edellä olevassa esimerkissä, havaitsimme, että VPlex-hallintapalvelimen IPsec.config-tiedosto (joko cluster-1 tai / molemmat klusteri-2) sisältää edelleen klusterin todistajapalvelimen vanhan IP-osoitteen. Muokkaa siksi tiedostoa "IPsec.config" vi-editorilla päivittääksesi klusteritodistajapalvelimen oikean IP-osoitteen.

    HUOMAUTUS: Aseta klusteritodistajapalvelimen oikea IP-osoite haavoittuvuuden sisältävälle VPlex-hallintapalvelimelle yhtäläisyysmerkin jälkeen niin, että yhtäläisyysmerkin ja IP-osoitteen välissä ei ole välilyöntiä, tallenna ja sulje tiedosto.

Korjaa ongelma toistamalla skenaarion 1 vaiheet 4–8.

 

Affected Products

VPLEX Series

Products

VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6
Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.