VPLEX : Échec de la configuration VPN tridirectionnelle en raison d’une adresse IP incorrecte
Summary: Cet article vous explique comment rétablir la connectivité VPN entre les clusters VPlex et cluster-witness lorsque la nouvelle adresse IP attribuée n’est pas mise à jour dans le fichier IPSEC.conf. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
L’utilisateur a modifié ou mis à jour l’adresse IP du serveur de gestion VPlex (cluster-1 et/ou cluster-2) ou l’adresse IP du cluster-témoin.
Description du problème :
La configuration d’une connexion VPN tridirectionnelle entre le serveur de gestion VPlex (cluster-1 et/ou cluster-2) et le serveur témoin de cluster échoue avec le message d’erreur ci-dessous :
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Il peut y avoir deux scénarios au cours desquels la configuration d’une connexion VPN tridirectionnelle entre le serveur de gestion VPlex (cluster-1 ou/les deux-cluster-2) et le serveur témoin de cluster peut échouer, comme suit :
-
L’utilisateur a modifié l’adresse IP du serveur de gestion VPlex (eth3) (cluster-1 ou/les deux cluster-2), mais le fichier de configuration IPsec du serveur témoin de cluster contient toujours une ancienne adresse IP du serveur de gestion concerné.
ET/OU,
-
L’utilisateur a modifié l’adresse IP du témoin de cluster, mais le fichier de configuration IPsec du serveur de gestion VPlex (cluster-1 ou/cluster-2) contient toujours l’ancienne adresse IP du serveur témoin de cluster.
Resolution
Passez en revue les détails du scénario ci-dessous et les étapes de résolution afin de résoudre ce problème :
Scénario 1 : L’utilisateur a modifié l’adresse IP du serveur de gestion VPlex (eth3) (cluster-1 ou/les deux cluster-2), mais le fichier de configuration IPsec du serveur témoin de cluster contient toujours une ancienne adresse IP du serveur de gestion concerné.
Remarque : Dans l’exemple ci-dessous, l’utilisateur a modifié l’adresse IP du serveur de gestion VPlex du cluster-1 et du cluster-2.
-
Collectez les adresses IP correctes attribuées au serveur de gestion VPlex (cluster-1 et cluster-2) comme suit :
Cluster-1 :
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Cluster-2 :
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Établissez une connexion SSH avec le serveur témoin de cluster à l’aide de son adresse IP publique :
- Pour trouver l’adresse IP publique du serveur témoin de cluster, exécutez la commande VPlexcli suivante :
Exemple :VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Établissez une connexion SSH avec l’adresse IP publique du témoin de cluster obtenue à l’étape 1.a comme suit :
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Exemple :service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Pour trouver l’adresse IP publique du serveur témoin de cluster, exécutez la commande VPlexcli suivante :
-
Accédez au fichier « IPsec.config » et recherchez les adresses IP du serveur de gestion VPlex cluster-1 et cluster-2 comme suit :
Remarque : Avant de passer à l’étape (3), confirmez l’adresse IP réelle du serveur de gestion VPlex à partir de la sortie de l’état du VPN à l’aide de l’étape (1). Une fois ces informations recueillies, comparez-les avec le fichier « IPsec.config » mentionné ci-dessous pour vérifier/confirmer s’il correspond ou non.Exemple :
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Comme dans l’exemple ci-dessus, nous avons constaté que le fichier « IPsec.config » de cluster-witness porte toujours l’ancienne adresse IP du serveur de gestion VPlex 1 et du cluster-2. Par conséquent, modifiez le fichier « IPsec.config » du serveur témoin de cluster à l’aide de l’éditeur vi pour mettre à jour l’adresse IP correcte du serveur de gestion VPlex 1 et du cluster-2.
Remarque : Placez l’adresse IP correcte des VPlex cluster-1 et cluster-2 après le signe égal sans espace entre le signe égal et l’adresse IP, enregistrez et quittez le fichier.Exemple :
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Redémarrez le service IPSEC sur le serveur témoin de cluster et les serveurs de gestion VPlex (cluster-1 et cluster-2) comme suit :
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Vérifiez l’état du service IPsec comme suit :
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Vérifiez l’état du service IPsec comme suit :
-
Relancez la commande ci-dessous pour reconfigurer la connexion VPN tridirectionnelle entre le serveur de gestion VPlex et le serveur témoin de cluster comme suit :
Exemple :
VPlexcli dans le cluster-1 :VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Ensuite, à partir de VPlexcli dans le cluster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Vérifiez l’état de cluster-witness à l’étape 1 (cluster-1 et cluster-2) comme suit :
Exemple :VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Vérifiez la connectivité VPN à l’aide de la commande « vpn status » (cluster-1 et cluster-2) comme suit :
Exemple :
cluster-1 :VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Cluster-2 :
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Scénario 2 : L’utilisateur a modifié l’adresse IP du témoin de cluster, mais le fichier de configuration IPsec du serveur de gestion VPlex (cluster-1 ou/cluster-2) contient toujours l’ancienne adresse IP du serveur témoin de cluster.
-
Vérifiez l’adresse IP publique du témoin de cluster correcte en exécutant la commande ci-dessous :
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
À partir du serveur de gestion VPlex (cluster-1 ou cluster-2), créez une catégorisation du fichier ipsec.conf comme suit :
Remarque : Avant de passer à l’étape (10), confirmez l’adresse IP réelle du serveur de gestion VPlex à partir de la sortie de l’état du VPN à l’aide de l’étape (9). Une fois ces informations recueillies, comparez-les avec le fichier « IPsec.config » mentionné ci-dessous pour vérifier/confirmer s’il correspond ou non.Exemple :
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Comme dans l’exemple ci-dessus, nous avons constaté que le fichier « IPsec.config » du serveur de gestion VPlex (cluster-1 ou/les deux-cluster-2) porte toujours l’ancienne adresse IP du serveur témoin de cluster. Par conséquent, modifiez le fichier « IPsec.config » à l’aide de l’éditeur vi pour mettre à jour l’adresse IP correcte du serveur témoin de cluster.
Remarque : Placez l’adresse IP correcte du serveur Cluster-Witness sur le serveur de gestion VPlex concerné après le signe égal sans espace entre le signe égal et l’adresse IP, enregistrez et quittez le fichier.
Répétez les étapes 4 à 8 du scénario 1 afin de résoudre ce problème.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.