VPLEX: 3-weg VPN-configuratie mislukt vanwege onjuist IP-adres
Summary: In dit artikel wordt uitgelegd hoe u de VPN-verbinding tussen VPlex-clusters en cluster-witness kunt herstellen wanneer het nieuwe toegewezen IP-adres niet wordt bijgewerkt in het IPSEC.conf-bestand. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
De gebruiker heeft het IP-adres van de VPlex-beheerserver gewijzigd of bijgewerkt (cluster-1 of/beide cluster-2) of het IP-adres van cluster-witness.
Beschrijving van het probleem:
Het configureren van een 3-richtings VPN-verbinding tussen de VPlex-beheerserver (cluster-1 of/beide cluster-2) en de cluster-witness-server mislukt met de onderstaande foutmelding:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Er kunnen twee scenario's zijn waarbij de configuratie van een 3-richtings VPN-verbinding tussen VPlex-beheerserver (cluster-1 of/beide cluster-2) en cluster-witness-server als volgt kan mislukken:
-
De gebruiker heeft het IP-adres van de VPlex-beheerserver (eth3) gewijzigd (cluster-1 of/beide cluster-2), maar het IPsec-configuratiebestand van de cluster-witness-server bevat nog steeds een oud IP-adres van de betreffende beheerserver.
OF
-
De gebruiker heeft het IP-adres van cluster-witness gewijzigd, maar het IPsec-configuratiebestand van de VPlex-beheerserver (cluster-1 of/beide cluster-2) bevat nog steeds het oude IP-adres van de cluster-witness-server.
Resolution
Doorloop onderstaande scenariodetails en oplossingsstappen om dit probleem op te lossen:
Scenario 1: De gebruiker heeft het IP-adres van de VPlex-beheerserver (eth3) gewijzigd (cluster-1 of/beide cluster-2), maar het IPsec-configuratiebestand van de cluster-witness-server bevat nog steeds een oud IP-adres van de betreffende beheerserver.
OPMERKING: In de onderstaande voorbeelden heeft de gebruiker het IP-adres van de VPlex-beheerserver van zowel cluster-1 als cluster-2 gewijzigd.
-
Verzamel de juiste IP-adressen die als volgt aan de VPlex-beheerserver (zowel cluster-1 als cluster-2) zijn toegewezen:
Cluster-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Voer SSH uit naar de cluster-witness-server met behulp van het openbare IP-adres:
- Om het openbare IP-adres van de cluster-witness server te vinden, voert u de volgende VPlexcli command:
Example uit:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Voer SSH uit naar het openbare IP-adres van cluster-witness verkregen uit stap 1.a als volgt:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Voorbeeld:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Om het openbare IP-adres van de cluster-witness server te vinden, voert u de volgende VPlexcli command:
-
Typ het bestand "IPsec.config" en zoek als volgt naar de cluster-1- en cluster-2-IP-adressen van de VPlex-beheerserver:
Opmerking: Voordat u stap (3) uitvoert, moet u het werkelijke IP-adres van de uitvoer van de vpn-status van de VPlex-beheerserver controleren met behulp van stap(1). Zodra deze informatie is verzameld, vergelijkt u deze met het onderstaande bestand "IPsec.config" om te controleren/bevestigen of deze overeenkomt of niet.Voorbeeld:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
In het bovenstaande voorbeeld hebben we vastgesteld dat het bestand "IPsec.config" van cluster-witness nog steeds het oude IP-adres van VPlex management server-1 en cluster-2 bevat. Bewerk daarom het bestand "IPsec.config" van cluster-witness server met behulp van vi editor om het juiste IP-adres van VPlex management server-1 en cluster-2 bij te werken.
OPMERKING: Plaats het juiste IP-adres van VPlex cluster-1 en cluster-2 na het gelijkteken zonder spatie tussen het gelijkteken en het IP-adres, sla het bestand op en sluit het af.Voorbeeld:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Start de IPSEC-service in zowel de cluster-witness-server als de VPlex-beheerservers (zowel cluster-1 als cluster-2) als volgt opnieuw:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Controleer de status van de IPsec-service als volgt:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Controleer de status van de IPsec-service als volgt:
-
Voer de onderstaande opdracht opnieuw uit om de 3-richtings VPN-verbinding tussen VPlex beheerservers en cluster-witness-server als volgt te configureren:
Voorbeeld:
VPlexcli in cluster-1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Vervolgens van VPlexcli in Cluster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Controleer de status van cluster-witness door stap 1 (zowel cluster-1 als cluster-2) als volgt te volgen:
Voorbeeld:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Controleer de VPN-connectiviteit met de opdracht vpn-status (zowel cluster-1 als cluster-2) als volgt:
Voorbeeld:
Cluster-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Scenario 2: De gebruiker heeft het IP-adres van cluster-witness gewijzigd, maar het IPsec-configuratiebestand van de VPlex-beheerserver (cluster-1 of/beide cluster-2) bevat nog steeds het oude IP-adres van de cluster-witness-server.
-
Controleer het juiste openbare IP-adres van cluster-witness door de onderstaande opdracht uit te voeren:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
Vanuit de VPlex management server (cluster-1 of cluster-2) cat het bestand ipsec.conf als volgt:
Opmerking: Voordat u stap (10) uitvoert, moet u het werkelijke IP-adres van de uitvoer van de vpn-status van de VPlex-beheerserver controleren met behulp van stap(9). Zodra deze informatie is verzameld, vergelijkt u deze met het onderstaande bestand "IPsec.config" om te controleren/bevestigen of deze overeenkomt of niet.Voorbeeld:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
In het bovenstaande voorbeeld hebben we vastgesteld dat het bestand "IPsec.config" van de VPlex-beheerserver (cluster-1 of/beide cluster-2) nog steeds het oude IP-adres van de cluster-witness-server draagt. Bewerk daarom het bestand "IPsec.config" met vi editor om het juiste IP-adres van de cluster-witness server bij te werken.
OPMERKING: Plaats het juiste IP-adres van de clusterwitness-server op de betrokken VPlex-beheerserver na het gelijkteken zonder spatie tussen het gelijkteken en het IP-adres, sla het bestand op en sluit het af.
Herhaal stap 4 t/m 8 uit scenario 1 om dit probleem op te lossen.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.