VPLEX: Konfiguracja 3-kierunkowej sieci VPN nie powiodła się z powodu nieprawidłowego adresu IP

Summary: Ten artykuł przeprowadzi Cię przez proces przywracania łączności sieci VPN między klastrami VPlex a monitorem klastra, gdy nowy przypisany adres IP nie zostanie zaktualizowany w pliku IPSEC.conf. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Użytkownik zmienił lub zaktualizował adres IP serwera zarządzania VPlex (klaster 1 lub oba klastry-2) lub adres IP monitora klastra.

Opis problemu:
Konfigurowanie 3-kierunkowego połączenia VPN między serwerem zarządzania VPlex (klaster-1 lub/oba klastr-2) a serwerem monitora klastra kończy się niepowodzeniem z poniższym komunikatem o błędzie:

VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force
Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy
Verifying the VPN status between the management servers...
IPSEC is UP
Remote Management Server at IP Address yy.yy.yy.yy is reachable
Remote Internal Gateway addresses are reachable
Verifying the VPN status between the management server and the cluster witness server...
IPSEC is not UP
Cluster Witness Server at IP Address 128.221.254.3 is not reachable

Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration.

It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address.
Please re-run the cluster witness server vpn configuration with the right public IP address.
Resetting the Cluster Witness VPN configuration
Resetting the Cluster Witness Server VPN configuration

.
.
.
<./truncated>

 

Cause

Mogą istnieć dwa scenariusze, podczas których konfiguracja 3-kierunkowego połączenia VPN między serwerem zarządzania VPlex (klaster-1 lub oba klastry-2) i serwerem monitora klastra może zakończyć się niepowodzeniem w następujący sposób:

  1. Użytkownik zmienił adres IP serwera zarządzania VPlex (eth3) (klaster 1 lub oba klastry-2), ale plik konfiguracyjny IPsec serwera monitora klastra nadal zawiera stary adres IP serwera zarządzania, którego dotyczy problem.

    LUB

  2. Użytkownik zmienił adres IP monitora klastra, ale plik konfiguracyjny IPsec serwera zarządzania VPlex (klaster 1 lub oba klastry-2) nadal zawiera stary adres IP serwera monitora klastra.

 

Resolution

Aby rozwiązać ten problem, zapoznaj się z poniższymi szczegółami scenariusza i krokami rozwiązania:

Scenariusz 1: Użytkownik zmienił adres IP serwera zarządzania VPlex (eth3) (klaster 1 lub oba klastry-2), ale plik konfiguracyjny IPsec serwera monitora klastra nadal zawiera stary adres IP serwera zarządzania, którego dotyczy problem.

UWAGA: W poniższym przykładzie użytkownik zmienił adres IP serwera zarządzania VPlex klastra 1 i klastra 2.

  1. Zbierz prawidłowe adresy IP przypisane do serwera zarządzania VPlex (zarówno klaster-1, jak i klaster-2) w następujący sposób:

    Klaster-1:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>

    Klaster-2:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>

  2. Nawiąż połączenie SSH z serwerem monitora klastra przy użyciu jego publicznego adresu IP:

    1. Aby znaleźć publiczny adres IP serwera monitora klastra, uruchom następujące polecenie VPlexcli:
      Przykład: 
      VPlexcli:/> ll /cluster-witness/
/cluster-witness:
Attributes:
Name                Value
------------------  -------------
admin-state         unknown
private-ip-address  128.221.254.3
public-ip-address   XX.XX.XX.XX      <<< Cluster-Witness server public IP-address
    2. Wykonaj połączenie SSH z publicznym adresem IP monitora klastra uzyskanym w kroku 1.a w następujący sposób:
      service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
      Przykład: 
      service@ManagementServer:~> ssh xx.xx.xx.xx       >> cluster-witness-public-IP-address
Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts.
Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
service@ClusterWitness:~>

  3. Przeszukaj plik "IPsec.config" i wyszukaj adresy IP klastra 1 i klastra 2 serwera zarządzania VPlex w następujący sposób:

    Uwaga: Przed wykonaniem kroku (3) potwierdź rzeczywisty adres IP serwera zarządzania VPlex z danych wyjściowych stanu sieci VPN za pomocą kroku (1). Po zebraniu tych informacji porównaj je z plikiem "IPsec.config" wymienionym poniżej, aby sprawdzić/potwierdzić, czy są zgodne.

    Przykład:

    service@ClusterWitness:~> cat /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15Y.YYY.Y.YYY             <<========== Old/incorrect IP address of VPlex management server-2
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15X.XXX.X.XXX         <<========== Old/incorrect IP address of VPlex management server-1
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  4. W powyższym przykładzie stwierdziliśmy, że plik "IPsec.config" monitora klastra nadal zawiera stary adres IP serwera zarządzania VPlex 1 i klastra 2. W związku z tym edytuj plik "IPsec.config" serwera monitora klastra przy użyciu edytora vi, aby zaktualizować prawidłowy adres IP serwera zarządzania VPlex 1 i klastra 2.

    UWAGA: Umieść prawidłowy adres IP klastra VPlex 1 i klastra 2 po znaku równości bez spacji między znakiem równości a adresem IP, zapisz i zamknij plik.

    Przykład:

    service@ClusterWitness:~> vi /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14M.MMM.M.MMM       <<========== Add/update the correct IP address of VPlex cluster-1.
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14N.NNN.N.NNN       <<========== Add/update the correct IP address of VPlex cluster-2.
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  5. Uruchom ponownie usługę IPSEC zarówno na serwerze monitora klastra, jak i na serwerach zarządzania VPlex (zarówno klaster-1, jak i klaster-2) w następujący sposób:

    service@ClusterWitness:~> sudo /usr/sbin/ipsec restart
service@ManagementServer:~> sudo /usr/sbin/ipsec restart
    1. Sprawdź stan usługi IPsec w następujący sposób: 
      service@ClusterWitness:~> sudo /usr/sbin/ipsec status
service@ManagementServer:~> sudo /usr/sbin/ipsec status

  6. Wykonaj ponownie poniższe polecenie, aby ponownie skonfigurować 3-kierunkowe połączenie VPN między serwerem zarządzającym VPlex a serwerem monitora klastra w następujący sposób:
    Przykład:
    VPlexcli w klastrze 1:

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

    Następnie z VPlexcli w klastrze Cluster-2

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

  7. Sprawdź stan monitora klastra po kroku 1 (zarówno klaster-1, jak i klaster-2) w następujący sposób:
    Przykład:

    VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok

  8. Sprawdź łączność sieci VPN za pomocą polecenia vpn status (zarówno klaster-1, jak i klaster-2) w następujący sposób:

    Przykład:
    klaster-1:

    VPlexcli:/> vpn status

Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

    Klaster-2:

    VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

Scenariusz 2: Użytkownik zmienił adres IP monitora klastra, ale plik konfiguracyjny IPsec serwera zarządzania VPlex (klaster 1 lub oba klastry-2) nadal zawiera stary adres IP serwera monitora klastra.

  1. Sprawdź prawidłowy publiczny adres IP monitora klastra, wykonując poniższe polecenie:

    VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components

  2. Z serwera zarządzania VPlex (cluster-1 lub cluster-2) cat plik ipsec.conf w następujący sposób:

    Uwaga: Przed wykonaniem kroku (10) potwierdź rzeczywisty adres IP serwera zarządzania VPlex z danych wyjściowych stanu sieci VPN za pomocą kroku (9). Po zebraniu tych informacji porównaj je z plikiem "IPsec.config" wymienionym poniżej, aby sprawdzić/potwierdzić, czy są zgodne.

    Przykład:

    service@Managementserver:~> cat /etc/ipsec.conf     >> Cluster-1
# Add connections here.
# Setup a tunnel between the management servers and their networks
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn net-witness
type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=xx.xx.xx.45    <<========== Old/incorrect IP address of cluster-witness
   rightsubnet=128.221.254.3/32
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes128-sha1
   auto=start

# Connection between Management Server 1 and Management Server 2
conn net-net
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=14N.NNN.N.NNN   <<========== IP address of remote management server
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

  3. Jak wynika z powyższego przykładu, stwierdziliśmy, że plik "IPsec.config" serwera zarządzającego VPlex (klaster 1 lub oba klastry 2) nadal zawiera stary adres IP serwera monitora klastra. W związku z tym edytuj plik "IPsec.config" za pomocą edytora vi, aby zaktualizować prawidłowy adres IP serwera monitora klastra.

    UWAGA: Umieść prawidłowy adres IP serwera monitora klastra na serwerze zarządzającym VPlex, którego dotyczy problem, po znaku równości bez spacji między znakiem równości a adresem IP, zapisz plik i zamknij go.

Aby rozwiązać ten problem, powtórz kroki od 4 do 8 ze scenariusza 1.

 

Affected Products

VPLEX Series

Products

VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6
Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.