VPLEX: Falha na configuração de VPN de 3 vias devido a um endereço IP incorreto
Summary: Este artigo orienta você sobre como restabelecer a conectividade VPN entre clusters do VPlex e o cluster-witness quando o novo endereço IP atribuído não é atualizado no arquivo IPSEC.conf. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
O usuário alterou ou atualizou o endereço IP do servidor de gerenciamento VPlex (cluster-1 ou/ambos os clusters-2) ou o endereço IP da testemunha do cluster.
Descrição do problema:
A configuração de uma conexão VPN de 3 vias entre o servidor de gerenciamento VPlex (cluster-1 ou/ambos cluster-2) e o servidor cluster-witness falha com a seguinte mensagem de erro:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Pode haver dois cenários durante os quais a configuração de uma conexão VPN de 3 vias entre o servidor de gerenciamento VPlex (cluster-1 ou/ambos cluster-2) e o servidor cluster-witness pode falhar da seguinte maneira:
-
O usuário alterou o endereço IP do servidor de gerenciamento VPlex (eth3) (cluster-1 ou/ambos cluster-2), mas o arquivo de configuração IPsec do servidor cluster-witness ainda contém um endereço IP antigo do servidor de gerenciamento afetado.
E/OU,
-
O usuário alterou o endereço IP da testemunha do cluster, mas o arquivo de configuração IPsec do servidor de gerenciamento do VPlex (cluster-1 ou/ambos os cluster-2) ainda contém o endereço IP antigo do servidor testemunha do cluster.
Resolution
Consulte os detalhes do cenário abaixo e as etapas de resolução para resolver esse problema:
Cenário 1: O usuário alterou o endereço IP do servidor de gerenciamento VPlex (eth3) (cluster-1 ou/ambos cluster-2), mas o arquivo de configuração IPsec do servidor cluster-witness ainda contém um endereço IP antigo do servidor de gerenciamento afetado.
Nota: Nos exemplos abaixo, o usuário alterou o endereço IP do servidor de gerenciamento VPlex do cluster-1 e do cluster-2.
-
Reúna os endereços IP corretos atribuídos ao servidor de gerenciamento VPlex (cluster-1 e cluster-2) da seguinte forma:
Cluster-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Execute o SSH para o servidor de testemunha de cluster usando seu endereço IP público:
- Para localizar o endereço IP público do servidor cluster-witness, execute o seguinte comando VPlexcli:
Exemplo:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Execute o SSH para o endereço IP público da testemunha de cluster obtida na etapa 1.a da seguinte maneira:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Exemplo:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Para localizar o endereço IP público do servidor cluster-witness, execute o seguinte comando VPlexcli:
-
Use o arquivo "IPsec.config" e pesquise os endereços IP do cluster-1 e cluster-2 dos servidores de gerenciamento VPlex da seguinte maneira:
Nota: Antes de executar a etapa (3), confirme o endereço IP real do servidor de gerenciamento VPlex da saída de status vpn usando a etapa (1). Depois que essas informações forem coletadas, compare-as com o arquivo "IPsec.config" mencionado abaixo para verificar/confirmar se ele é correspondente ou não.Exemplo:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
A partir do exemplo acima, descobrimos que o arquivo "IPsec.config" do cluster-witness ainda carrega o antigo endereço IP do VPlex management server-1 e cluster-2. Portanto, edite o arquivo "IPsec.config" do servidor cluster-witness usando o editor vi para atualizar o endereço IP correto do VPlex management server-1 e cluster-2.
Nota: Coloque o endereço IP correto do VPlex cluster-1 e cluster-2 após o sinal de igual sem espaço entre o sinal de igual e o endereço IP, salve e saia do arquivo.Exemplo:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Reinicie o serviço IPSEC no servidor testemunha de cluster e nos servidores de gerenciamento VPlex (cluster-1 e cluster-2) da seguinte maneira:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Verifique o status do serviço IPsec da seguinte maneira:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Verifique o status do serviço IPsec da seguinte maneira:
-
Execute novamente o comando abaixo para reconfigurar a conexão VPN de 3 vias entre o servidor de gerenciamento do VPlex e o servidor testemunha do cluster da seguinte maneira:
Exemplo:
VPlexcli no cluster-1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Em seguida, do VPlexcli no Cluster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Verifique o status de cluster-witness após a etapa 1 (cluster-1 e cluster-2) da seguinte maneira:
Exemplo:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Verifique a conectividade VPN usando o comando vpn status (cluster-1 e cluster-2) da seguinte maneira:
Exemplo:
Cluster-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Cluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Cenário 2: O usuário alterou o endereço IP da testemunha do cluster, mas o arquivo de configuração IPsec do servidor de gerenciamento do VPlex (cluster-1 ou/ambos os cluster-2) ainda contém o endereço IP antigo do servidor testemunha do cluster.
-
Verifique o endereço IP público de testemunha de cluster correto seguindo o comando abaixo:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
No servidor de gerenciamento do VPlex (cluster-1 ou cluster-2), use o arquivo ipsec.conf da seguinte maneira:
Nota: Antes de executar para a etapa (10), confirme o endereço IP real do servidor de gerenciamento VPlex da saída de status vpn usando a etapa (9). Depois que essas informações forem coletadas, compare-as com o arquivo "IPsec.config" mencionado abaixo para verificar/confirmar se ele é correspondente ou não.Exemplo:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
A partir do exemplo acima, descobrimos que o arquivo "IPsec.config" do servidor de gerenciamento VPlex (cluster-1 ou/ambos cluster-2) ainda está carregando o endereço IP antigo do servidor cluster-witness. Portanto, edite o arquivo "IPsec.config" usando o editor vi para atualizar o endereço IP correto do servidor testemunha do cluster.
Nota: Coloque o endereço IP correto do servidor Cluster-witness no servidor de gerenciamento do VPlex afetado após o sinal de igual sem espaço entre o sinal de igual e o endereço IP; salve e saia do arquivo.
Repita as etapas de 4 a 8 do cenário 1 para resolver esse problema.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.