VPLEX. Сбой настройки 3-стороннего VPN-подключения из-за неверного IP-адреса
Summary: В этой статье рассказывается, как восстановить VPN-соединение между кластерами VPlex и кластером-свидетелем, если новый назначенный IP-адрес не обновлен в файле IPSEC.conf.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Пользователь изменил или обновил IP-адрес сервера управления VPlex (кластер 1 или/оба кластера-2) или IP-адрес свидетеля кластера.
Описание проблемы:
Настройка 3-стороннего VPN-соединения между сервером управления VPlex (кластером 1 или/или кластером 2) и сервером-свидетелем кластера завершается сбоем с сообщением об ошибке:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Возможны два сценария, в которых настройка 3-стороннего VPN-соединения между сервером управления VPlex (кластер 1 или/оба кластера-2) и сервером-свидетелем кластера может завершиться сбоем:
-
Пользователь изменил IP-адрес сервера управления VPlex (eth3) (кластер 1 или/оба кластера-2), однако файл конфигурации IPsec сервера-свидетеля кластера по-прежнему содержит старый IP-адрес затронутого сервера управления.
И/ИЛИ,
-
Пользователь изменил IP-адрес кластера-свидетеля, но файл конфигурации IPsec сервера управления VPlex (кластер-1 или/оба кластера-2) по-прежнему содержит старый IP-адрес сервера-свидетеля кластера.
Resolution
Чтобы решить эту проблему, ознакомьтесь с приведенными ниже подробностями сценария и этапами решения.
Сценарий 1. Пользователь изменил IP-адрес сервера управления VPlex (eth3) (кластер 1 или/оба кластера-2), однако файл конфигурации IPsec сервера-свидетеля кластера по-прежнему содержит старый IP-адрес затронутого сервера управления.
ПРИМЕЧАНИЕ. В приведенных ниже примерах пользователь изменил IP-адрес сервера управления VPlex для кластера 1 и кластера 2.
-
Получите правильные IP-адреса, назначенные серверу управления VPlex (кластеру 1 и кластеру 2), следующим образом:
Кластер 1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Кластер 2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Подключитесь по SSH к серверу-свидетелю кластера, используя его общедоступный IP-адрес:
- Чтобы найти общедоступный IP-адрес сервера-свидетеля кластера, выполните следующую команду VPlexcli:
Пример:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Выполните операцию SSH на общедоступный IP-адрес кластера-свидетеля, полученный из шага 1.a, следующим образом:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Пример.service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Чтобы найти общедоступный IP-адрес сервера-свидетеля кластера, выполните следующую команду VPlexcli:
-
Отправьте файл «IPsec.config» и найдите IP-адреса кластеров 1 и 2 серверов управления VPlex следующим образом:
Примечание. Перед выполнением шага (3) проверьте фактический IP-адрес сервера управления VPlex из вывода состояния vpn с помощью шага (1). После сбора этой информации сравните ее с файлом «IPsec.config», упомянутым ниже, чтобы проверить/подтвердить его соответствие.Пример.
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Как видно из приведенного выше примера, мы обнаружили, что файл «IPsec.config» кластера-свидетеля по-прежнему содержит старый IP-адрес серверов управления VPlex 1 и 2. Поэтому отредактируйте файл «IPsec.config» сервера-свидетеля кластера с помощью редактора vi, чтобы обновить правильный IP-адрес серверов управления VPlex 1 и 2.
ПРИМЕЧАНИЕ. Поместите правильный IP-адрес кластера VPlex cluster-1 и кластера 2 после знака равенства без пробела между знаком равенства и IP-адресом, сохраните и закройте файл.Пример.
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Перезапустите сервис IPSEC на сервере-свидетеле кластера и сервере управления VPlex (кластер 1 и кластер 2) следующим образом:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Проверьте состояние службы IPsec следующим образом:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Проверьте состояние службы IPsec следующим образом:
-
Выполните приведенную ниже команду, чтобы перенастроить 3-стороннее VPN-соединение между сервером управления VPlex и сервером-свидетелем кластера следующим образом:
Пример:
VPlexcli в кластере 1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Затем из VPlexcli в кластере 2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Проверьте состояние кластера-свидетеля после шага 1 (кластер 1 и кластер 2) следующим образом.
VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Проверьте VPN-подключение с помощью команды vpn status (cluster-1 и cluster-2) следующим образом:
Пример:
кластер 1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Кластер 2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Сценарий 2. Пользователь изменил IP-адрес кластера-свидетеля, но файл конфигурации IPsec сервера управления VPlex (кластер-1 или/оба кластера-2) по-прежнему содержит старый IP-адрес сервера-свидетеля кластера.
-
Проверьте правильность общедоступного IP-адреса свидетеля кластера, выполнив следующую команду:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
На сервере управления VPlex (cluster-1 или cluster-2) отправьте файл ipsec.conf следующим образом:
Примечание. Перед выполнением шага (10) проверьте фактический IP-адрес сервера управления VPlex из вывода состояния vpn с помощью шага (9). После сбора этой информации сравните ее с файлом «IPsec.config», упомянутым ниже, чтобы проверить/подтвердить его соответствие.Пример.
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Как видно из приведенного выше примера, мы обнаружили, что файл «IPsec.config» сервера управления VPlex (кластер 1 или/оба кластера 2) по-прежнему содержит старый IP-адрес сервера-свидетеля кластера. Поэтому отредактируйте файл «IPsec.config» с помощью редактора vi, чтобы обновить правильный IP-адрес сервера-свидетеля кластера.
ПРИМЕЧАНИЕ. Поместите правильный IP-адрес сервера-свидетеля кластера на затронутом сервере управления VPlex после знака равенства без пробела между знаком равенства и IP-адресом, сохраните файл и закройте его.
Для устранения этой проблемы повторите шаги 4–8 из сценария 1.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.