VPLEX: 3-vägs VPN-konfiguration misslyckas på grund av felaktig IP-adress
Summary: Den här artikeln beskriver steg för steg hur du återupprättar VPN-anslutningen mellan VPlex-kluster och cluster-witness när den nya tilldelade IP-adressen inte uppdateras i IPSEC.conf-filen. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Användaren har ändrat eller uppdaterat IP-adressen för VPlex-hanteringsservern (antingen kluster-1 eller/båda kluster-2) eller IP-adressen för klustervittnet.
Problembeskrivning:
Konfigurering av en 3-vägs VPN-anslutning mellan VPlex-hanteringsservern (antingen kluster-1 eller/båda kluster-2) och klustervittnesservern misslyckas med felmeddelandet nedan:
VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address yy.yy.yy.yy is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is not UP Cluster Witness Server at IP Address 128.221.254.3 is not reachable Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration. It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address. Please re-run the cluster witness server vpn configuration with the right public IP address. Resetting the Cluster Witness VPN configuration Resetting the Cluster Witness Server VPN configuration . . . <./truncated>
Cause
Det kan finnas två scenarier där konfigurationen av en 3-vägs VPN-anslutning mellan VPlex-hanteringsservern (antingen kluster-1 eller/båda kluster-2) och klustervittnesservern kan misslyckas enligt följande:
-
Användaren har ändrat IP-adressen för VPlex-hanteringsservern (eth3) (antingen kluster-1 eller/båda kluster-2), men IPsec-konfigurationsfilen för klustervittnesservern innehåller fortfarande en gammal IP-adress för den berörda hanteringsservern.
ELLER
-
Användaren har ändrat IP-adressen för klustervittnet, men IPsec-konfigurationsfilen för VPlex-hanteringsservern (antingen kluster-1 eller/båda kluster-2) innehåller fortfarande den gamla IP-adressen till klustervittneservern.
Resolution
Gå igenom nedanstående scenariodetaljer och lösningssteg för att lösa problemet:
Scenario 1: Användaren har ändrat IP-adressen för VPlex-hanteringsservern (eth3) (antingen kluster-1 eller/båda kluster-2), men IPsec-konfigurationsfilen för klustervittnesservern innehåller fortfarande en gammal IP-adress för den berörda hanteringsservern.
Obs! I exemplen nedan har användaren ändrat IP-adressen för VPlex-hanteringsservern för både kluster-1 och kluster-2.
-
Samla in rätt IP-adresser som tilldelats VPlex-hanteringsservern (både kluster-1 och kluster-2) enligt följande:
Kluster-1:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>
Kluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>
-
Utför SSH till klustervittnesservern med hjälp av dess offentliga IP-adress:
- Om du vill hitta den offentliga IP-adressen för klustervittneservern kör du följande VPlexcli-kommando:
Exempel:VPlexcli:/> ll /cluster-witness/ /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state unknown private-ip-address 128.221.254.3 public-ip-address XX.XX.XX.XX <<< Cluster-Witness server public IP-address
- Utför SSH till den offentliga IP-adressen för klustervittnet som hämtades från steg 1.a enligt följande:
service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
Exempel:service@ManagementServer:~> ssh xx.xx.xx.xx >> cluster-witness-public-IP-address Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts. Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx service@ClusterWitness:~>
- Om du vill hitta den offentliga IP-adressen för klustervittneservern kör du följande VPlexcli-kommando:
-
Öppna filen "IPsec.config" och sök efter IP-adresserna för VPlex Management Server kluster-1 och kluster-2 enligt följande:
Obs! Innan du utför till steg (3), bekräfta den faktiska IP-adressen för VPlex-hanteringsserverns från vpn-statusutgången med hjälp av steg (1). När denna information har samlats in, jämför den med "IPsec.config"-filen som nämns nedan för att kontrollera/bekräfta om den matchar eller inte.Exempel:
service@ClusterWitness:~> cat /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15Y.YYY.Y.YYY <<========== Old/incorrect IP address of VPlex management server-2 rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=15X.XXX.X.XXX <<========== Old/incorrect IP address of VPlex management server-1 rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
I exemplet ovan upptäckte vi att filen "IPsec.config" för cluster-witness fortfarande innehåller den gamla IP-adressen för VPlex management server-1 och cluster-2. Redigera därför filen IPsec.config för servern med klustervittne med hjälp av vi-redigeraren för att uppdatera rätt IP-adress för VPlex Management Server-1 och cluster-2.
Obs! Placera den korrekta IP-adressen för VPlex-kluster-1 och kluster-2 efter likhetstecknet utan blanksteg mellan likhetstecknet och IP-adressen. Spara och avsluta filen.Exempel:
service@ClusterWitness:~> vi /etc/ipsec.conf # Add connections here. # Setup a tunnel between the management servers and the Cluster Witness Server # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn witness-cluster1 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14M.MMM.M.MMM <<========== Add/update the correct IP address of VPlex cluster-1. rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start # Connection between Cluster Witness Server and Management Server conn witness-cluster2 type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.254.3/32 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== Add/update the correct IP address of VPlex cluster-2. rightsubnet=128.221.252.64/27,128.221.253.64/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
Starta om IPSEC-tjänsten i både klustervittnesservern och VPlex-hanteringsservrarna (både kluster-1 och kluster-2) enligt följande:
service@ClusterWitness:~> sudo /usr/sbin/ipsec restart service@ManagementServer:~> sudo /usr/sbin/ipsec restart
- Kontrollera status för IPsec-tjänsten på följande sätt:
service@ClusterWitness:~> sudo /usr/sbin/ipsec status service@ManagementServer:~> sudo /usr/sbin/ipsec status
- Kontrollera status för IPsec-tjänsten på följande sätt:
-
Utför kommandot nedan för att konfigurera om 3-vägs VPN-anslutning mellan VPlex-hanteringsservern och klustervittnesservern enligt följande:
Exempel:
VPlexcli i kluster-1:VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
Sedan från VPlexcli i kluster-2
VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP> force
-
Kontrollera statusen för cluster-witness följande steg-1 (både kluster-1 och kluster-2) enligt följande:
Exempel:VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok
-
Kontrollera VPN-anslutningen med kommandot vpn status (både kluster-1 och kluster-2) enligt följande:
Exempel:
Kluster-1:VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Kluster-2:
VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP Cluster Witness Server at IP Address 128.221.254.3 is reachable
Scenario 2: Användaren har ändrat IP-adressen för klustervittnet, men IPsec-konfigurationsfilen för VPlex-hanteringsservern (antingen kluster-1 eller/båda kluster-2) innehåller fortfarande den gamla IP-adressen till klustervittneservern.
-
Kontrollera rätt offentlig IP-adress för klustervittne genom att följa kommandot nedan:
VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components
-
Från VPlex-hanteringsservern (antingen kluster-1 eller kluster-2) cat filen ipsec.conf enligt följande:
Obs! Innan du utför till steg (10), bekräfta den faktiska IP-adressen för VPlex-hanteringsserverns från vpn-statusutgången med hjälp av steg (9). När denna information har samlats in, jämför den med "IPsec.config"-filen som nämns nedan för att kontrollera/bekräfta om den matchar eller inte.Exempel:
service@Managementserver:~> cat /etc/ipsec.conf >> Cluster-1 # Add connections here. # Setup a tunnel between the management servers and their networks # "left" means local, "right" means remote. # Connection between Cluster Witness Server and Management Server conn net-witness type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=xx.xx.xx.45 <<========== Old/incorrect IP address of cluster-witness rightsubnet=128.221.254.3/32 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes128-sha1 auto=start # Connection between Management Server 1 and Management Server 2 conn net-net type=tunnel keyexchange=ikev2 mobike=no reauth=no left=%defaultroute leftsubnet=128.221.252.64/27,128.221.253.64/27 leftcert=hostCert.pem right=14N.NNN.N.NNN <<========== IP address of remote management server rightsubnet=128.221.252.32/27,128.221.253.32/27 rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com" ike=3des-sha256-modp2048 esp=aes256-sha256 auto=start
-
I exemplet ovan upptäckte vi att filen "IPsec.config" för VPlex-hanteringsservern (antingen kluster-1 eller/båda kluster-2) fortfarande innehåller den gamla IP-adressen för klustervittnesservern. Redigera därför filen IPsec.config med hjälp av vi-redigeraren för att uppdatera rätt IP-adress för servern med klustervittne.
Obs! Placera rätt IP-adress för klustervittnesservern på den berörda VPlex-hanteringsservern efter likhetstecknet utan blanksteg mellan likhetstecknet och IP-adressen. Spara och avsluta filen.
Upprepa steg från 4 till 8 från scenario 1 för att lösa problemet.
Affected Products
VPLEX SeriesProducts
VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.