VPLEX: 3 VPN yapılandırması yanlış ip adresi nedeniyle başarısız oluyor

Summary: Bu makale, atanan yeni ip adresi IPSEC.conf dosyasında güncelleştirilmediğinde VPlex kümeleri ile cluster-witness arasındaki VPN bağlantısının nasıl yeniden kurulacağı konusunda size yol gösterir. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Kullanıcı, VPlex yönetim sunucusu IP adresini (küme-1 veya her ikisi küme-2) veya küme-witness IP adresini değiştirdi veya güncelledi.

Sorun Açıklaması:
VPlex yönetim sunucusu (küme-1 veya/her ikisi küme-2) ile küme-witness sunucusu arasında 3 VPN bağlantısı yapılandırma işlemi aşağıdaki hata mesajıyla başarısız olur:

VPlexcli:/> configuration cw-vpn-configure -i xx.xx.xx.xx --force
Please enter the IP address of the remote cluster management server that will be included in the 3-way VPN setup: yy.yy.yy.yy
Verifying the VPN status between the management servers...
IPSEC is UP
Remote Management Server at IP Address yy.yy.yy.yy is reachable
Remote Internal Gateway addresses are reachable
Verifying the VPN status between the management server and the cluster witness server...
IPSEC is not UP
Cluster Witness Server at IP Address 128.221.254.3 is not reachable

Error during Cluster Witness VPN Establishment: IPSEC configuration failed: Cannot proceed to configure the Cluster Witness Server IPSec configuration.

It is possible that a 3-way VPN has already been established and you have given a wrong Cluster Witness Server public IP address.
Please re-run the cluster witness server vpn configuration with the right public IP address.
Resetting the Cluster Witness VPN configuration
Resetting the Cluster Witness Server VPN configuration

.
.
.
<./truncated>

 

Cause

VPlex yönetim sunucusu (küme-1 veya/her ikisi küme-2) ile küme-witness sunucusu arasında 3 VPN bağlantısı yapılandırmasının aşağıdaki gibi başarısız olabileceği iki senaryo olabilir:

  1. Kullanıcı, VPlex yönetim sunucusu IP adresini (eth3) değiştirdi (küme-1 veya/her ikisi küme-2) ancak küme tanığı sunucusu IPsec yapılandırma dosyası hala etkilenen yönetim sunucusunun eski bir IP adresini içeriyor.

    VE/VEYA

  2. Kullanıcı küme-witness IP adresini değiştirdi ancak VPlex yönetim sunucusu (küme-1 ve/her ikisi küme-2) IPsec yapılandırma dosyası hala küme-witness sunucusunun eski IP adresini içeriyor.

 

Resolution

Bu sorunu çözmek için aşağıdaki senaryo ayrıntılarını ve çözüm adımlarını gözden geçirin:

1. Senaryo: Kullanıcı, VPlex yönetim sunucusu IP adresini (eth3) değiştirdi (küme-1 veya/her ikisi küme-2) ancak küme tanığı sunucusu IPsec yapılandırma dosyası hala etkilenen yönetim sunucusunun eski bir IP adresini içeriyor.

NOT: Aşağıdaki örnekte kullanıcı, küme-1 ve küme-2'nin VPlex yönetim sunucusu IP adresini değiştirmiştir.

  1. VPlex yönetim sunucusuna (hem küme-1 hem de küme-2) atanan doğru IP adreslerini aşağıdaki gibi toplayın:

    Küme-1:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable . </truncated>

    Küme-2:

    VPlexcli:/> vpn status
Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable . </truncated>

  2. Genel IP adresini kullanarak cluster-witness sunucusuna SSH gerçekleştirin:

    1. Cluster-witness sunucusunun genel IP adresini bulmak için aşağıdaki VPlexcli komutunu çalıştırın:
      Örnek: 
      VPlexcli:/> ll /cluster-witness/
/cluster-witness:
Attributes:
Name                Value
------------------  -------------
admin-state         unknown
private-ip-address  128.221.254.3
public-ip-address   XX.XX.XX.XX      <<< Cluster-Witness server public IP-address
    2. 1.a adımından elde edilen cluster witness'ın genel IP adresine aşağıdaki şekilde SSH uygulayın:
      service@ManagementServer:~> ssh <cluster-witness-public-IP-address>
      Örneğin: 
      service@ManagementServer:~> ssh xx.xx.xx.xx       >> cluster-witness-public-IP-address
Warning: Permanently added 'xx.xx.xx.xx' (ECDSA) to the list of known hosts.
Last login: Mon Jun 06 15:33:14 2016 from xx.xx.xx.xx
service@ClusterWitness:~>

  3. "IPsec.config" dosyasını açın ve VPlex yönetim sunucusu küme-1 ve küme-2 IP adreslerini aşağıdaki gibi arayın:

    Not: Adım(3)'e geçmeden önce, adım(1)'i kullanarak VPlex yönetim sunucusunun vpn durum çıktısından gerçek IP adresini onaylayın. Bu bilgiler toplandıktan sonra, eşleşip eşleşmediğini kontrol etmek/onaylamak için aşağıda belirtilen "IPsec.config" dosyasıyla karşılaştırın.

    Örneğin:

    service@ClusterWitness:~> cat /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15Y.YYY.Y.YYY             <<========== Old/incorrect IP address of VPlex management server-2
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=15X.XXX.X.XXX         <<========== Old/incorrect IP address of VPlex management server-1
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  4. Yukarıdaki örnekten yola çıkarak, cluster-witness'ın "IPsec.config" dosyasının hala VPlex yönetim sunucusu-1 ve cluster-2'nin eski IP adresini taşıdığını gördük. Bu nedenle, VPlex yönetim sunucusu-1 ve küme-2'nin doğru IP adresini güncellemek için vi düzenleyicisini kullanarak cluster-witness sunucusunun "IPsec.config" dosyasını düzenleyin.

    NOT: VPlex küme-1 ve küme-2'nin doğru IP adresini, eşittir işareti ile IP adresi arasında boşluk bırakmadan eşittir işaretinden sonra yerleştirin, kaydedin ve dosyadan çıkın.

    Örneğin:

    service@ClusterWitness:~> vi /etc/ipsec.conf
# Add connections here.
# Setup a tunnel between the management servers and the Cluster Witness Server
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn witness-cluster1
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14M.MMM.M.MMM       <<========== Add/update the correct IP address of VPlex cluster-1.
rightsubnet=128.221.252.32/27,128.221.253.32/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKyyyyyyyyyyyy, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

# Connection between Cluster Witness Server and Management Server
conn witness-cluster2
type=tunnel
keyexchange=ikev2
mobike=no
reauth=no
left=%defaultroute
leftsubnet=128.221.254.3/32
leftcert=hostCert.pem
right=14N.NNN.N.NNN       <<========== Add/update the correct IP address of VPlex cluster-2.
rightsubnet=128.221.252.64/27,128.221.253.64/27
rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN: CKxxxxxxxxxxxx, E=support@emc.com"
ike=3des-sha256-modp2048
esp=aes256-sha256
auto=start

  5. IPSEC hizmetini hem cluster-witness sunucusunda hem de VPlex yönetim sunucularında (hem cluster-1 hem de cluster-2) aşağıdaki şekilde yeniden başlatın:

    service@ClusterWitness:~> sudo /usr/sbin/ipsec restart
service@ManagementServer:~> sudo /usr/sbin/ipsec restart
    1. IPsec hizmetinin durumunu aşağıdaki gibi doğrulayın: 
      service@ClusterWitness:~> sudo /usr/sbin/ipsec status
service@ManagementServer:~> sudo /usr/sbin/ipsec status

  6. VPlex yönetim sunucusu ile cluster-witness sunucusu arasındaki 3 yönlü VPN bağlantısını yeniden yapılandırmak için aşağıdaki komutu aşağıdaki gibi yeniden uygulayın:
    Örnek:
    Küme-1'de VPlexcli:

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

    Ardından Küme-2'deki VPlexcli'den

    VPlexcli:/> configuration cw-vpn-configure -i <cluster-witness-public-IP>  force

  7. 1. adımı (hem küme 1 hem de küme 2) aşağıdaki gibi izleyerek cluster-witness durumunu doğrulayın:
    Örnek:

    VPlexcli:/> ll /cluster-witness/* /cluster-witness/components: Name ID Admin State Operational State Mgmt Connectivity ----------------- -- ----------- ------------------- ----------------- cluster-1 1 enabled in-contact ok cluster-2 2 enabled in-contact ok server - enabled clusters-in-contact ok

  8. Aşağıdaki gibi vpn durumu komutunu (hem küme-1 hem de küme-2) kullanarak VPN bağlantısını kontrol edin:

    Örnek:
    Küme-1:

    VPlexcli:/> vpn status

Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14N.NNN.N.NNN is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

    Küme-2:

    VPlexcli:/> vpn status Verifying the VPN status between the management servers... IPSEC is UP Remote Management Server at IP Address 14M.MMM.M.MMM is reachable Remote Internal Gateway addresses are reachable Verifying the VPN status between the management server and the cluster witness server... IPSEC is UP  Cluster Witness Server at IP Address 128.221.254.3 is reachable

2. Senaryo: Kullanıcı küme-witness IP adresini değiştirdi ancak VPlex yönetim sunucusu (küme-1 ve/her ikisi küme-2) IPsec yapılandırma dosyası hala küme-witness sunucusunun eski IP adresini içeriyor.

  1. Aşağıdaki komutu izleyerek doğru cluster-witness genel IP adresini doğrulayın:

    VPlexcli:/> ll /cluster-witness/** /cluster-witness: Attributes: Name Value ------------------ ------------- admin-state enabled private-ip-address 128.221.254.3 public-ip-address xx.xx.xx.65 <<< Cluster-Witness server public IP-address Contexts: Name Description ---------- -------------------------- components Cluster Witness Components

  2. VPlex yönetim sunucusundan (küme-1 veya küme-2) ipsec.conf dosyasını aşağıdaki gibi belirtin:

    Not: Adım(10)'a geçmeden önce, adım(9)'u kullanarak VPlex yönetim sunucusunun vpn durum çıktısından gerçek IP adresini onaylayın. Bu bilgiler toplandıktan sonra, eşleşip eşleşmediğini kontrol etmek/onaylamak için aşağıda belirtilen "IPsec.config" dosyasıyla karşılaştırın.

    Örneğin:

    service@Managementserver:~> cat /etc/ipsec.conf     >> Cluster-1
# Add connections here.
# Setup a tunnel between the management servers and their networks
# "left" means local, "right" means remote.
# Connection between Cluster Witness Server and Management Server
conn net-witness
type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=xx.xx.xx.45    <<========== Old/incorrect IP address of cluster-witness
   rightsubnet=128.221.254.3/32
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN CWS, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes128-sha1
   auto=start

# Connection between Management Server 1 and Management Server 2
conn net-net
   type=tunnel
   keyexchange=ikev2
   mobike=no
   reauth=no
   left=%defaultroute
   leftsubnet=128.221.252.64/27,128.221.253.64/27
   leftcert=hostCert.pem
   right=14N.NNN.N.NNN   <<========== IP address of remote management server
   rightsubnet=128.221.252.32/27,128.221.253.32/27
   rightid="C=US, ST=Massachusetts, O=EMC, OU=EMC, CN=VPlex VPN:CKxxxxxxxxxxxx, E=support@emc.com"
   ike=3des-sha256-modp2048
   esp=aes256-sha256
   auto=start

  3. Yukarıdaki örnekten yola çıkarak, VPlex yönetim sunucusunun "IPsec.config" dosyasının (küme-1 veya/her ikisi küme-2) hala cluster-witness sunucusunun eski IP adresini taşıdığını gördük. Bu nedenle, cluster-witness sunucusunun doğru IP adresini güncelleştirmek için vi editor kullanarak "IPsec.config" dosyasını düzenleyin.

    NOT: Cluster-witness sunucusunun doğru IP adresini, eşittir işareti ile IP adresi arasında boşluk bırakmadan eşittir işaretinden sonra etkilenen VPlex yönetim sunucusuna yerleştirin, dosyayı kaydedin ve dosyadan çıkın.

Bu sorunu çözmek için senaryo 1'deki 4'ten 8'e kadar olan adımları tekrarlayın.

 

Affected Products

VPLEX Series

Products

VPLEX for All Flash, VPLEX GeoSynchrony, VPLEX Series, VPLEX Sizing Tool, VPLEX Virtual Edition, VPLEX VS1, VPLEX VS2, VPLEX VS6
Article Properties
Article Number: 000168668
Article Type: Solution
Last Modified: 06 Nov 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.