Назад | Перейти на главную страницу

Google VPN не поддерживает заявленные шифры

Попытка установить соединение IPSec IKEv2 с сервисами Google Cloud VPN.

В соответствии с их, они поддерживают шифры AES-CBC для Encyprtion на этапе 1, но в момент согласования с локальным шлюзом VPN только Предлагаются шифры AES-GCM.

Так я получаю известную ошибку IKE SA «не выбрано предложение».

Мне нужно что-то настроить в Google Cloud?

Я считаю, что наиболее вероятной причиной этой ошибки является несоответствие шифров. Возможно, у вас может быть несоответствие предложений в IKE SA (фаза 1) и 2.

Вы также можете попробовать устранить эту проблему, выполнив следующие действия. руководство.

В частности, следующее утверждение:

Если в журналах VPN отображается ошибка «Не выбрано предложение», это означает, что Cloud VPN и ваш локальный VPN-шлюз не смогли согласовать набор шифров. Для IKEv1 набор шифров должен точно совпадать. Для IKEv2 каждый шлюз должен предлагать хотя бы один общий шифр. Убедитесь, что ваш локальный VPN-шлюз настроен с помощью поддерживаемые шифры.

А также проверьте следующее в соответствии с руководством по устранению неполадок.

  1. Убедитесь, что локальный IP-адрес, настроенный на шлюзе Cloud VPN, правильный.
  2. Проверьте, совпадают ли версии IKE, настроенные на шлюзах VPN.
  3. Убедитесь, что трафик проходит между двумя шлюзами VPN в обоих направлениях. В журналах VPN проверьте сообщения о входящих сообщениях от другого шлюза VPN.
  4. Убедитесь, что настроенные версии IKE одинаковы на обеих сторонах туннеля.
  5. Убедитесь, что общий секрет одинаков на обеих сторонах туннеля.
  6. Если ваш локальный VPN-шлюз находится за NAT один-к-одному, убедитесь, что устройство NAT правильно настроено для пересылки UDP-трафика на ваш локальный VPN-шлюз на портах 500 и 4500. Локальный шлюз должен быть настроен идентифицировать себя по общедоступному IP-адресу устройства NAT. Ссылаться на локальные шлюзы за NAT для подробностей.

Также убедитесь, что время жизни на этапе 1 (IKE) установлено на рекомендованное Google значение 36 600 секунд (10 часов 10 минут), а время жизни на этапе 2 установлено на 10 800 секунд (3 часа).

Если после этого туннель не будет установлен, рассмотрите возможность подачи общественный вопрос против облачной платформы / сети с помощью Инструмент отслеживания проблем Google. Включите как можно больше деталей, в том числе шаги для воспроизведения, чтобы эта проблема могла быть лучше видна, а также больше выборки.