Google VPN は主張されている暗号をサポートしていません

このエラーの最も可能性の高い原因は、暗号の不一致IKE SA (フェーズ 1) と 2 で提案の不一致が発生している可能性があります。

以下の手順に従ってトラブルシューティングを試みてもよいでしょう。ガイド。

具体的には次の文です。

VPN ログに no-proposal-chosen エラーが表示された場合、これは Cloud VPN とオンプレミス VPN ゲートウェイが暗号セットに同意できなかったことを示します。IKEv1 の場合、暗号セットは完全に一致する必要があります。IKEv2 の場合、各ゲートウェイによって提案される共通の暗号が少なくとも 1 つ必要です。オンプレミス VPN ゲートウェイが次のように構成されていることを確認してください。サポートされている暗号。

また、トラブルシューティング ガイドに従って次の点も確認してください。

1. Cloud VPN ゲートウェイに設定されているオンプレミス IP が正しいことを確認します。
2. VPN ゲートウェイに設定されている IKE バージョンが一致しているかどうかを確認します。
3. 2 つの VPN ゲートウェイ間で双方向にトラフィックが流れていることを確認します。VPN ログで、他の VPN ゲートウェイから報告された受信メッセージを確認します。
4. 設定されている IKE バージョンがトンネルの両側で同じであることを確認します。
5. トンネルの両側で共有秘密が同じであることを確認します。
6. オンプレミスのVPNゲートウェイが1対1のNATの背後にある場合は、NATデバイスがUDPトラフィックをポート500と4500でオンプレミスのVPNゲートウェイに転送するように適切に構成されていることを確認してください。オンプレミスのゲートウェイは、NATデバイスのパブリックIPアドレスを使用して自身を識別するように構成されている必要があります。NAT の背後にあるオンプレミス ゲートウェイ詳細については。

また、フェーズ 1 (IKE) の有効期間が Google 推奨値である 36,600 秒 (10 時間 10 分) に設定され、フェーズ 2 の有効期間が 10,800 秒 (3 時間) に設定されていることを確認します。

その後もトンネルが開通しない場合は、公的な問題クラウドプラットフォーム/ネットワークに対してGoogle 問題追跡ツールこの問題の可視性を高め、より多くのサンプリングを行えるように、再現手順など、できるだけ多くの詳細を記載してください。

GCP 側の問題のようです。

GCPサービスが期待通りに動作しなかったり、ドキュメントに記載されている動作と異なる動作をしたりすることがわかった場合は、問題レポートを提出するでGoogle パブリック問題トラッカーまたは到達するGoogle Cloud サポート。

さらに、GCPサービスのステータスはいつでも確認できます。Google Cloud ステータス ダッシュボード

このトラブルシューティングは、ピア VPN ゲートウェイ デバイスとその構成に関する詳細情報がないと、漠然としているように聞こえます。したがって、ここでの最適なアプローチは、構成とデバイスを取得して、その互換性構成を理解することです。

IKE フラグメンテーションのサポートが有効になっていなかった可能性があります。ステートフル パケット インスペクション用に構成されたファイアウォールなどの一部のサードパーティ ベンダー デバイスでは、フラグメンテーション攻撃の一部である場合に、ユーザー データグラム プロトコル (UDP) フラグメントのパススルーを許可しません。1すべてのフラグメントが通過しない場合、仮想プライベート ネットワーク (VPN) トンネルの対象となる応答側が IKE パケットを再構築できず、トンネルの確立を続行できないため、インターネット キー交換 (IKE) ネゴシエーションは失敗します。

この動作の例は、Cisco 2821 ルータで確認できます。

show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled

この問題の解決策としては、IKE フラグメンテーションを有効にすることが挙げられます。