Google VPN unterstützt die angegebenen Chiffren nicht

Question 1

Ich glaube, dass die wahrscheinlichste Ursache für diesen Fehler einVerschlüsselungsfehlanpassung. Es ist möglich, dass es bei Ihnen in IKE SA (Phase 1) und 2 zu einer Nichtübereinstimmung der Angebote kommt.

Sie können auch versuchen, das Problem zu beheben, indem Sie dies tunFührung.

Konkret geht es um folgende Aussage:

Wenn in den VPN-Protokollen der Fehler „Kein Vorschlag ausgewählt“ angezeigt wird, bedeutet dies, dass sich Cloud VPN und Ihr lokales VPN-Gateway nicht auf einen Satz von Chiffren einigen konnten. Für IKEv1 muss der Satz von Chiffren genau übereinstimmen. Für IKEv2 muss von jedem Gateway mindestens eine gemeinsame Chiffre vorgeschlagen werden. Stellen Sie sicher, dass Ihr lokales VPN-Gateway mit konfiguriert istUnterstützte Chiffren.

Überprüfen Sie außerdem gemäß der Anleitung zur Fehlerbehebung Folgendes.

Überprüfen Sie, ob die auf dem Cloud-VPN-Gateway konfigurierte lokale IP korrekt ist.

Überprüfen Sie, ob die auf den VPN-Gateways konfigurierten IKE-Versionen übereinstimmen.

Stellen Sie sicher, dass der Datenverkehr zwischen den beiden VPN-Gateways in beide Richtungen fließt. Suchen Sie in den VPN-Protokollen nach gemeldeten eingehenden Nachrichten vom anderen VPN-Gateway.

Überprüfen Sie, ob die konfigurierten IKE-Versionen auf beiden Seiten des Tunnels gleich sind.

Überprüfen Sie, ob das gemeinsame Geheimnis auf beiden Seiten des Tunnels dasselbe ist.

Wenn sich Ihr lokales VPN-Gateway hinter einem 1:1-NAT befindet, stellen Sie sicher, dass das NAT-Gerät ordnungsgemäß konfiguriert wurde, um UDP-Datenverkehr an Ihr lokales VPN-Gateway über die Ports 500 und 4500 weiterzuleiten. Ihr lokales Gateway muss so konfiguriert sein, dass es sich mithilfe der öffentlichen IP-Adresse des NAT-Geräts identifiziert. Weitere Informationen finden Sie unterlokale Gateways hinter NATfür Details.

Überprüfen Sie außerdem, dass die Lebensdauer in Phase 1 (IKE) auf den von Google empfohlenen Wert von 36.600 Sekunden (10 Stunden, 10 Minuten) und die Lebensdauer in Phase 2 auf 10.800 Sekunden (3 Stunden) eingestellt ist.

Wenn der Tunnel danach nicht eingerichtet ist, erwägen Sie die Einreichung einesöffentliche Ausgabegegen die Cloud-Plattform/das Netzwerk mit demGoogle-Tool zur Problemverfolgung. Fügen Sie so viele Details wie möglich ein, einschließlich der Schritte zur Reproduktion, damit dieses Problem besser sichtbar wird und mehr Beispiele verfügbar sind.

Answer

Ich glaube, dass die wahrscheinlichste Ursache für diesen Fehler einVerschlüsselungsfehlanpassung. Es ist möglich, dass es bei Ihnen in IKE SA (Phase 1) und 2 zu einer Nichtübereinstimmung der Angebote kommt.

Sie können auch versuchen, das Problem zu beheben, indem Sie dies tunFührung.

Konkret geht es um folgende Aussage:

Wenn in den VPN-Protokollen der Fehler „Kein Vorschlag ausgewählt“ angezeigt wird, bedeutet dies, dass sich Cloud VPN und Ihr lokales VPN-Gateway nicht auf einen Satz von Chiffren einigen konnten. Für IKEv1 muss der Satz von Chiffren genau übereinstimmen. Für IKEv2 muss von jedem Gateway mindestens eine gemeinsame Chiffre vorgeschlagen werden. Stellen Sie sicher, dass Ihr lokales VPN-Gateway mit konfiguriert istUnterstützte Chiffren.

Überprüfen Sie außerdem gemäß der Anleitung zur Fehlerbehebung Folgendes.

Überprüfen Sie, ob die auf dem Cloud-VPN-Gateway konfigurierte lokale IP korrekt ist.

Überprüfen Sie, ob die auf den VPN-Gateways konfigurierten IKE-Versionen übereinstimmen.

Stellen Sie sicher, dass der Datenverkehr zwischen den beiden VPN-Gateways in beide Richtungen fließt. Suchen Sie in den VPN-Protokollen nach gemeldeten eingehenden Nachrichten vom anderen VPN-Gateway.

Überprüfen Sie, ob die konfigurierten IKE-Versionen auf beiden Seiten des Tunnels gleich sind.

Überprüfen Sie, ob das gemeinsame Geheimnis auf beiden Seiten des Tunnels dasselbe ist.

Wenn sich Ihr lokales VPN-Gateway hinter einem 1:1-NAT befindet, stellen Sie sicher, dass das NAT-Gerät ordnungsgemäß konfiguriert wurde, um UDP-Datenverkehr an Ihr lokales VPN-Gateway über die Ports 500 und 4500 weiterzuleiten. Ihr lokales Gateway muss so konfiguriert sein, dass es sich mithilfe der öffentlichen IP-Adresse des NAT-Geräts identifiziert. Weitere Informationen finden Sie unterlokale Gateways hinter NATfür Details.

Überprüfen Sie außerdem, dass die Lebensdauer in Phase 1 (IKE) auf den von Google empfohlenen Wert von 36.600 Sekunden (10 Stunden, 10 Minuten) und die Lebensdauer in Phase 2 auf 10.800 Sekunden (3 Stunden) eingestellt ist.

Wenn der Tunnel danach nicht eingerichtet ist, erwägen Sie die Einreichung einesöffentliche Ausgabegegen die Cloud-Plattform/das Netzwerk mit demGoogle-Tool zur Problemverfolgung. Fügen Sie so viele Details wie möglich ein, einschließlich der Schritte zur Reproduktion, damit dieses Problem besser sichtbar wird und mehr Beispiele verfügbar sind.

Question 2

Es klingt nach einem Problem auf der GCP-Seite.

Wenn Sie feststellen, dass einige GCP-Dienste nicht wie erwartet oder entgegen dem in der Dokumentation beschriebenen Verhalten funktionieren, können SieEinen Problembericht einreichenBei derGoogle Öffentlicher Issue-Trackeroder erreichenGoogle Cloud-Unterstützung.

Darüber hinaus können Sie den Status der GCP-Dienste jederzeit überprüfen unterGoogle Cloud-Status-Dashboard

Answer

Es klingt nach einem Problem auf der GCP-Seite.

Wenn Sie feststellen, dass einige GCP-Dienste nicht wie erwartet oder entgegen dem in der Dokumentation beschriebenen Verhalten funktionieren, können SieEinen Problembericht einreichenBei derGoogle Öffentlicher Issue-Trackeroder erreichenGoogle Cloud-Unterstützung.

Darüber hinaus können Sie den Status der GCP-Dienste jederzeit überprüfen unterGoogle Cloud-Status-Dashboard

Question 3

Diese Fehlerbehebung klingt vage, ohne weitere Informationen zum Peer-VPN-Gateway-Gerät und seiner Konfiguration. Der beste Ansatz wäre hier also, sich die Konfiguration und das Gerät anzuschauen, um seine Kompatibilitätskonfiguration zu verstehen.

Möglicherweise wurde die Unterstützung für IKE-Fragmentierung nicht aktiviert. Einige Geräte von Drittanbietern, z. B. Firewalls, die für die Stateful Packet Inspection konfiguriert sind, erlauben nicht die Weiterleitung von User Datagram Protocol (UDP)-Fragmenten, falls diese Teil eines Fragmentierungsangriffs sind.1Wenn nicht alle Fragmente durchgelassen werden, schlägt die IKE-Aushandlung (Internet Key Exchange) fehl, da der vorgesehene Antwortgeber für den VPN-Tunnel (Virtual Private Network) das IKE-Paket nicht rekonstruieren und mit der Tunnelerstellung nicht fortfahren kann.

Ein Beispiel für dieses Verhalten ist beim Cisco 2821-Router zu sehen:

show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled

Eine Lösung hierfür wäre die Aktivierung der IKE-Fragmentierung.

Answer

Diese Fehlerbehebung klingt vage, ohne weitere Informationen zum Peer-VPN-Gateway-Gerät und seiner Konfiguration. Der beste Ansatz wäre hier also, sich die Konfiguration und das Gerät anzuschauen, um seine Kompatibilitätskonfiguration zu verstehen.

Möglicherweise wurde die Unterstützung für IKE-Fragmentierung nicht aktiviert. Einige Geräte von Drittanbietern, z. B. Firewalls, die für die Stateful Packet Inspection konfiguriert sind, erlauben nicht die Weiterleitung von User Datagram Protocol (UDP)-Fragmenten, falls diese Teil eines Fragmentierungsangriffs sind.1Wenn nicht alle Fragmente durchgelassen werden, schlägt die IKE-Aushandlung (Internet Key Exchange) fehl, da der vorgesehene Antwortgeber für den VPN-Tunnel (Virtual Private Network) das IKE-Paket nicht rekonstruieren und mit der Tunnelerstellung nicht fortfahren kann.

Ein Beispiel für dieses Verhalten ist beim Cisco 2821-Router zu sehen:

show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled

Eine Lösung hierfür wäre die Aktivierung der IKE-Fragmentierung.

Google VPN unterstützt die angegebenen Chiffren nicht

Antwort1

Antwort2

Antwort3

verwandte Informationen