La VPN de Google no admite cifrados reclamados

Creo que la causa más probable de este error es unfalta de coincidencia de cifrado. Es posible que tenga una propuesta que no coincida en IKE SA (fase 1) y 2.

También puedes intentar solucionar este problema siguiendo estoguía.

En concreto la siguiente afirmación:

Si los registros de VPN muestran un error de no propuesta elegida, esto indica que Cloud VPN y su puerta de enlace VPN local no pudieron ponerse de acuerdo sobre un conjunto de cifrados. Para IKEv1, el conjunto de cifrados debe coincidir exactamente. Para IKEv2, debe haber al menos un cifrado común propuesto por cada puerta de enlace. Asegúrese de que su puerta de enlace VPN local esté configurada usandocifrados soportados.

Y también verifique lo siguiente según la guía de solución de problemas.

1. Verifique que la IP local configurada en la puerta de enlace de Cloud VPN sea correcta.
2. Compruebe si las versiones de IKE configuradas en las puertas de enlace VPN coinciden.
3. Verifique que el tráfico fluya entre las dos puertas de enlace VPN en ambas direcciones. En los registros de VPN, verifique los mensajes entrantes reportados desde la otra puerta de enlace de VPN.
4. Verifique que las versiones IKE configuradas sean las mismas en ambos lados del túnel.
5. Compruebe que el secreto compartido sea el mismo en ambos lados del túnel.
6. Si su puerta de enlace VPN local está detrás de NAT uno a uno, asegúrese de que el dispositivo NAT se haya configurado correctamente para reenviar el tráfico UDP a su puerta de enlace VPN local en los puertos 500 y 4500. Su puerta de enlace local debe estar configurada identificarse mediante la dirección IP pública del dispositivo NAT. Referirse aPuertas de enlace locales detrás de NATpara detalles.

También verifique que la vida útil en la Fase 1 (IKE) esté configurada en el valor recomendado por Google de 36 600 segundos (10 horas, 10 minutos) y que la vida útil en la Fase 2 esté establecida en 10 800 segundos (3 horas).

Si el túnel no se establece después de eso, considere presentar unaasunto públicocontra la plataforma en la nube/redes utilizando elHerramienta de seguimiento de problemas de Google. Incluya tantos detalles como sea posible, incluidos los pasos a reproducir para que este problema pueda obtener una mejor visibilidad y más muestras.

Suena como un problema por parte de GCP.

Siempre que descubra que algunos servicios de GCP no funcionan como se esperaba o en contra del comportamiento descrito en la documentación, podríapresentar un informe de problemaen elRastreador de problemas públicos de Googleo alcanzarSoporte de Google Cloud.

Además, siempre puede verificar el estado de los servicios de GCP enPanel de estado de la nube de Google

Esta solución de problemas suena vaga, sin más información sobre el dispositivo de puerta de enlace Peer VPN y su configuración. Entonces, el mejor enfoque aquí sería tomar la configuración y el dispositivo para comprender su configuración de compatibilidad.

Quizás el soporte para la fragmentación IKE no estaba habilitado. Algunos dispositivos de proveedores externos, como los firewalls configurados para la inspección de paquetes con estado, no permiten el paso de fragmentos del Protocolo de datagramas de usuario (UDP) en caso de que formen parte de un ataque de fragmentación.1. Si no se pasan todos los fragmentos, la negociación de Intercambio de claves de Internet (IKE) falla porque el respondedor previsto para el túnel de red privada virtual (VPN) no puede reconstruir el paquete IKE y continuar con el establecimiento del túnel.

Se puede ver un ejemplo de este comportamiento en el enrutador Cisco 2821:

show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled

Una solución a esto sería habilitar la fragmentación IKE.