Google Cloud VPN 서비스와 IPSec IKEv2 연결을 시도 중입니다.
에 따르면그들을, 1단계에서 암호화에 대한 AES-CBC 암호화를 지원하지만 현재는 온프레미스 VPN 게이트웨이와 협상하는 시점에오직AES-GCM 암호가 제공됩니다.
그래서 유명한 "제안 선택 없음" IKE SA 오류가 발생합니다.
Google Cloud에서 뭔가를 조정해야 하나요?
답변1
나는 이 오류의 가장 가능성 있는 원인이 다음과 같다고 생각합니다.암호 불일치. IKE SA(1단계)와 2단계에서 제안 불일치가 발생할 수 있습니다.
다음 단계에 따라 문제를 해결해 볼 수도 있습니다.가이드.
구체적으로 다음 진술은 다음과 같습니다.
VPN 로그에 no-proposal-chosen 오류가 표시되면 이는 Cloud VPN과 온프레미스 VPN 게이트웨이가 일련의 암호에 동의할 수 없음을 나타냅니다. IKEv1의 경우 암호 세트가 정확히 일치해야 합니다. IKEv2의 경우 각 게이트웨이에서 제안하는 공통 암호가 하나 이상 있어야 합니다. 온프레미스 VPN 게이트웨이가 다음을 사용하여 구성되어 있는지 확인하세요.지원되는 암호.
또한 문제 해결 가이드에 따라 다음 사항도 확인하세요.
- Cloud VPN 게이트웨이에 구성된 온프레미스 IP가 올바른지 확인하세요.
- VPN 게이트웨이에 구성된 IKE 버전이 일치하는지 확인하세요.
- 트래픽이 두 VPN 게이트웨이 사이에서 양방향으로 흐르고 있는지 확인하세요. VPN 로그에서 다른 VPN 게이트웨이로부터 보고된 수신 메시지를 확인하세요.
- 구성된 IKE 버전이 터널 양쪽에서 동일한지 확인하십시오.
- 공유 비밀이 터널 양쪽에서 동일한지 확인하세요.
- 온프레미스 VPN 게이트웨이가 일대일 NAT 뒤에 있는 경우 UDP 트래픽을 포트 500 및 4500에서 온프레미스 VPN 게이트웨이로 전달하도록 NAT 장치가 올바르게 구성되었는지 확인하세요. 온프레미스 게이트웨이를 구성해야 합니다. NAT 장치의 공용 IP 주소를 사용하여 자신을 식별합니다. 인용하다NAT 뒤의 온프레미스 게이트웨이자세한 내용은.
또한 1단계(IKE)의 수명이 Google 권장 값인 36,600초(10시간 10분)로 설정되어 있고, 2단계의 수명이 10,800초(3시간)로 설정되어 있는지 확인하세요.
그 후에도 터널이 구축되지 않으면공개 문제클라우드 플랫폼/네트워킹에 대해Google 문제 추적 도구. 이 문제를 더 잘 파악하고 더 많은 샘플링을 얻을 수 있도록 재현 단계를 포함하여 가능한 한 많은 세부정보를 포함하세요.
답변2
GCP 측의 문제인 것 같습니다.
일부 GCP 서비스가 예상대로 작동하지 않거나 문서에 설명된 동작에 반하는 것을 발견할 때마다문제 보고서 제출~에서Google 공개 문제 추적기또는 도달Google 클라우드 지원.
또한 언제든지 GCP 서비스 상태를 확인할 수 있습니다.Google Cloud 상태 대시보드
답변3
피어 VPN 게이트웨이 장치 및 해당 구성에 대한 추가 정보가 없으면 이 문제 해결이 모호하게 들립니다. 따라서 여기서 가장 좋은 접근 방식은 구성과 장치를 파악하여 호환성 구성을 이해하는 것입니다.
IKE 조각화 지원이 활성화되지 않았을 수 있습니다. 상태 저장 패킷 검사를 위해 구성된 방화벽과 같은 일부 타사 공급업체 장치는 조각화 공격의 일부인 경우 UDP(사용자 데이터그램 프로토콜) 조각의 통과를 허용하지 않습니다.1. 모든 조각이 통과되지 않으면 VPN(가상 사설망) 터널에 대해 의도된 응답자가 IKE 패킷을 재구성하고 터널 설정을 진행할 수 없기 때문에 IKE(인터넷 키 교환) 협상이 실패합니다.
이 동작의 예는 Cisco 2821 라우터에서 볼 수 있습니다.
show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled
이에 대한 해결책은 IKE 조각화를 활성화하는 것입니다.