Tentando estabelecer uma conexão IPSec IKEv2 com os serviços VPN do Google Cloud.
De acordo comeles, eles suportam cifras AES-CBC para criptografia na fase 1, mas no momento da negociação com o gateway VPN localapenasCifras AES-GCM são oferecidas.
Então recebo o famoso erro IKE SA "nenhuma proposta escolhida".
Preciso ajustar algo no Google Cloud?
Responder1
Acredito que a causa mais provável deste erro é umincompatibilidade de cifra. É possível que haja uma incompatibilidade de propostas na IKE SA (fase 1) e 2.
Você também pode tentar solucionar isso seguindo esteguia.
Especificamente a seguinte afirmação:
Se os registros da VPN mostrarem um erro sem proposta escolhida, isso indica que o Cloud VPN e seu gateway VPN local não conseguiram chegar a um acordo sobre um conjunto de cifras. Para IKEv1, o conjunto de cifras deve corresponder exatamente. Para IKEv2, deve haver pelo menos uma cifra comum proposta por cada gateway. Certifique-se de que seu gateway VPN local esteja configurado usandocifras suportadas.
E também verifique o seguinte de acordo com o guia de solução de problemas.
- Verifique se o IP local configurado no gateway do Cloud VPN está correto.
- Verifique se as versões IKE configuradas nos gateways VPN correspondem.
- Verifique se o tráfego está fluindo entre os dois gateways VPN em ambas as direções. Nos logs da VPN, verifique mensagens recebidas relatadas do outro gateway VPN.
- Verifique se as versões IKE configuradas são iguais em ambos os lados do túnel.
- Verifique se o segredo compartilhado é o mesmo em ambos os lados do túnel.
- Se o seu gateway VPN local estiver atrás de NAT um para um, certifique-se de que o dispositivo NAT tenha sido configurado corretamente para encaminhar o tráfego UDP para o seu gateway VPN local nas portas 500 e 4500. Seu gateway local deve ser configurado para se identificar usando o endereço IP público do dispositivo NAT. Referir-segateways locais atrás de NATpara detalhes.
Verifique também se o tempo de vida na Fase 1 (IKE) está definido para o valor recomendado pelo Google de 36.600 segundos (10 horas, 10 minutos) e o tempo de vida na Fase 2 definido para 10.800 segundos (3 horas).
Se o túnel não for estabelecido depois disso, considere preencher umquestão públicacontra a plataforma/rede em nuvem usando oFerramenta de rastreamento de problemas do Google. Inclua o máximo de detalhes possível, incluindo etapas de reprodução para que este problema tenha melhor visibilidade e também mais amostragem.
Responder2
Parece um problema do lado do GCP.
Sempre que você descobrir que alguns serviços do GCP não funcionam conforme o esperado ou contra o comportamento descrito na documentação, você podeenviar um relatório de problemanoRastreador de problemas públicos do Googleou alcançarSuporte do Google Cloud.
Além disso, você sempre pode verificar o status dos serviços do GCP emPainel de status do Google Cloud
Responder3
Esta solução de problemas parece vaga, sem mais informações sobre o dispositivo de gateway Peer VPN e sua configuração. Portanto, a melhor abordagem aqui seria pegar a configuração e o dispositivo para entender sua configuração de compatibilidade.
Talvez o suporte para fragmentação IKE não tenha sido habilitado. Alguns dispositivos de fornecedores de terceiros, como firewalls configurados para inspeção de pacotes com estado, não permitem a passagem de fragmentos do User Datagram Protocol (UDP), caso façam parte de um ataque de fragmentação.1. Se todos os fragmentos não forem transmitidos, a negociação do Internet Key Exchange (IKE) falha porque o respondente pretendido para o túnel da rede virtual privada (VPN) não pode reconstruir o pacote IKE e prosseguir com o estabelecimento do túnel.
Um exemplo desse comportamento pode ser visto no roteador Cisco 2821:
show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled
Uma solução para isso seria permitir a fragmentação IKE.