Попытка установить соединение IPSec IKEv2 с сервисами Google Cloud VPN.
В соответствии сих, они поддерживают шифры AES-CBC для шифрования на этапе 1, но в момент согласования с локальным VPN-шлюзомтолькоПредлагаются шифры AES-GCM.
Итак, я получаю знаменитую ошибку IKE SA «предложение не выбрано».
Нужно ли мне что-то настраивать в Google Cloud?
решение1
Я считаю, что наиболее вероятной причиной этой ошибки являетсянесоответствие шифра. Возможно, у вас несоответствие предложений в IKE SA (фаза 1) и 2.
Вы также можете попробовать устранить неполадки, следуя этой инструкции.гид.
В частности, следующее утверждение:
Если в журналах VPN отображается ошибка no-proposal-chosen, это означает, что Cloud VPN и ваш локальный VPN-шлюз не смогли договориться о наборе шифров. Для IKEv1 набор шифров должен точно совпадать. Для IKEv2 должен быть хотя бы один общий шифр, предложенный каждым шлюзом. Убедитесь, что ваш локальный VPN-шлюз настроен с использованиемподдерживаемые шифры.
А также проверьте следующее в соответствии с руководством по устранению неполадок.
- Убедитесь, что локальный IP-адрес, настроенный на шлюзе Cloud VPN, правильный.
- Проверьте, совпадают ли версии IKE, настроенные на VPN-шлюзах.
- Убедитесь, что трафик проходит между двумя шлюзами VPN в обоих направлениях. В журналах VPN проверьте наличие входящих сообщений от другого шлюза VPN.
- Убедитесь, что настроенные версии IKE одинаковы на обеих сторонах туннеля.
- Убедитесь, что общий секретный ключ одинаков на обеих сторонах туннеля.
- Если ваш локальный VPN-шлюз находится за NAT один к одному, убедитесь, что устройство NAT правильно настроено для пересылки трафика UDP на ваш локальный VPN-шлюз на портах 500 и 4500. Ваш локальный шлюз должен быть настроен для идентификации себя с использованием публичного IP-адреса устройства NAT. См.локальные шлюзы за NATдля получения подробной информации.
Также проверьте, что время жизни на этапе 1 (IKE) установлено на рекомендуемое Google значение 36 600 секунд (10 часов, 10 минут), а время жизни на этапе 2 установлено на 10 800 секунд (3 часа).
Если после этого туннель не будет установлен, рассмотрите возможность подачи заявленияпубличный вопроспротив облачной платформы/сети с использованиемИнструмент отслеживания проблем Google. Включите как можно больше подробностей, включая шаги по воспроизведению, чтобы эта проблема могла получить лучшую видимость, а также больше выборки.
решение2
Похоже, что это проблема со стороны GCP.
Если вы обнаружите, что некоторые службы GCP работают не так, как ожидалось, или не соответствуют поведению, описанному в документации, вы можетеподать отчет о проблемевПубличный трекер проблем Googleили достичьПоддержка Google Cloud.
Кроме того, вы всегда можете проверить статус услуг GCP по адресуПанель мониторинга состояния Google Cloud
решение3
Это устранение неполадок звучит расплывчато, без дополнительной информации об устройстве шлюза Peer VPN и его конфигурации. Поэтому лучшим подходом здесь будет захватить конфигурацию и устройство, чтобы понять его конфигурацию совместимости.
Возможно, поддержка фрагментации IKE не была включена. Некоторые сторонние устройства, такие как брандмауэры, настроенные на проверку пакетов с отслеживанием состояния, не разрешают передачу фрагментов протокола пользовательских датаграмм (UDP) в случае, если они являются частью атаки фрагментации1. Если не все фрагменты переданы, согласование Internet Key Exchange (IKE) завершается неудачей, поскольку предполагаемый ответчик для туннеля виртуальной частной сети (VPN) не может реконструировать пакет IKE и продолжить установление туннеля.
Пример такого поведения можно увидеть на маршрутизаторе Cisco 2821:
show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled
Решением этой проблемы могло бы стать включение фрагментации IKE.