嘗試與 Google Cloud VPN 服務建立 IPSec IKEv2 連線。
根據他們,他們在第 1 階段支援 AES-CBC 加密,但在與本地 VPN 網關協商時僅有的提供 AES-GCM 密碼。
所以我得到了著名的“沒有選擇提案”IKE SA 錯誤。
我需要在 Google Cloud 上進行一些調整嗎?
答案1
我認為導致此錯誤的最可能原因是密碼不匹配。您可能在 IKE SA(第 1 階段)和第 2 階段中存在提議不符的情況。
您也可以嘗試按照以下步驟進行故障排除指導。
具體聲明如下:
如果 VPN 日誌顯示 no-proposal-chosen 錯誤,表示 Cloud VPN 和您的本機 VPN 閘道無法就一組密碼達成協議。對於 IKEv1,密碼集必須完全匹配。對於 IKEv2,每個網關必須至少提出一種通用密碼。確保您的本機 VPN 閘道配置為使用支援的密碼。
並根據故障排除指南檢查以下內容。
- 驗證 Cloud VPN 閘道上設定的本機 IP 是否正確。
- 檢查VPN閘道上設定的IKE版本是否相符。
- 驗證流量是否在兩個 VPN 閘道之間雙向流動。在 VPN 日誌中,檢查來自其他 VPN 閘道的報告傳入訊息。
- 檢查隧道兩端配置的IKE版本是否相同。
- 檢查隧道兩側的共用金鑰是否相同。
- 如果您的本機 VPN 閘道位於一對一 NAT 後面,請確保 NAT 裝置已正確設定為將 UDP 流量轉送至連接埠 500 和 4500 上的本機 VPN 閘道。標識自身。參考NAT 後面的本地網關了解詳情。
請同時檢查第 1 階段 (IKE) 中的生命週期是否設定為 Google 建議的值 36,600 秒(10 小時 10 分鐘),第 2 階段的生命週期設定為 10,800 秒(3 小時)。
如果此後隧道仍未建立,請考慮提交公共問題針對雲端平台/網路使用Google 問題追蹤工具。包含盡可能多的詳細信息,包括重現步驟,以便更好地了解此問題並進行更多採樣。
答案2
這聽起來像是 GCP 方面的問題。
每當您發現某些 GCP 服務未按預期工作或與文件中描述的行為不符時,您可以提交問題報告在谷歌公共問題追蹤器或達到谷歌雲端支援。
此外,您可以隨時查看 GCP 服務的狀態:Google Cloud 狀態儀表板
答案3
此故障排除聽起來很模糊,沒有有關對等 VPN 閘道設備及其配置的更多資訊。因此,最好的方法是獲取配置和設備以了解其相容性配置。
可能未啟用對 IKE 分段的支援。某些第三方供應商設備(例如配置用於狀態資料包檢查的防火牆)不允許使用者資料封包協定 (UDP) 片段通過,以防它們成為分段攻擊的一部分1。如果所有分片均未通過,則 IKE 協商將失敗,因為虛擬私人網路 (VPN) 隧道的預期回應方無法重建 IKE 封包並繼續建立隧道。
此行為的範例可以在 Cisco 2821 路由器中看到:
show crypto isakmp sa detail
[TIMESTAMP]: ISAKMP:(0):Support for IKE Fragmentation not enabled
解決方案是啟用 IKE 分段。