Google-Cloud-Platform

S2S 問題 Google Cloud VPN 和 Cisco ASA 5545

  • February 2, 2019

我正在使用 Google Cloud VPN 網關並嘗試連接到第 3 方前提下的 CISCO ASA 5545 設備。這是一個靜態路由設置,Cisco 路由器僅使用 IKE v1。

我有這個問題,從日誌中,我可以看到連接已建立,然後它說立即安排密鑰更新,然後收到 INVALID_ID_INFORMATION 錯誤通知,然後收到 IKE_SA vpn_ 的 DELETE

$$ PEER IP $$然後刪除 IKE_SA vpn_$$ PEER IP $$之間$$ VPN PUBLIC IP $$…$$ PEER IP $$. 這繼續在日誌中重複。 顯然存在配置錯誤;本地客戶端希望我將加密更改為 AES-256 或 3des,因為“設備不支持 AES 128”。一旦您選擇使用 IKEv1,是否甚至可以更改 Google Cloud VPN 的加密?

根據文件https://cloud.google.com/compute/docs/vpn/advanced,IKEv1 使用 aes-cbc-128 加密,是否可以將其更改為 aes-256?是否可以使本地設備與 aes-128 一起使用?

使用靜態路由和 IKEv1 有很大的限制,但這是第 3 方對等方將支持的。最重要的是我不能使用多 cidr 塊並且僅限於 aes-128 進行加密。

在查看日誌中的一些錯誤(包括 INVALID_ID_INFORMATION)後,我發現參考資料表明 ASA 設備上的加密不匹配。我在手冊中查找了這個,發現有 aes 作為選項,實際上是 aes-128。在對等設備上解決此問題後,我在日誌中得到另一個 INVALID HASH ID。

檢查 gcloud 中的連接狀態非常有用https://cloud.google.com/compute/docs/vpn/creating-vpns。使用者界面在這方面提供的資訊很少:

gcloud compute --project [PROJECT_ID] vpn-tunnels describe tunnel1 --region us-central1

這給出了以下有用的輸出:

Please verify that the network range and the remote network IP ranges of the tunnel match the configured IP ranges on the peer device.

最後一部分有點簡單;在雲 vpn 隧道的本地流量選擇器中匹配對等設備上定義的 cidr 塊後,隧道出現了。

所以回答一些問題:是否可以更改雲 vpn 上的加密設置?不

是否可以使本地 Cisco 5545 設備與 aes-128 一起使用?是的。

引用自:https://serverfault.com/questions/831762