我正在使用 Google Cloud VPN 网关并尝试连接到第三方场所的 CISCO ASA 5545 设备。这是一个静态路由设置,Cisco 路由器仅使用 IKE v1。
我遇到了这个问题,从日志中我可以看到连接已建立,然后它显示立即安排重新密钥,然后收到 INVALID_ID_INFORMATION 错误通知,然后收到 IKE_SA vpn_[PEER IP] 的 DELETE,然后删除 [VPN PUBLIC IP]...[PEER IP] 之间的 IKE_SA vpn_[PEER IP]。这在日志中不断重复。
显然存在配置不匹配;本地客户端希望我将加密更改为 AES-256 或 3des,因为“设备不支持 AES 128”。一旦您选择使用 IKEv1,是否可以更改 Google Cloud VPN 的加密?
根据文档https://cloud.google.com/compute/docs/vpn/advanced,IKEv1 使用 aes-cbc-128 加密,是否可以将其更改为 aes-256?是否可以使本地设备与 aes-128 配合使用?
答案1
使用静态路由和 IKEv1 会带来重大限制,但第三方对等方会支持这些限制。最重要的是,我无法使用多 cidr 块,并且只能使用 aes-128 进行加密。
在查看日志中的某些错误(包括 INVALID_ID_INFORMATION)后,我发现一些参考资料表明 ASA 设备上的加密不匹配。我在手册中查找了这一点,发现有一个选项是 aes,实际上是 aes-128。在对等设备上解决此问题后,我在日志中得到了另一个 INVALID HASH ID。
检查 gcloud 中的连接状态非常有用https://cloud.google.com/compute/docs/vpn/creating-vpns。用户界面在这方面提供的信息很少:
gcloud compute --project [PROJECT_ID] vpn-tunnels describe tunnel1 --region us-central1
这给出了以下有用的输出:
Please verify that the network range and the remote network IP ranges of the tunnel match the configured IP ranges on the peer device.
最后一部分相当简单;在云 VPN 隧道的本地流量选择器中匹配对等设备上定义的 cidr 块后,隧道就建立起来了。
因此,回答一些问题:是否可以更改云 VPN 上的加密设置? 不可以
是否可以让本地 Cisco 5545 设备与 aes-128 一起工作? 是的。