我们为一位客户设置了经典 VPN。隧道位于 europe-west1。它于 1 月创建,直到上周一切都很顺利。
自上周以来,我们发现 VPN 连接逐渐恶化。查看日志,原因似乎是 CHILD SA(第 2 阶段)中的提议不匹配,但没有提供关于哪个参数不匹配的信息。
根据日志,参数检查报告以下内容:
Cloud VPN has 1 proposals. Peer has 1 proposals.
Cloud VPN proposal #1 vs Peer proposal #1 :
Match parameters:
ENCRYPTION_ALGORITHM : ESP:AES_GCM_16_256
EXTENDED_SEQUENCE_NUMBERS : ESP:NO_EXT_SEQ
PFS : ESP:MODP_1024
Mismatch parameters:
<some empty lines>
你知道该如何解决这个问题吗?谢谢!
答案1
根据您分享的日志,Cloud VPN 似乎已接受 1 项提议。
要定位问题,您可以按照以下步骤操作:
检查日志中是否存在 VPN 警告“对等网关通知:CHILD SA 中的提案不匹配(阶段 2)”。
如果您收到此警告,那么下一步就是使用关键字“NO_PROPOSAL_CHOSEN”检查对等日志。
如果您在日志中收到“NO_PROPOSAL_CHOSEN”,则表示 Cloud VPN 和您的对等 VPN 网关无法就一组密码达成一致。对于 IKEv1,密码集必须完全匹配。请确保使用受支持的密码来配置您的对等 VPN 网关。请参阅受支持的 IKE 密码文档 [1] 以了解更多信息。
另请注意,默认情况下,Cloud VPN 会在现有安全关联 (SA) 过期之前协商替换安全关联 (SA)(也称为重新密钥)。您的对等 VPN 网关可能不会重新密钥。相反,它可能仅在删除现有 SA 后才协商新 SA,从而导致中断 [2]。如果连接断开并在“收到 SA_DELETE”日志消息后立即重新建立,则您的本地网关未重新密钥。
[1]: https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers