我正在使用Google Cloud VPN网关,并试图连接到第三方网站上的CISCO ASA 5545设备。 这是一个静态路由设置,Cisco路由器仅使用IKE v1。
我有这个问题,从日志的地方,我可以看到连接build立,然后它说,调度后立即更正,然后收到INVALID_ID_INFORMATION错误通知,然后收到删除IKE_SA vpn_ [PEER IP],然后删除IKE_SA vpn_ [PEER IP] VPN PUBLIC IP] … [PEER IP]。 这在日志中继续重复。
显然有configuration不合适; 内部部署客户端要求我将encryption更改为AES-256或3des,因为“设备不支持AES 128”。 一旦您select使用IKEv1,是否可以更改Google Cloud VPN的encryption?
根据文档https://cloud.google.com/compute/docs/vpn/advanced,IKEv1使用aes-cbc-128encryption,是否可以将其更改为aes-256? 是否有可能使内部设备与aes-128一起工作?
使用静态路由和IKEv1提出了很大的限制,但这是第三方同行会支持的。 最重要的是我不能使用多cidr块,并且仅限于aes-128encryption。
在查看日志中的一些错误(包括INVALID_ID_INFORMATION)之后,我发现引用表明ASA设备上的encryption不匹配。 我在手册中查了一下,发现有一个选项,确实是aes-128。 一旦在对等设备上解决了这个问题,我在日志中又得到了另一个INVALID HASH ID。
在gcloud中检查连接的状态certificate是非常有用的https://cloud.google.com/compute/docs/vpn/creating-vpns 。 UI在这方面几乎没有提供任何信息:
gcloud compute --project [PROJECT_ID] vpn-tunnels describe tunnel1 --region us-central1 这给了以下有用的输出:
Please verify that the network range and the remote network IP ranges of the tunnel match the configured IP ranges on the peer device.
最后一部分很简单, 匹配云VPN隧道的本地stream量select器中对端设备上定义的cidr块后,隧道出现。
所以要回答一些问题:是否有可能更改云vpn上的encryption设置? 没有
是否有可能使内部思科5545设备与aes-128一起工作? 是。