S2S Выпуск Google Cloud VPN и Cisco ASA 5545

Question

S2S Выпуск Google Cloud VPN и Cisco ASA 5545

Я использую VPN-шлюз Google Cloud и пытаюсь подключиться к устройству CISCO ASA 5545 в стороннем офисе. Это статическая настройка маршрута, и маршрутизатор Cisco использует только IKE v1.

У меня есть эта проблема, где из журналов, я мог видеть, что соединение установлено, затем он говорит, что перепланировка планирования сразу после, затем получил уведомление об ошибке INVALID_ID_INFORMATION, затем получил DELETE для IKE_SA vpn_[PEER IP], затем удалял IKE_SA vpn_[PEER IP] между [VPN PUBLIC IP]...[PEER IP]. Это продолжает повторяться в журнале.

Очевидно, что есть ошибки в конфигурации; локальный клиент хочет, чтобы я изменил шифрование на AES-256 или 3des, потому что "устройство не поддерживает AES 128". Можно ли даже изменить шифрование для Google Cloud VPN, если вы решили использовать IKEv1?

Согласно документации https://cloud.google.com/compute/docs/vpn/advanced, IKEv1 использует шифрование aes-cbc-128, возможно ли изменить его на aes-256? Можно ли заставить локальное устройство работать с aes-128?

0

google-cloud-platform cisco-asa site-to-site-vpn google-cloud-vpn

Источник

keni 10 фев '17 в 08:42

1 ответ

Решение

Другие вопросы по тегам google-cloud-platform cisco-asa site-to-site-vpn google-cloud-vpn

keni 15 фев '17 в 07:13 2017-02-15 07:13 · Accepted Answer · 2017-02-15 07:13

Использование статического маршрута и IKEv1 налагало существенные ограничения, но это было то, что сторонний партнер поддержал бы. Самым значительным из них было то, что я не мог использовать блоки multi-cidr и был ограничен aes-128 для шифрования.

После просмотра некоторых ошибок в журнале, включая INVALID_ID_INFORMATION, я обнаружил ссылки, в которых говорилось, что шифрование на устройстве ASA не соответствует. Я посмотрел это в руководстве и обнаружил, что есть вариант aes, который действительно был aes-128. После того, как это было решено на одноранговом устройстве, я получил еще один недействительный идентификатор хеша в журнале.

Проверка состояния соединения в gcloud оказалась очень полезной https://cloud.google.com/compute/docs/vpn/creating-vpns. Пользовательский интерфейс дает мало информации в этом отношении:

gcloud compute --project [PROJECT_ID] vpn-tunnels describe tunnel1 --region us-central1

Это дало следующий полезный вывод:

Please verify that the network range and the remote network IP ranges of the tunnel match the configured IP ranges on the peer device.

Последняя часть была отчасти легкой; после сопоставления блоков cidr, определенных на одноранговом устройстве в селекторе локального трафика облачного vpn-туннеля, появился туннель.

Итак, чтобы ответить на некоторые вопросы: возможно ли изменить настройку шифрования в облаке vpn? нет

Можно ли заставить локальное устройство Cisco 5545 работать с aes-128? Да.