我正在尝试在GCP中的VPN隧道和基于CISCO ASA 5520的客户端远程VPN隧道之间 Build L2L IPSec VPN连接 . 阶段1已 Build 但不是阶段2,因此错误“状态:NEGOTIATION_FAILURE” .
阅读CISCO ASA的VPN Interops指南“https://cloud.google.com/files/CloudVPNGuide-UsingCloudVPNwithCiscoASA.pdf”提供了客户端无法满足的一些配置,因为它们仅支持IKEv1 .
任何人都可以告诉我在哪里可以按照客户的预期进行特定的第1阶段和第2阶段的更改 . 我更喜欢使用gcloud shell命令 .
第一阶段的证据是
LG-CISCO-ASA/pri/act# show crypto isakmp | begin my.gcp.vpn.ip
178 IKE Peer: my.gcp.vpn.ip
Type : L2L Role : initiator
Rekey : no State : MM_ACTIVE
第二阶段没有上升
LG-CISCO-ASA/pri/act# show crypto ipsec sa peer my.gcp.vpn.ip
There are no ipsec sas for peer my.gcp.vpn.ip
在谷歌 Cloud 壳上摘录检查VPN状态如下
...
status: NEGOTIATION_FAILURE
targetVpnGateway: https://www.googleapis.com/compute/v1/projects/amghouse-bct-sms-1/regions/us-central1/targetVpnGateways/amgh
ouse-bct-vpn1
...
谢谢 .
1 回答
您无法更改已创建的VPN隧道的密码 . 您必须删除它并重建隧道 . 但是,在重建隧道时,请确保根据GCP IKEv1密码准则配置密码 . 由于GCP IKEv1密码在GCP方面是硬编码的,因此无法对其进行更改 .
根据GCP文档supported IKEv1 ciphers:
第1阶段
加密:aes-cbc-128完整性:sha1-96 PFS算法(必需):第2组(modp_1024)prf:sha1-96 Diffie-Hellman(DH):第2组(modp_1024)第1阶段寿命:36,600秒(10小时, 10分钟)
ForPhase 2
加密:aes-cbc-128完整性:sha1-96 Diffie-Hellman(DH):某些设备需要第2阶段的DH值 . 如果是,请使用您在阶段1中使用的值 . 阶段2生存期:10,800秒(3)小时)
确保这些密码在两侧都匹配,并遵循this specification .
有关故障排除请参阅this GCP document和VPN gcloud命令,请参阅to this document.