Вопросы Теги

Ухудшение подключения Google Cloud VPN

у нас есть классическая настройка VPN для одного из наших клиентов. Туннель расположен в европе-западе1. Он был создан в январе, и до прошлой недели все шло гладко.

С прошлой недели мы наблюдаем прогрессирующую деградацию VPN-соединения. При просмотре журналов причина кажется несоответствием предложения в CHILD SA (фаза 2), но в нем нет информации о том, какой параметр не соответствует.

Согласно журналам, проверка параметров сообщает следующее: 

Cloud VPN has 1 proposals. Peer has 1 proposals.
Cloud VPN proposal #1 vs Peer proposal #1 :
Match parameters:
ENCRYPTION_ALGORITHM : ESP:AES_GCM_16_256
EXTENDED_SEQUENCE_NUMBERS : ESP:NO_EXT_SEQ
PFS : ESP:MODP_1024
Mismatch parameters:
<some empty lines>

Вы знаете, как решить проблему? Спасибо!

1
задан 31 March 2021 в 18:43
1 ответ

Судя по логам, которыми вы поделились, Cloud VPN принял 1 предложение.

Чтобы найти проблему, выполните следующие действия:

  1. Проверьте журналы, есть ли в VPN предупреждение «Уведомление однорангового шлюза: несоответствие предложения в CHILD SA (фаза 2)».

  2. Если вы получаете это предупреждение, следующим шагом будет проверка журналов одноранговых узлов с ключевыми словами «NO_PROPOSAL_CHOSEN».

Если в журналах появляется сообщение «NO_PROPOSAL_CHOSEN», это означает, что Cloud VPN и ваш одноранговый VPN-шлюз не могут согласовать набор шифров. Для IKEv1 набор шифров должен точно совпадать. Убедитесь, что вы используете поддерживаемые шифры для настройки однорангового VPN-шлюза.Обратитесь к документу о поддерживаемых шифрах IKE [1], чтобы узнать больше об этом.

Также обратите внимание, что по умолчанию Cloud VPN согласовывает замещающую ассоциацию безопасности (SA) до истечения срока действия существующей (это также называется сменой ключей). Ваш одноранговый VPN-шлюз может не менять ключ. Вместо этого он может согласовать новую SA только после удаления существующей SA, вызывая прерывания [2]. Если соединение обрывается, а затем восстанавливается сразу после сообщения журнала «Received SA_DELETE», ваш локальный шлюз не изменил ключ.

[1] : https://cloud.google.com/network-connectivity/docs/vpn/concepts/supported-ike-ciphers

[2] : https://cloud.google.com/network-connectivity/docs/vpn/support/troubleshooting#tunnel_regularly_goes_down_for_a_few_seconds

1
ответ дан 31 May 2021 в 12:32