【发布时间】:2020-11-23 22:05:30
【问题描述】:
简而言之,我们试图在 GCP VPN 和 Zscaler 的 ZEN(Zscaler 执行节点)之间建立一个基于经典路由的 IPSec 隧道。到目前为止,无论使用的是 IKEv1 还是 v2 密码,我们都无法建立成功的第 2 阶段握手。在查看了从 ZEN(远程对等点)提取的 Zscaler 支持提供的日志后,我们的 GCP 云 VPN 对等点发送的通用提案似乎存在问题。根据 Zscaler 的文档;它们支持 GCP VPN 用于 IKEv1 和 v2 的所有默认设置(加密完整性、模式、哈希、DH 和生命周期),尽管它们确实在其文档中指明了优先设置。根据 Zscaler 支持的响应,他们需要单独订阅第 2 阶段 AES 加密。他们询问了我们配置 GCP 云 VPN 对等方以发送 NULL 阶段 2 提案的可能性,但是在 GCP 经典云 VPN 中没有针对这两种密码类型的特定可配置选项。有没有人遇到过 Zscaler 和 GCP 之间关于 IPSec 协商的类似情况,除了从 Zscaler 购买 Phase 2 AES 加密服务之外,您有什么建议吗?提前感谢您提供的任何建议和/或见解!
【问题讨论】:
-
如果您 1) 发布您的 GCP VPN 配置,您将得到一个可能/更好的答案。 2) 发布您的 Zcaler 配置 3) 发布错误或通信跟踪。 4) 作为最后的手段,请查看此 Zscaler/GCP 服务以获取配置提示:console.cloud.google.com/marketplace/details/…
-
感谢您的建议,尽管我可能应该以不同的方式形成我的问题。更重要的是,有人知道强制 GCP VPN 发送 NULL 阶段 2 提案的方法吗?无论如何选择特定的密码设置还是通用提议是唯一的选择?我们终于成功实现了第 2 阶段协商,但它使用的是 AES 加密,Zscaler 已在 1 周的试用期为我们启用...
-
Google Cloud VPN 仅支持 AES。这记录在这里:cloud.google.com/network-connectivity/docs/vpn/concepts/…
-
>有人知道强制 GCP VPN 发送 NULL 阶段 2 提案的方法吗?无论如何选择特定的密码设置还是通用提议是唯一的选择?目前还没有办法实现这样的壮举。 GCP VPN 设置是硬编码的,由对等方来匹配 GCP 配置。可以看到 GCP VPN 只支持 AES。 [1]cloud.google.com/network-connectivity/docs/vpn/concepts/…
-
Google 始终使用 AES。您不能选择“不加密”(NULL 阶段 2)。
标签: networking google-cloud-platform vpn ipsec zscaler