Dépannage

Ce guide de dépannage vous aide à surveiller l'utilisation de Cloud VPN, et à résoudre les problèmes courants que vous pouvez rencontrer.

Pour interpréter les références aux messages d'état et aux algorithmes de chiffrement IKE, consultez la section Informations de référence relatives au dépannage.

Afficher les journaux et les métriques

Consultez la page Afficher les journaux et les métriques.

Vérifier les messages d'erreur

  1. Accédez à la page "VPN" de Google Cloud Console.
    Accéder à la page "VPN"
  2. Si une icône s'affiche, passez la souris dessus pour voir le message d'erreur correspondant.

Le message d'erreur vous aide généralement à identifier le problème. Si tel n'est pas le cas, consultez vos journaux pour obtenir davantage d'informations. Vous trouverez également des informations d'état détaillées sur la page Détails du tunnel dans Google Cloud Console.

Vérifier les journaux VPN

Les journaux Cloud VPN sont stockés dans Cloud Logging. La journalisation est automatique et n'a pas besoin d'être activée.

Pour la passerelle de pairs, consultez la documentation de votre produit afin de savoir comment afficher les journaux pour ce côté de la connexion.

Dans de nombreux cas, bien que les passerelles soient configurées correctement, un problème survient au niveau du réseau de pairs entre les hôtes et la passerelle, ou bien sur le réseau reliant la passerelle de pairs et la passerelle Cloud VPN.

Accéder à la page Logging

Recherchez les informations ci-dessous dans les journaux.

  1. Vérifiez que l'adresse IP du pair distant configurée sur la passerelle Cloud VPN est correcte.
  2. Vérifiez que le trafic provenant de vos hôtes sur site atteint la passerelle de pairs.
  3. Assurez-vous que le trafic est acheminé entre les deux passerelles VPN, dans les deux sens. Vérifiez si des messages entrants en provenance de l'autre passerelle VPN sont consignés dans les journaux VPN.
  4. Vérifiez que les versions IKE configurées sont identiques des deux côtés du tunnel.
  5. Vérifiez que la clé secrète partagée est identique des deux côtés du tunnel.
  6. Si votre passerelle VPN de pairs est protégée par la fonctionnalité NAT "un à un", assurez-vous que l'appareil NAT a été correctement configuré pour transférer le trafic UDP vers votre passerelle VPN de pairs via les ports 500 et 4500. Cette passerelle doit être configurée pour s'identifier à l'aide de l'adresse IP publique de l'appareil NAT. Pour en savoir plus, consultez la section Passerelles sur site protégées par la fonctionnalité NAT.
  7. Si les journaux VPN indiquent l'erreur no-proposal-chosen, cela signifie que Cloud VPN et votre passerelle VPN de pairs n'ont pas pu se mettre d'accord sur le choix des algorithmes de chiffrement. Pour IKEv1, ces algorithmes doivent correspondre exactement. En revanche, IKEv2 requiert qu'au moins un algorithme de chiffrement commun soit proposé par chaque passerelle. Assurez-vous que votre passerelle VPN de pairs est configurée à l'aide des algorithmes de chiffrement compatibles.
  8. Vérifiez que les routes et règles de pare-feu associées au pair et à Google Cloud sont configurées de sorte que le trafic puisse traverser le tunnel. Vous devrez peut-être demander de l'aide à votre administrateur réseau.

Vous pouvez également rechercher dans vos journaux les chaînes ci-dessous afin d'identifier des problèmes spécifiques :

  1. Accédez à la visionneuse de journaux dans Google Cloud Console :
    Accéder à la visionneuse de journaux
  2. Dans le champ de recherche Filtrer par étiquette ou texte recherché, cliquez sur le triangle d'expansion situé à l'extrême droite, puis sélectionnez Convertir en filtre avancé.
  3. Utilisez l'un des filtres avancés répertoriés ci-dessous pour rechercher un événement particulier et modifiez la période si nécessaire.
Événement à afficher Utiliser cette recherche Logging
Cloud VPN lance la phase 1 (association de sécurité IKE).

resource.type="vpn_gateway"
    ("initiating IKE_SA" OR "generating IKE_SA_INIT request")
Cloud VPN ne peut pas contacter le pair distant.

resource.type="vpn_gateway"
    "establishing IKE_SA failed, peer not responding"
Événements d'authentification IKE (phase 1)

resource.type="vpn_gateway"
    ("generating IKE_AUTH request" OR "parsed IKE_AUTH response")
Authentification IKE réussie

resource.type="vpn_gateway"
    ("authentication of" AND "with pre-shared key successful")
Phase 1 (association de sécurité IKE) établie

resource.type="vpn_gateway"
    ("IKE_SA" AND "established between")
Tous les événements de la phase 2 (association de sécurité enfant), y compris les événements de régénération de clés

resource.type="vpn_gateway"
    "CHILD_SA"
Un pair demande une régénération de clé pour la phase 2.

resource.type="vpn_gateway"
    detected rekeying of CHILD_SA
Un pair demande l'arrêt de la phase 2 (association de sécurité enfant).

resource.type="vpn_gateway"
    received DELETE for ESP CHILD_SA
Cloud VPN demande l'arrêt de la phase 2 (association de sécurité enfant).

resource.type="vpn_gateway"
    sending DELETE for ESP CHILD_SA
Cloud VPN met fin à la phase 2 (association de sécurité enfant), peut-être en réponse au pair.

resource.type="vpn_gateway" closing CHILD_SA
Cloud VPN a mis fin lui-même à la phase 2.

resource.type="vpn_gateway" CHILD_SA closed
Les sélecteurs de trafic distants ne correspondent pas.

resource.type="vpn_gateway"
    Remote traffic selectors narrowed
Les sélecteurs de trafic locaux ne correspondent pas.

resource.type="vpn_gateway"
    Local traffic selectors narrowed

Vérifier la connectivité

Tenez compte des suggestions ci-dessous lorsque vous vérifiez la connectivité entre les systèmes sur site et les VM Google Cloud à l'aide de la commande ping :

  • Assurez-vous que les règles de pare-feu de votre réseau Google Cloud autorisent le trafic ICMP entrant. La règle implicite d'autorisation du trafic sortant permet au trafic ICMP de quitter votre réseau sauf si vous avez décidé de l'ignorer. De la même façon, assurez-vous que vos pare-feu sur site sont également configurés pour autoriser le trafic ICMP entrant et sortant.

  • Pinguez les VM Google Cloud et les systèmes sur site en utilisant leurs adresses IP internes. L'exécution d'une commande ping sur les adresses IP externes des passerelles VPN ne permet pas de tester la connectivité disponible via le tunnel.

  • Lorsque vous testez la connectivité entre les systèmes sur site et Google Cloud, il est préférable d'exécuter une commande ping depuis un système de votre réseau, et non à partir de votre passerelle VPN. Il est possible de pinguer depuis une passerelle si vous définissez l'interface source appropriée. Toutefois, l'exécution de cette commande depuis une instance de votre réseau permet en outre de tester la configuration de votre pare-feu.

  • Les tests ping ne permettent pas de vérifier que les ports TCP ou UDP sont réellement ouverts. Vous devrez effectuer des tests supplémentaires après avoir vérifié à l'aide de la commande ping que les systèmes disposent d'une connectivité de base.

Calculer le débit du réseau

Vous pouvez calculer le débit du réseau dans Google Cloud et dans vos emplacements cloud tiers ou sur site. La documentation ci-dessus indique comment analyser des résultats, fournit des explications sur les variables pouvant affecter les performances du réseau et offre des conseils de dépannage.

Problèmes courants et solutions

Le tunnel est régulièrement indisponible pendant quelques secondes

Par défaut, Cloud VPN négocie une association de sécurité de remplacement avant l'expiration de celle qui existe. Ce processus est également appelé regénération de clé. Il est possible que votre passerelle VPN de pairs ne regénère pas les clés. Au lieu de cela, elle doit attendre la suppression de l'association de sécurité existante pour pouvoir en négocier une nouvelle, ce qui provoque des interruptions.

Pour vérifier si votre passerelle de pairs regénère les clés, consultez les journaux Cloud VPN. Si la connexion est perdue, puis rétablie juste après le renvoi du message de journal Received SA_DELETE, cela signifie que votre passerelle sur site n'a pas regénéré la clé.

Vérifiez les paramètres du tunnel à l'aide du document Algorithmes de chiffrement IKE compatibles. Assurez-vous tout particulièrement que la durée de vie de la phase 2 est correcte, et qu'un groupe Diffie-Hellman (DH) est défini sur l'une des valeurs recommandées.

Vous pouvez utiliser un filtre de journal avancé Logging pour rechercher des événements dans votre tunnel Cloud VPN. Par exemple, le filtre avancé suivant permet de rechercher les incohérences au niveau des groupes DH :

    resource.type="vpn_gateway"
    "Peer proposal: DOES NOT HAVE DIFFIE_HELLMAN_GROUP"
    

Passerelles sur site protégées par la fonctionnalité NAT

Cloud VPN peut être combiné à des passerelles VPN sur site ou de pairs qui sont protégées par la fonctionnalité NAT, grâce à l'encapsulation du protocole UDP et au mode NAT-T. Seule la fonctionnalité NAT "un à un" est compatible.

Dans le cadre du processus d'authentification, le service Cloud VPN vérifie l'identité de la passerelle du pair. Il requiert que chaque passerelle de pair s'identifie en utilisant le type d'identité ID_IPV4_ADDR spécifié du protocole RFC 7815, avec l'adresse IP publique (passerelle du pair) qui est configurée pour le tunnel Cloud VPN.

Les messages de journal ci-dessous indiquent que la passerelle VPN du pair s'identifie de manière incorrecte avec une adresse IP privée. Dans cet exemple, [PEER GATEWAY PRIVATE IP] correspond à une adresse IP privée, tandis que [PEER GATEWAY PUBLIC IP] représente l'adresse IP publique de l'appareil NAT situé entre la passerelle VPN de pairs et Internet.

    authentication of '[PEER GATEWAY PRIVATE IP]' with pre-shared key successful
    constraint check failed: identity '[PEER GATEWAY PUBLIC IP]' required
    selected peer config 'vpn_[PEER GATEWAY PUBLIC IP]' inacceptable: constraint checking failed
    

Lorsque vous utilisez la fonctionnalité NAT "un à un", votre passerelle VPN sur site doit s'identifier au moyen de l'adresse IP publique de l'appareil NAT.

  • Le type d'identité doit être ID_IPV4_ADDR (RFC 7815).

  • Certains appareils Cisco ne permettent pas de définir leur identité sur une adresse IP autre que celle qu'ils utilisent (adresse interne). Par exemple, il est impossible d'attribuer une autre adresse IP (externe) pour l'identité des appareils Cisco ASA. Ainsi, ces appareils ne peuvent pas être configurés pour utiliser la fonctionnalité NAT "un à un" avec Cloud VPN.

  • Vous pouvez définir l'identité des appareils Juniper à l'aide de set security ike gateway [NAME] local-identity inet [PUBLIC_IP], où [NAME] correspond au nom de votre passerelle VPN et [PUBLIC_IP] à votre adresse IP publique. Pour en savoir plus, consultez cet article de la bibliothèque Juniper TechLibrary.

La connectivité fonctionne pour certaines VM, mais pas pour d'autres

Si ping, traceroute ou d'autres méthodes d'envoi du trafic ne fonctionnent qu'entre certaines VM et vos systèmes sur site (ou entre certains systèmes sur site et des VM Google Cloud spécifiques), et si vous avez vérifié que les règles de pare-feu Google Cloud et sur site ne bloquent pas le trafic envoyé, il est possible que des sélecteurs de trafic excluent certaines sources ou destinations.

Les sélecteurs de trafic définissent les plages d'adresses IP d'un tunnel VPN. Parallèlement au routage, la plupart des mises en œuvre de VPN ne transmettent les paquets via un tunnel que si leur source se situe dans les plages d'adresses IP spécifiées dans le sélecteur de trafic local, et si leur destination se trouve dans les plages d'adresses IP indiquées dans le sélecteur de trafic distant. Vous spécifiez les sélecteurs de trafic lorsque vous créez un tunnel VPN classique à l'aide du routage basé sur des règles ou d'un VPN basé sur des routes. Vous pouvez également les définir lors de la création du tunnel de pairs correspondant.

Certains fournisseurs utilisent des termes tels que proxy local, domaine de chiffrement local ou réseau de gauche comme synonymes de sélecteur de trafic local. De la même manière, proxy distant, domaine de chiffrement distant ou réseau de droite sont des synonymes de sélecteur de trafic distant.

Pour modifier les sélecteurs de trafic d'un tunnel VPN classique, vous devez supprimer, puis recréer le tunnel. Ces opérations sont nécessaires, car les sélecteurs de trafic font partie intégrante du processus de création des tunnels. Par ailleurs, les tunnels ne peuvent pas être modifiés par la suite.

Suivez les consignes ci-dessous lors de la définition des sélecteurs de trafic.

  • Le sélecteur de trafic local du tunnel Cloud VPN doit couvrir tous les sous-réseaux de votre réseau VPC que vous avez besoin de partager avec votre réseau de pairs.
  • Le sélecteur de trafic local de votre réseau de pairs doit couvrir tous les sous-réseaux sur site que vous avez besoin de partager avec votre réseau VPC.
  • Pour un tunnel VPN donné, il existe les relations suivantes entre les sélecteurs de trafic :
    • Le sélecteur de trafic local Cloud VPN doit correspondre au sélecteur de trafic distant du tunnel sur votre passerelle VPN de pairs.
    • Le sélecteur de trafic distant Cloud VPN doit correspondre au sélecteur de trafic local du tunnel sur votre passerelle VPN de pairs.

Connecter des passerelles VPN classiques et hautes performances

Dans Google Cloud, la création d'un tunnel connectant une passerelle VPN haute disponibilité à une passerelle VPN classique n'est pas disponible. Si vous tentez de créer une ressource externalVpnGateway avec l'adresse IP publique d'une passerelle VPN classique, Google Cloud affiche le message d'erreur suivant :

      You cannot provide an interface with an IP address owned by Google Cloud.
      You can only create tunnels from an HA gateway to an HA gateway
      or create tunnels from an HA gateway to an ExternalVpnGateway.
    

Ce comportement est normal. Une solution consiste à créer un tunnel VPN connectant deux passerelles VPN haute disponibilité distinctes.

Informations de référence relatives au dépannage

Cette section présente la liste des icônes d'état, des messages d'état et des algorithmes de chiffrements IKE compatibles.

Icônes d'état

Cloud VPN utilise les icônes d'état ci-dessous dans Google Cloud Console :

Icône Color Description Messages concernés
Icône verte d'opération réussie
Vert Réussite ÉTABLI
Icône jaune d'avertissement
Jaune Avertissement ALLOCATION DES RESSOURCES, PREMIER HANDSHAKE, EN ATTENTE DE LA CONFIGURATION COMPLÈTE, PROVISIONNEMENT
Icône rouge d'erreur
Red Erreur Tous les autres messages

Messages d'état

Cloud VPN utilise les messages ci-dessous pour indiquer l'état des passerelles et tunnels VPN. Le tunnel VPN est facturé en fonction des états indiqués.

Message Description Tunnel facturé dans cet état ?
ALLOCATION DES RESSOURCES Allocation de ressources pour la configuration du tunnel. Oui
PROVISIONNEMENT Attente de la réception de toutes les configurations pour l'établissement du tunnel. Non
EN ATTENTE DE LA CONFIGURATION COMPLÈTE Réception de la configuration complète. Toutefois, le tunnel n'est pas encore établi. Oui
PREMIER HANDSHAKE Établissement du tunnel. Oui
ÉTABLI Une session de communication sécurisée a été établie. Oui
ERREUR RÉSEAU
(remplacé par le message AUCUN PAQUET ENTRANT)
Autorisation IPsec incorrecte. Oui
ERREUR D'AUTORISATION Échec du handshake. Oui
ÉCHEC DE LA NÉGOCIATION La configuration du tunnel a été refusée. Il a peut-être été mis sur liste noire. Oui
ANNULATION DU PROVISIONNEMENT Le tunnel est en cours d'arrêt. Non
AUCUN PAQUET ENTRANT La passerelle ne reçoit aucun paquet en provenance du VPN sur site. Oui
REFUS La configuration du tunnel a été refusée. Veuillez contacter le service d'assistance. Oui
ARRÊTÉ Le tunnel VPN est arrêté et non actif. Une ou plusieurs règles de transfert requises pour ce tunnel ont peut-être été supprimées. Oui

Présentation de l'algorithme de chiffrement IKE

Les algorithmes de chiffrement IKE suivants sont compatibles avec les VPN classiques et les VPN haute disponibilité. Deux sections sur IKEv2 sont proposées selon que l'algorithme de chiffrement utilise ou non le chiffrement authentifié avec les données associées (AEAD).

Algorithmes de chiffrement IKEv2 avec AEAD

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement et intégrité
  • AES-GCM-8-128
  • AES-GCM-8-192
  • AES-GCM-8-256
  • AES-GCM-12-128
  • AES-GCM-12-192
  • AES-GCM-12-256
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256
Dans cette liste, le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits.

Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits).
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
De nombreux appareils ne requièrent pas de paramètre PRF explicite.
Diffie-Hellman (DH)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Durée de vie de la phase 1 36 000 secondes (10 heures)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement et intégrité
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192
  • AES-GCM-12-128
  • AES-GCM-8-128
La suggestion de Cloud VPN présente ces algorithmes dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Notez que le premier nombre correspond à la taille du paramètre ICV en octets et le second à la longueur de la clé en bits. Dans certains documents, le paramètre ICV (le premier nombre) peut être exprimé en bits plutôt qu'en octets (8 octets deviennent 64 bits, 12 octets deviennent 96 bits et 16 octets deviennent 128 bits).
Algorithme PFS (obligatoire)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Diffie-Hellman (DH) Reportez-vous à la phase 1. Si votre passerelle VPN nécessite des paramètres DH pour la phase 2, copiez les paramètres utilisés pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Algorithmes de chiffrement IKEv2 sans AEAD

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
  • AES-XCBC-96
  • AES-CMAC-96
La suggestion de Cloud VPN présente ces algorithmes de chiffrement symétrique dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Intégrité
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256
La suggestion de Cloud VPN présente ces algorithmes HMAC dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Dans la documentation de votre passerelle VPN sur site, l'algorithme peut être désigné par un nom légèrement différent. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA2-512 ou SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-SHA1
  • PRF-MD5
  • PRF-SHA2-256
  • PRF-SHA2-384
  • PRF-SHA2-512
De nombreux appareils ne requièrent pas de paramètre PRF explicite.
Diffie-Hellman (DH)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Durée de vie de la phase 1 36 000 secondes (10 heures)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement Notes
Chiffrement
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
La suggestion de Cloud VPN présente ces algorithmes de chiffrement symétrique dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Intégrité
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96
La suggestion de Cloud VPN présente ces algorithmes HMAC dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.

Dans la documentation de votre passerelle VPN sur site, l'algorithme peut être désigné par un nom légèrement différent. Par exemple, HMAC-SHA2-512-256 peut être désigné simplement par SHA2-512 ou SHA-512 (sans la longueur de troncature ni les autres informations superflues).
Algorithme PFS (obligatoire)
  • modp_2048 (groupe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (groupe 5)
  • modp_3072 (groupe 15)
  • modp_4096 (groupe 16)
  • modp_8192 (groupe 18)
  • modp_1024 (groupe 2)
  • modp_1024_160 (modp_1024s160)
La suggestion de Cloud VPN présente ces algorithmes d'échange de clés dans l'ordre indiqué. Cloud VPN accepte n'importe quelle suggestion incluant un ou plusieurs de ces algorithmes dans n'importe quel ordre.
Diffie-Hellman (DH) Reportez-vous à la phase 1. Si votre passerelle VPN nécessite des paramètres DH pour la phase 2, copiez les paramètres utilisés pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Algorithmes de chiffrement IKEv1

Phase 1

Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Fonction pseudo-aléatoire (PRF, Pseudo-Random Function) PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (groupe 2)
Durée de vie de la phase 1 36 600 secondes (10 heures, 10 minutes)

Phase 2

Rôle de l'algorithme de chiffrement Algorithme de chiffrement
Chiffrement AES-CBC-128
Intégrité HMAC-SHA1-96
Algorithme PFS (obligatoire) modp_1024 (groupe 2)
Diffie-Hellman (DH) Si vous devez spécifier un paramètre DH pour votre passerelle VPN, copiez le paramètre utilisé pendant la phase 1.
Durée de vie de la phase 2 10 800 secondes (3 heures)

Étape suivante

Informations de dépannage

  • Pour en savoir plus, consultez la documentation de Logging qui explique, entre autres, comment exporter des journaux et comment utiliser les métriques basées sur les journaux pour la surveillance et les alertes.

Informations relatives aux VPN