Unterstützte IKE-Chiffren

Cloud VPN unterstützt die folgenden Chiffren und Konfigurationsparameter für Peer-VPN-Geräte oder VPN-Dienste. Cloud VPN handelt die Verbindung automatisch aus, solange auf der Peer-Seite eine unterstützte IKE-Chiffreeinstellung (Internet Key Exchange) verwendet wird.

Eine Konfigurationsanleitung finden Sie unter Peer-VPN-Gateway konfigurieren.

Cloud VPN wird im IPSec-ESP-Tunnelmodus ausgeführt.

Die folgenden IKE-Chiffren werden für klassisches VPN und HA VPN unterstützt.

Die Unterstützung von IPv6-Adressen für HA VPN-Gateway-Schnittstellen befindet sich in der Vorabversion.

Angebot für einen Auftrag

Cloud VPN kann je nach Ursprung des Traffics als Initiator oder Antwortdienst für IKE-Anfragen fungieren, wenn eine neue Sicherheitsverknüpfung (SA) benötigt wird.

Wenn Cloud VPN eine VPN-Verbindung initiiert, schlägt Cloud VPN die Algorithmen für jede Chiffrerolle in der Reihenfolge vor, die in den unterstützten Chiffretabellen angezeigt wird. Die Peer-Seite, die das Angebot empfängt, wählt einen Algorithmus aus.

Wenn die Peer-Seite die Verbindung initiiert, wählt Cloud VPN eine Chiffre aus dem Vorschlag aus. Dazu verwendet sie für jede Chiffrerolle die gleiche Reihenfolge wie in der Tabelle.

Je nachdem, welche Seite Initiator oder Antwortender ist, kann die gewählte Chiffre unterschiedlich sein. Beispielsweise kann sich die ausgewählte Chiffre im Laufe der Zeit ändern, wenn neue Sicherheitsverknüpfungen (Security Associations, SAs) während der Schlüsselrotation erstellt werden. Da eine Änderung der Chiffreauswahl Auswirkungen auf wichtige Tunneleigenschaften wie Leistung oder MTU haben kann, muss Ihre Chiffreauswahl stabil sein. Weitere Informationen zu MTU finden Sie unter Überlegungen: MTU.

Um häufige Änderungen bei der Chiffreauswahl zu verhindern, konfigurieren Sie Ihr Peer-VPN-Gateway so, dass nur eine Chiffre für jede Chiffrerolle vorgeschlagen und akzeptiert wird. Diese Chiffre muss von Cloud VPN und Ihrem Peer-VPN-Gateway unterstützt werden. Geben Sie nicht für jede Chiffrerolle eine Liste von Chiffren an. Mit dieser Best Practice wird sichergestellt, dass beide Seiten Ihres Cloud VPN-Tunnels während der IKE-Verhandlung immer dieselbe IKE-Chiffre auswählen.

Konfigurieren Sie für HA VPN-Tunnelpaare beide HA VPN-Tunnel auf Ihrem Peer-VPN-Gateway so, dass dieselben Lebensdauerwerte und IKE-Phase 2-Werte verwendet werden.

IKE-Fragmentierung

Cloud VPN unterstützt die IKE-Fragmentierung gemäß dem IKEv2-Fragmentierungsprotokoll (RFC 7383).

Für optimale Ergebnisse empfiehlt Google, die IKE-Fragmentierung auf Ihrem Peer-VPN-Gerät zu aktivieren, falls dies noch nicht geschehen ist.

Wenn die IKE-Fragmentierung nicht aktiviert ist, werden IKE-Pakete von Google Cloud an das Peer-VPN-Gerät, die größer als die MTU des Gateways sind, verworfen.

Einige IKE-Nachrichten können nicht fragmentiert werden, darunter die folgenden:

  • IKE_SA_INIT
  • IKE_SESSION_RESUME

Weitere Informationen finden Sie im Abschnitt „Limitations“ (Einschränkungen) von RFC 7383.

Unterstützte Chiffretabellen

In den folgenden Abschnitten werden die für Cloud VPN unterstützten Chiffren aufgeführt.

IKEv2-Chiffren, die AEAD verwenden

Die folgenden Chiffren verwenden authentifizierte Verschlüsselung mit zugehörigen Daten (Authenticated Encryption with Associated Data, AEAD).

Phase 1

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung und Integrität
  • AES-GCM-16-128
  • AES-GCM-16-192
  • AES-GCM-16-256

In dieser Liste ist die erste Zahl die Größe des ICV-Parameters in Byte (Oktetts) und die zweite die Schlüssellänge in Bits.

In einigen Dokumenten wird der ICV-Parameter (die erste Zahl) in Bits angegeben. Aus 8 wird dann 64, aus 12 wird 96 und aus 16 wird 128.

Pseudozufallsfunktion (PRF)
  • PRF-AES128-XCBC
  • PRF-AES128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Auf vielen Geräten ist keine explizite PRF-Einstellung erforderlich.
Diffie-Hellman (DH)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18) *
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Gruppe 19)
  • ecp_384 (Gruppe 20)
  • ecp_521 (Gruppe 21)
  • curve_25519 (Gruppe 31)
* Die Chiffre „modp_8192“ wird für HA VPN-Gateways mit IPv6-Schnittstellen (gatewayIpVersion=IPv6) nicht unterstützt.
Lifetime Phase 1 36.000 Sekunden (10 Stunden)

Phase 2

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung und Integrität
  • AES-GCM-16-128
  • AES-GCM-16-256
  • AES-GCM-16-192

Die erste Zahl in jedem Algorithmus ist die Größe des ICV-Parameters in Byte (Oktetts) und die zweite die Schlüssellänge in Bit ist. In einigen Dokumenten wird der ICV-Parameter (die erste Zahl) in Bit angegeben. Aus 8 wird dann 64, aus 12 wird 96 und aus 16 wird 128.

PFS-Algorithmus (erforderlich)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18) *
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Gruppe 19)
  • ecp_384 (Gruppe 20)
  • ecp_521 (Gruppe 21)
  • curve_25519 (Gruppe 31)
* Die Chiffre „modp_8192“ wird für HA VPN-Gateways mit IPv6-Schnittstellen (gatewayIpVersion=IPv6) nicht unterstützt.
Diffie-Hellman (DH) Siehe Phase 1. Wenn für Ihr VPN-Gateway DH-Einstellungen für Phase 2 erforderlich sind, verwenden Sie dieselben Einstellungen wie für Phase 1.
Lifetime Phase 2 10.800 Sekunden (3 Stunden)

IKEv2-Chiffren, die AEAD nicht verwenden

Phase 1

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung
  • AES-CBC-128
  • AES-CBC-192
  • AES-CBC-256
  • 3DES-CBC
Integrität
  • AES-XCBC-96
  • AES-CMAC-96
  • HMAC-SHA1-96
  • HMAC-MD5-96
  • HMAC-SHA2-256-128
  • HMAC-SHA2-384-192
  • HMAC-SHA2-512-256

Die Dokumentation für Ihr lokales VPN-Gateway verwendet möglicherweise einen etwas anderen Namen für den Algorithmus. Beispiel: HMAC-SHA2-512-256 wird möglicherweise als SHA2-512 oder SHA-512 bezeichnet, ohne die Zahl für die Verkürzung und sonstige Zusatzinformationen anzugeben.

Pseudozufallsfunktion (PRF)
  • PRF-AES-128-XCBC
  • PRF-AES-128-CMAC
  • PRF-HMAC-SHA1
  • PRF-HMAC-MD5
  • PRF-HMAC-SHA2-256
  • PRF-HMAC-SHA2-384
  • PRF-HMAC-SHA2-512
Auf vielen Geräten ist keine explizite PRF-Einstellung erforderlich.
Diffie-Hellman (DH)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18) *
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Gruppe 19)
  • ecp_384 (Gruppe 20)
  • ecp_521 (Gruppe 21)
  • curve_25519 (Gruppe 31)
* Die Chiffre „modp_8192“ wird für HA VPN-Gateways mit IPv6-Schnittstellen (gatewayIpVersion=IPv6) nicht unterstützt.
Lifetime Phase 1 36.000 Sekunden (10 Stunden)

Phase 2

Verschlüsselungszweck Cipher Hinweise
Verschlüsselung
  • AES-CBC-128
  • AES-CBC-256
  • AES-CBC-192
Integrität
  • HMAC-SHA2-256-128
  • HMAC-SHA2-512-256
  • HMAC-SHA1-96

Die Dokumentation für Ihr lokales VPN-Gateway verwendet möglicherweise einen etwas anderen Namen für den Algorithmus. Beispiel: HMAC-SHA2-512-256 wird möglicherweise nur als SHA2-512 oder SHA-512 bezeichnet, ohne die Zahl für die Verkürzung und sonstige Zusatzinformationen anzugeben.

PFS-Algorithmus (erforderlich)
  • modp_2048 (Gruppe 14)
  • modp_2048_224 (modp_2048s224)
  • modp_2048_256 (modp_2048s256)
  • modp_1536 (Gruppe 5)
  • modp_3072 (Gruppe 15)
  • modp_4096 (Gruppe 16)
  • modp_8192 (Gruppe 18) *
  • modp_1024 (Gruppe 2)
  • modp_1024_160 (modp_1024s160)
  • ecp_256 (Gruppe 19)
  • ecp_384 (Gruppe 20)
  • ecp_521 (Gruppe 21)
  • curve_25519 (Gruppe 31)
* Die Chiffre „modp_8192“ wird für HA VPN-Gateways mit IPv6-Schnittstellen (gatewayIpVersion=IPv6) nicht unterstützt.
Diffie-Hellman (DH) Siehe Phase 1. Wenn für Ihr VPN-Gateway DH-Einstellungen für Phase 2 erforderlich sind, verwenden Sie dieselben Einstellungen wie für Phase 1.
Lifetime Phase 2 10.800 Sekunden (3 Stunden)

IKEv1-Chiffren

Phase 1

Verschlüsselungszweck Cipher
Verschlüsselung AES-CBC-128
Integrität HMAC-SHA1-96
Pseudozufallsfunktion (PRF)* PRF-SHA1-96
Diffie-Hellman (DH) modp_1024 (Gruppe 2)
Lifetime Phase 1 36.600 Sekunden (10 Stunden, 10 Minuten)

* Weitere Informationen zu PRF in IKEv1 finden Sie unter RFC 2409.

Phase 2

Verschlüsselungszweck Cipher
Verschlüsselung AES-CBC-128
Integrität HMAC-SHA1-96
PFS-Algorithmus (erforderlich) modp_1024 (Gruppe 2)
Diffie-Hellman (DH) Wenn Sie DH für Ihr VPN-Gateway angeben müssen, verwenden Sie dieselbe Einstellung wie für Phase 1.
Lifetime Phase 2 10.800 Sekunden (3 Stunden)

Nächste Schritte

  • Weitere Informationen zu den grundlegenden Konzepten von Cloud VPN finden Sie unter Cloud VPN – Übersicht.
  • Informationen zur Behebung häufiger Probleme bei der Verwendung von Cloud VPN finden Sie unter Fehlerbehebung.