参考にした記事
"RTX1210 で GCP VPN + 2リージョン AD 構成 そして誰もいなくなった
このサイトの通りに設定すればうまくいきます。
1200も1210も今のところは区別はないと思います。
設定例
tunnel select 5
ipsec tunnel 101
ipsec sa policy 101 5 esp aes-cbc sha-hmac
ipsec ike version 5 2
ipsec ike always-on 5 on
ipsec ike encryption 5 aes-cbc
ipsec ike group 5 modp1024
ipsec ike hash 5 sha
ipsec ike keepalive log 5 on
ipsec ike keepalive use 5 on icmp-echo 192.168.200.101 #GCEのping用ホスト
ipsec ike local address 5 192.168.100.1 #ローカルのIP
ipsec ike local name 5 8.8.8.8 ipv4-addr #ルーターのグローバルIP
ipsec ike nat-traversal 5 on
ipsec ike pfs 5 on
ipsec ike pre-shared-key 5 text presharedkey #共有キー(18.4 事前共有鍵の登録)
ipsec ike remote address 5 8.8.4.4 #GCPで予約したVPN用のグローバルIP
ipsec ike remote name 5 8.8.4.4 ipv4-addr #GCPで予約したVPN用のグローバルIP
ipsec auto refresh 5 on
ip tunnel tcp mss limit auto
tunnel enable 5
特殊は使い方でもしていなければ、natはしているはずなので、
nat-traversalはonになるかと思います。
うまくいかないときは
syslog debug onにしてみましょう。
show log rev | grep IKE2
でIKE2がなにかエラーになっているはずですので、
上記の設定から外れてないかチェックします。
はまった点
以下、私がはまった点を共有します。
Syslogに「AUTH cannot accept IDr payload」
上記のipsec ike local name 5 8.8.8.8 ipv4-addrにローカルのIPを記載していた。
NATを忘れてつながらない
nat descriptor masquerade static 1 1 192.168.100.1 udp 500
nat descriptor masquerade static 1 2 192.168.100.1 esp
nat descriptor masquerade static 1 3 192.168.100.1 udp 4500 #なくてもつながりましたが、念のため
keepalive
icmp-echo以外は接続できているようでも接続が切れてしまいました。
それもまだ日を経ってテストしていないので、微妙です。
補足
RTX1200のバージョンはRTX1200 Rev.10.01.65です。