O IPsec não permite que você faça o GCM e o ESP-SHA256-HMAC na mesma SA. Se você está configurando o GCM - uma criptografia autenticada, você não precisa fazer o HMAC.
A tag de autenticação do GCM já fornece integridade e autenticação de mensagens. Não há necessidade de um cálculo de HMAC para criar outra tag de autenticação.