Estou tentando configurar o IPSEC GCM - este é o erro que recebo:
Error(s):
'encryption-algorithm aes-256-gcm'
1) HMAC Authentication is not compatible with AES-GCM
2) commit failed: (statements constraint check failed)
to match a CISCO config of the following
Additional VPN changes:
DH group 24 on phase 1
PFS-group 24 on phase 2
AES-256-CBC and SHA 256 on phase 1
AES-256-GCM and SHA 256 on phase 2.
O IPsec não permite que você faça o GCM e o ESP-SHA256-HMAC na mesma SA. Se você está configurando o GCM - uma criptografia autenticada, você não precisa fazer o HMAC.
A tag de autenticação do GCM já fornece integridade e autenticação de mensagens. Não há necessidade de um cálculo de HMAC para criar outra tag de autenticação.
Tags authentication vpn ipsec aes