Parece que você está enfrentando um problema descrito na documentação da vpn :
Associações de segurança e várias sub-redes
O Cloud VPN cria uma única associação de segurança filho (SA) anunciando todos os blocos CIDR associados ao túnel. Alguns dispositivos de mesmo nível do IKEv2 suportam esse comportamento, e alguns suportam apenas a criação de uma SA filha exclusiva para cada bloco do CIDR. Com estes últimos dispositivos, os túneis com múltiplos blocos CIDR podem falhar em estabelecer.
Existem várias soluções alternativas para este problema:
- Use o Cloud Router para criar rotas negociadas por BGP. Com esta configuração, os CIDRs não são negociados no protocolo IKE.
- Configure o dispositivo de mesmo nível para ter vários CIDRs no mesmo SA filho. Apenas alguns dispositivos suportam isso, e isso só é possível no IKEv2.
- Se possível, agregue os CIDRs em um único CIDR maior.
- Crie um túnel separado para cada bloco CIDR. Se necessário, você pode criar vários gateways da VPN para essa finalidade.
Eu encontrei o mesmo problema muito recentemente tentando se conectar a um par com 2 endereços IP únicos / 32 para a rede remota. Consegui mesclar os 2 IPs em um único bloco / 31 CIDR e isso funcionou.
Dito isso, com dois / 24s e um / 32, não sei se mesclá-los em um único bloco CIDR é realista. Você já está fazendo a opção 4 como solução alternativa. Se você estiver usando o IKEv1, bloqueando qualquer coisa com o Cloud Router (que recentemente passou de Alfa para Beta), isso pode ser o melhor que você pode fazer agora.