UniFi UDM Pro уже поддерживает шифрование AES-GCM под капотом, и я успешно использовал это для подключения моего UDM Pro к Microsoft’s Global Secure Access (SSE), который включен в Entra P1. В этой конфигурации весь локальный трафик, предназначенный для облачных сервисов Microsoft, маршрутизируется через Azure VPN Gateway, который автоматически создается при настройке Remote Network в Entra Global Secure Access.

Чтобы это заработало, я настроил UDM Pro со следующими параметрами:

Phase 1 (IKE):
Encryption: AES-256
Integrity: SHA384
DH Group: 24
Lifetime: 28800

Phase 2 (ESP):
Encryption: AES-128
Integrity: SHA256
PFS: unchecked
Lifetime: 3600

После применения этих настроек я подключился к UDM Pro через SSH и изменил файл конфигурации VPN (находится в /etc/ipsec.d/tunnels). Я обновил строку esp до: esp=aes128gcm16!

Затем я перезапустил сервис IPsec командой: ipsec restart

Это включает AES-128-GCM, что требуется для совместимости с конфигурацией Microsoft. Однако любые изменения, внесенные через интерфейс UniFi, перезапишут это ручное редактирование.🔧 Предложение команде UniFi

Поскольку платформа уже поддерживает AES-GCM, было бы очень полезно предоставить эту опцию в интерфейсе конфигурации VPN. Это улучшит совместимость с современными облачными сервисами, такими как Azure, и снизит необходимость в неподдерживаемых ручных изменениях.

Если кто-нибудь из команды UniFi увидит это — или если кто-нибудь сможет перенаправить это нужным инженерам — это будет ценным улучшением для многих пользователей.