IPsec не позволяет вам выполнять и GCM, и ESP-SHA256-HMAC в одной и той же SA. Если вы настраиваете GCM - аутентифицированный шифр, вам не нужно выполнять HMAC.
Тег аутентификации GCM уже обеспечивает целостность сообщения и аутентификацию. Нет необходимости в вычислении HMAC для создания другого тега аутентификации.