簡易說明如何使用Fortigate與Google Cloud之間建立 SSLVPN連線,並且擁有備援的效果,此篇針對Google Cloud Platform端設定做說明,要知道Fortigate端如何設定可參考此篇【Fortigate】建立Fortigate與GCP的SSLVPN連線-Fortigate端

STEP 1:啟動VPN設定精靈

 

STEP 2:建立高可用性(HA)VPN

 

STEP 3:建立VPN閘道

以下名稱可以自定義

  • VPN閘道名稱:xxx-sslvpn-gw
  • 網路:在防火牆功能已自定義好的網路區段名稱,預設是Default
  • 區域:依據專案定義的區域選擇,此處選擇asia-east1(台灣)

 

STEP 4:建立VPN通道

建立好閘道,系統帶出的2個對外IP需要記錄下來,於Fortigate端設定時會用到

此階段亦須同時建立閘道之間的互聯連線設定,介面設定依據自己的架構規劃決定要如何建置

建立BGP路由協定

  • Google ASN:自定義,此處使用65001
  • 公告路徑:依據專案需求定義路徑範圍,此處使用公告向Cloud Router公開的所有子網路(預設)

 

STEP 5:建立BGP路由通道

IKEv2:自定義雙方溝通的KEY
名稱:xxx-sslvpn-tunnel-0、xxx-sslvpn-tunnel-1

 

STEP 6:建立BGP路由設定

上方步驟設定好後會出先下方圖示的內容,再來就是將BGP的協定設定就可以

這段較稍微複雜些

  • 名稱:自定義,此處定義為 xxx-bgp-0
  • 對等ASN:自定義,此處定義為 65002,多點就會有不同的數字

以下須符合網路169.254.0.0/30的定義才會設定成功,不限定一定要使用169.254.0.1,多點的VPN連線ASN與BGP IP定義就會不同

  • Cloud Router BGP IP:自定義,此處定義為 169.254.0.1
  • BGP對等IP:自定義,此處定義為 169.254.0.2


如此便設定完成,再來就是設進行Fortigate端的設定,接下來可參考【Fortigate】建立Fortigate與GCP的SSLVPN連線-Fortigate端,進行Fortigate端的設定