簡易說明如何使用Fortigate與Google Cloud之間建立 SSLVPN連線,並且擁有備援的效果,此篇針對Google Cloud Platform端設定做說明,要知道Fortigate端如何設定可參考此篇【Fortigate】建立Fortigate與GCP的SSLVPN連線-Fortigate端
STEP 1:啟動VPN設定精靈
STEP 2:建立高可用性(HA)VPN
STEP 3:建立VPN閘道
以下名稱可以自定義
- VPN閘道名稱:xxx-sslvpn-gw
- 網路:在防火牆功能已自定義好的網路區段名稱,預設是Default
- 區域:依據專案定義的區域選擇,此處選擇asia-east1(台灣)
STEP 4:建立VPN通道
建立好閘道,系統帶出的2個對外IP需要記錄下來,於Fortigate端設定時會用到
此階段亦須同時建立閘道之間的互聯連線設定,介面設定依據自己的架構規劃決定要如何建置
建立BGP路由協定
- Google ASN:自定義,此處使用65001
- 公告路徑:依據專案需求定義路徑範圍,此處使用公告向Cloud Router公開的所有子網路(預設)
STEP 5:建立BGP路由通道
IKEv2:自定義雙方溝通的KEY
名稱:xxx-sslvpn-tunnel-0、xxx-sslvpn-tunnel-1
STEP 6:建立BGP路由設定
上方步驟設定好後會出先下方圖示的內容,再來就是將BGP的協定設定就可以
這段較稍微複雜些
- 名稱:自定義,此處定義為 xxx-bgp-0
- 對等ASN:自定義,此處定義為 65002,多點就會有不同的數字
以下須符合網路169.254.0.0/30的定義才會設定成功,不限定一定要使用169.254.0.1,多點的VPN連線ASN與BGP IP定義就會不同
- Cloud Router BGP IP:自定義,此處定義為 169.254.0.1
- BGP對等IP:自定義,此處定義為 169.254.0.2
如此便設定完成,再來就是設進行Fortigate端的設定,接下來可參考【Fortigate】建立Fortigate與GCP的SSLVPN連線-Fortigate端,進行Fortigate端的設定