簡易說明如何使用Fortigate與Google Cloud之間建立 SSLVPN連線,並且擁有備援的效果,此篇針對Fortigate端設定做說明,需要知道GCP端如何設定可參考【GCP】建立Fortigate與GCP的SSLVPN連線-GCP端,這邊僅介紹一個介面的設定,另一個介面設定原理一樣。

STEP 1:啟動VPN設定

 

STEP 2:建立VPN通道

以下名稱可以自定義

  • Name:GCP-HA-VPN-INT0
  • Remote Gateway:選擇設備中需要跟GCP連線的網路連線類型,此處採用的是靜態IP。
  • IP address:對應前篇GCP產生的閘道IP,此處設定 35.242.38.176
  • Interface:選擇設備中需要跟GCP連線的Interface,此處設定WAN1
  • Local Gateway:選擇Primary IP,Fortigate會帶出介面對應的閘道IP,如果環境中有多層架構,則需要調整設定至Specify自行設定IP。(此處須注意,GCP SSLVPN不支援多層NAT連線)
  • NAT Traversal:如果有需要連結到後端的環境需要啟動NAT模式。
  • Dead Peer Detection:連線參數設定,此處設定On Damand模式

  • Authentivation:與GCP VPN連線溝通的共享金鑰, 可自訂,但2邊需一致

  • Phase 1 Proposal:與GCP連線溝通加密驗證演算法協定,可自訂,但需要雙邊均有支援相同協定。
  • Diffie-Hellman Groups:與GCP連線溝通加密DH群組,可自訂,但需要雙邊均有支援相同協定。
  • Key Lifetime:津要溝通存活時間,可自訂,此處設定10800秒。

  • Phase 2 Selectors:與GCP連線溝通加密驗證演算法協定,可自訂,但需要雙邊均有支援相同協定,與Phase 1觀念大同小異。
  • Local Address: 根據需要限定的網段進行設定,不確定可只接設定0.0.0.0/0,原則上需要設定通道的網段與Fortigate內部溝通的網段。
  • Remote Address:根據需要限定的網段進行設定,不確定可只接設定0.0.0.0/0,原則上需要設定通道的網段與GCP內部溝通的網段

 

STEP 3:建立BGP路由

以下名稱可以自定義

  • Local AS:GCP中的BGP需要與Fortigate連線設定對應,不可自行隨便設定,如圖所示,此處設定 65002
  • Neighbors IP:此處須配合前篇GCP SSL VPN的設定進行,不可自行隨便設定,如圖所示,此處設定 169.254.0.5
  • Neighbors Remote AS:此處須配合前篇GCP SSL VPN的設定進行,不可自行隨便設定,如圖所示,此處設定 65001
  • IP/Netmask:如需限定可連線的網段,便可在此處進行設定。

 

STEP 4:建立防火牆連線規則

進出各建立一條跟通道溝通連線的規則,注意NAT設定

 

STEP 5:連線確認

GCP端:2端設定會出現以連線訊息

Fortigate端:會出現進出各有封包狀態

如此便設定完成,GCP端設定可參考【GCP】建立Fortigate與GCP的SSLVPN連線-GCP端

 

STEP 6:設定故障排除

連線無法建立:

  1. 檢查Interface 通道介面是否有啟動
  2. 檢查雙邊交換金鑰密碼是否正確
  3. 檢查防火牆規則是否有設定被阻擋