簡易說明如何使用Fortigate與Google Cloud之間建立 SSLVPN連線,並且擁有備援的效果,此篇針對Fortigate端設定做說明,需要知道GCP端如何設定可參考【GCP】建立Fortigate與GCP的SSLVPN連線-GCP端,這邊僅介紹一個介面的設定,另一個介面設定原理一樣。
STEP 1:啟動VPN設定
STEP 2:建立VPN通道
以下名稱可以自定義
- Name:GCP-HA-VPN-INT0
- Remote Gateway:選擇設備中需要跟GCP連線的網路連線類型,此處採用的是靜態IP。
- IP address:對應前篇GCP產生的閘道IP,此處設定 35.242.38.176。
- Interface:選擇設備中需要跟GCP連線的Interface,此處設定WAN1。
- Local Gateway:選擇Primary IP,Fortigate會帶出介面對應的閘道IP,如果環境中有多層架構,則需要調整設定至Specify自行設定IP。(此處須注意,GCP SSLVPN不支援多層NAT連線)
- NAT Traversal:如果有需要連結到後端的環境需要啟動NAT模式。
- Dead Peer Detection:連線參數設定,此處設定On Damand模式
- Authentivation:與GCP VPN連線溝通的共享金鑰, 可自訂,但2邊需一致。
- Phase 1 Proposal:與GCP連線溝通加密驗證演算法協定,可自訂,但需要雙邊均有支援相同協定。
- Diffie-Hellman Groups:與GCP連線溝通加密DH群組,可自訂,但需要雙邊均有支援相同協定。
- Key Lifetime:津要溝通存活時間,可自訂,此處設定10800秒。
- Phase 2 Selectors:與GCP連線溝通加密驗證演算法協定,可自訂,但需要雙邊均有支援相同協定,與Phase 1觀念大同小異。
- Local Address: 根據需要限定的網段進行設定,不確定可只接設定0.0.0.0/0,原則上需要設定通道的網段與Fortigate內部溝通的網段。
- Remote Address:根據需要限定的網段進行設定,不確定可只接設定0.0.0.0/0,原則上需要設定通道的網段與GCP內部溝通的網段
STEP 3:建立BGP路由
以下名稱可以自定義
- Local AS:GCP中的BGP需要與Fortigate連線設定對應,不可自行隨便設定,如圖所示,此處設定 65002
- Neighbors IP:此處須配合前篇GCP SSL VPN的設定進行,不可自行隨便設定,如圖所示,此處設定 169.254.0.5
- Neighbors Remote AS:此處須配合前篇GCP SSL VPN的設定進行,不可自行隨便設定,如圖所示,此處設定 65001
- IP/Netmask:如需限定可連線的網段,便可在此處進行設定。
STEP 4:建立防火牆連線規則
進出各建立一條跟通道溝通連線的規則,注意NAT設定
STEP 5:連線確認
GCP端:2端設定會出現以連線訊息
Fortigate端:會出現進出各有封包狀態
如此便設定完成,GCP端設定可參考【GCP】建立Fortigate與GCP的SSLVPN連線-GCP端
STEP 6:設定故障排除
連線無法建立:
- 檢查Interface 通道介面是否有啟動
- 檢查雙邊交換金鑰密碼是否正確
- 檢查防火牆規則是否有設定被阻擋