【 GCP 】建立Fortigate與GCP的SSLVPN HA連線-GCP端

簡易說明如何使用Fortigate與Google Cloud之間建立 SSLVPN連線，並且擁有備援的效果，此篇針對Google Cloud Platform端設定做說明，要知道Fortigate端如何設定可參考此篇【Fortigate】建立Fortigate與GCP的SSLVPN連線-Fortigate端

STEP 1：啟動VPN設定精靈

 

STEP 2：建立高可用性(HA)VPN

 

STEP 3：建立VPN閘道

以下名稱可以自定義

• VPN閘道名稱：xxx-sslvpn-gw
• 網路：在防火牆功能已自定義好的網路區段名稱，預設是Default
• 區域：依據專案定義的區域選擇，此處選擇asia-east1(台灣)

 

STEP 4：建立VPN通道

建立好閘道，系統帶出的2個對外IP需要記錄下來，於Fortigate端設定時會用到

此階段亦須同時建立閘道之間的互聯連線設定，介面設定依據自己的架構規劃決定要如何建置

建立BGP路由協定

• Google ASN：自定義，此處使用65001
• 公告路徑：依據專案需求定義路徑範圍，此處使用公告向Cloud Router公開的所有子網路(預設)

 

STEP 5：建立BGP路由通道

IKEv2：自定義雙方溝通的KEY
名稱：xxx-sslvpn-tunnel-0、xxx-sslvpn-tunnel-1

 

STEP 6：建立BGP路由設定

上方步驟設定好後會出先下方圖示的內容，再來就是將BGP的協定設定就可以

這段較稍微複雜些

• 名稱：自定義，此處定義為 xxx-bgp-0
• 對等ASN：自定義，此處定義為 65002，多點就會有不同的數字

以下須符合網路169.254.0.0/30的定義才會設定成功，不限定一定要使用169.254.0.1，多點的VPN連線ASN與BGP IP定義就會不同

• Cloud Router BGP IP：自定義，此處定義為 169.254.0.1
• BGP對等IP：自定義，此處定義為 169.254.0.2

如此便設定完成，再來就是設進行Fortigate端的設定，接下來可參考【Fortigate】建立Fortigate與GCP的SSLVPN連線-Fortigate端，進行Fortigate端的設定