本範例使用Fortigate與Google Cloud Platform建立IPSec VPN。

步驟一：準備相關資訊
(1)、Google Cloud Platform平台建立VPN時，所產生的真實IP位址。
(2)、Google Cloud Platform平台建立VPN時，所產生的IKE金鑰。
(3)、Google Cloud Platform平台建立VPN時，選擇區域後的相對內部虛擬網段。
(4)、Fortigate的外部IP位址。
(5)、公司內部IP網段。

步驟二：登入Google Cloud Platform平台建立VPN連線相關設定
(1)、點選「混合式連線」→點選「VPN」

(2)、點選「建立VPN連線」

(3)、點選「傳統VPN」

(4)、輸入VPN相關資訊(phase 1)
名稱：
輸入phase 1連線名稱，不重複即可。

網路：
除非必要不然別更改預設值，直接選default。

地區：
請與VM主機選擇同一區，asia-east1為台灣地區。

IP位址：
請建立真實IP位址，並記錄下該資訊，稍後設定Fortigate VPN時會需要該資訊。

(5)、輸入VPN相關資訊(phase 2)
名稱：
輸入phase 2連線名稱，不重複即可。
遠端對等互連IP位址：輸入Fortigate WAN端真實IP(也就是要進行VPN連線的真實IP)。

IKE版本：
必須與對接的防火牆一致，本版範例選擇IKEv1版本。

IKE預先共用金鑰：
點「選產生並複製」，小編極力推薦用這個步驟用系統來產生金鑰確保金鑰的複雜度，提升資訊安全管控。

遠端網路IP範圍：
輸入要與公司內部網路連線的網段，該範例輸入192.168.0.0/16，這部份請依據自己的需求變更。

本機子網路IP範圍：
除非必要不然別更改預設值，直接選default。

接著點選「完成」→「建立」來完成GCP的VPN設定。

步驟三：登入Fortigate建立VPN連線相關設定
(1)、點選「VPN」→「IPsec隧道」

(2)、輸入VPN相關資訊(phase 1)
用戶名：
輸入phase 1連線名稱，不重複即可。

範本類型：
點選「自訂」

點選「下一步」進行下一步驟

遠程網路閘：
選擇「靜態IP地址」

IP地址：
輸入在步驟二之(4)在GCP平台所產生的真實IP

介面：
選擇Fortigate要進行VPN連線的Wan端介面，該範例為Wan01。

認證方式：
點選「預共享密鑰」

預共享密鑰：
輸入在步驟二之(5)GCP平台所產生的「IKE預先共用金鑰」

IKE：
該選項必須與GCP平台設定一致，本範例選擇「1」

模式：
選擇「主動模式(ID保護)」

phase 1加密：
選擇「AES128」

phase 1認證：
選擇「SHA1」

Diffie-Hellman群組：
點選「2」

密碼週期(秒)：
輸入「36600」

(3)、輸入VPN相關資訊(phase 2)
用戶名：
輸入phase 2連線名稱，不重複即可

本地位址：
輸入要與公司內部網路連線的網段，該範例輸入192.168.0.0/16，這部份請依據自己的需求變更。

遠端地址：
輸入步驟二之(5)GCP平台「本機子網路IP範圍」的IP網段。

phase 2加密：
選擇「AES128」

phase 2認證：
選擇「SHA1」

Diffie-Hellman群組：
點選「2」

自動協商：
勾選

密碼週期(秒)：
輸入「10800」

點選「確定」完成VPN設定

步驟四：新增靜態路由
(1)、點選「網路」→點選「靜態路由」。

(2)、點選「+新建」進行靜態路由新增。

輸入「目的網段」資訊：
該數值則為步驟二之(5)GCP平台「本機子網路IP範圍」的IP網段。

介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

狀態：
已啟用

點選「確定」完成靜態路由設定步驟。

步驟五：設定防火牆政策規則(公司內部網路To GCP內部網路)
(1)、點選「政策&物件」→「IPv4政策」

(2)、點選「+新建」進行防火牆政策規則新增。

用戶名：
輸入不重複的防火牆政策名稱即可。

進入介面：
該介面為公司的內部網路介面，本範例為IDC_LAN。

出去介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

來源：
all，本範例採來源IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定來源IP。

目的：
all，本範例採目的IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定目的IP。

服務：
all，本範例採服務全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定服務項目。

啟動這個政策：
開啟政策

點選「確定」，完成「公司內部網路」連線到「GCP雲端內部網路」的防火牆政策規則設定。

步驟六：設定防火牆政策規則(GCP內部網路 To 公司內部網路)
(1)、點選「政策&物件」→「IPv4政策」

(2)、點選「+新建」進行防火牆政策規則新增。

用戶名：
輸入不重複的防火牆政策名稱即可。

進入介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

出去介面：
該介面為公司的內部網路介面，本範例為IDC_LAN。

來源：
all，本範例採來源IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定來源IP。

目的：
all，本範例採目的IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定目的IP。

服務：
all，本範例採服務全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定服務項目。

點選「確定」，完成「GCP雲端內部網路」連線到「公司內部網路」的防火牆政策規則設定。

步驟七：檢查VPN連線狀態
點選「VPN」→「IPsec隧道」

如下圖顯示，代表與GCP完成VPN連線。

台灣
asia-east1

香港
asia-east2

日本東京
asia-northeast1

日本大阪
asia-northeast2

新加坡
asia-southeast1

印度孟買
asia-south1

澳大利亞悉尼
australia-southeast1

美國俄勒岡
us-west1

美國加利福尼亞
us-west2

美國愛荷華
us-central1

美國南卡羅來納
us-east1

美國北弗吉尼亞
us-east4

加拿大蒙特利爾
northamerica-northeast1

芬蘭
europe-north1

比利時
europe-west1

英國
europe-west2

德國
europe-west3

荷蘭
europe-west4

瑞士
europe-west6

巴西聖保羅
southamerica-east1