Fortinet官方網站：
https://www.fortinet.com/

繁體中文官網：
https://www.fortinet.com/tw

產品下載網址：
https://www.fortinet.com/tw/support/product-downloads

一、情境說明
(1)、IDC及DR兩端各有一台Fortigate防火牆，設備韌體均採用6.4.4(1803)，希望透過VPN VXLAN技術，讓分隔兩端的網路形成一個虛擬的L2內網。

(2)、情境架構圖：

(3)、本範例設定過程均採用Conosle模式
(4)、VXLAN該功能只支援FortOS 5.4版本以上，但5.6以上功能較為完善。
(5)、該功能是透過IPSec VPN架構進行，但無法透過加速晶片進行加速，因此如果流量過大，請注意設備等級及效能。
(6)、本範例防火牆相關資訊
Wan interface：wan1
Lan interface：internal1
IDC防火牆Wan端真實IP：192.192.205.1
DR防火牆Wan端真實IP：192.192.209.1
VPN psksecret：0800080080

二、設定步驟
(1)、IDC端的Fortigate設定WAN端IP及預設閘道
指令：
config system interface
edit “wan1”
set vdom “root”
set ip 192.192.205.1 255.255.255.0
set allowaccess ping
set type physical
set role wan
set snmp-index 1
next
end

config router static
edit 1
set gateway 192.192.205.254
set device “wan1”
next
end

(2)、DR端的Fortigate設定WAN端IP及預設閘道
指令：
config system interface
edit “wan1”
set vdom “root”
set ip 192.192.209.1 255.255.255.0
set allowaccess ping
set type physical
set role wan
set snmp-index 1
next
end

config router static
edit 1
set gateway 192.192.209.254
set device “wan1”
next
end

(3)、IDC端的Fortigate建立VXLAN VPN
指令：
config vpn ipsec phase1-interface
edit VXLAN
set interface wan1
set peertype any
set proposal aes256-sha1
set encapsulation vxlan
set encapsulation-address ipv4
set encap-local-gw4 192.192.205.1
set encap-remote-gw4 192.192.209.1
set remote-gw 192.192.209.1
set psksecret 0800080080
next
end

config vpn ipsec phase2-interface
edit VXLAN_ph2
set phase1name VXLAN
set proposal aes256-sha1
set auto-negotiate enable
next
end

(4)、DR端的Fortigate建立VXLAN VPN
指令：
config vpn ipsec phase1-interface
edit VXLAN
set interface wan1
set peertype any
set proposal aes256-sha1
set encapsulation vxlan
set encapsulation-address ipv4
set encap-local-gw4 192.192.209.1
set encap-remote-gw4 192.192.205.1
set remote-gw 192.192.205.1
set psksecret 0800080080
next
end

config vpn ipsec phase2-interface
edit VXLAN_ph2
set phase1name VXLAN
set proposal aes256-sha1
set auto-negotiate enable
next
end

(5)、在IDC及DR兩端的Fortigate設定VPN介面採用L2傳遞模式
指令：
config system interface
edit VXLAN
set l2forward enable
set mtu-override enable
next
end

(6)、在IDC及DR兩端的Fortigate建立虛擬Switch
指令：
config system switch-interface
edit VXLAN-SWITCH
set vdom root
set member internal1 VXLAN
next
end

備註說明：建立完畢虛擬SWITCH後的網頁畫面

(7)、在IDC及DR兩端的Fortigate設定
config system global
set honor-df disable
end
備註說明：
FortiOS does not send back an ICMP “destination unreachable, fragmentation needed and DF set” to the source when an IP packet with the DF bit set and a size greater than the tunnel MTU cannot be forwarded inside the VxLAN-IPsec tunne

三、實測
(1)、在IDC端Fortigate防火牆的internal1接上一台電腦，並把IP設定為192.168.100.1/24。

(2)、在DR端Fortigate防火牆的internal1接上一台電腦，並把IP設定為192.168.100.2/24。

(3)、透過這兩台電腦進行IP互ping的動作(記得關閉電腦上的防火牆限制)，如果可以通那就完成所有設定了。

四、輔助說明
設定過程中需要設定
set l2forward enable
及
set honor-df disable
的參考說明：
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Global-setting-honor-df-explained/ta-p/197002?externalID=FD51964

考慮到在企業使用盡量不增加授權的成本，本篇小編會介紹以Linux環境安裝的方式。

Firewall Analyzer官方網頁介紹：
https://www.manageengine.com/products/firewall/

01、安裝好Linux
安裝步驟可以參考下列文章：
https://ailog.tw/lifelog/2021/05/15/ubuntu-20-install/

02、下載Firewall Analyzer軟體(30天免費授權)
Linux 32位元下載網址：
https://www.manageengine.com/products/firewall/61794333/ManageEngine_FirewallAnalyzer.bin

Linux 64位元下載網址：
https://download.manageengine.com/products/firewall/61794333/ManageEngine_FirewallAnalyzer_64bit.bin

[直接在Linux系統下載檔案]
指令：
sudo wget https://download.manageengine.com/products/firewall/61794333/ManageEngine_FirewallAnalyzer_64bit.bin

03、設定安裝檔成可執行的檔案
sudo chmod 755 ManageEngine_FirewallAnalyzer_64bit.bin

04、安裝Firewall Analyzer軟體
sudo ./ManageEngine_FirewallAnalyzer_64bit.bin

05、同意軟體授權
按下鍵盤「enter」進入同意相關授權步驟

過程持續按鍵盤「enter」

最後按下「Y」接受授權

06、是否註冊技術支援服務
本範例選：N

07、軟體安裝路徑
採用預設安裝路徑，按下Enter即可

08、設定web連線服務Port
本範例採用預設值：8060

09、確認安裝資訊
按下「ENTER」繼續安裝

10、安裝完成畫面

11、將Firewall Analyzer安裝成Service型態
cd /opt/ManageEngine/OpManager/bin
sudo sh linkAsService.sh

12、啟動Firewall Analyzer軟體
sudo systemctl start OpManager.service

13、檢查服務Port是否有啟動
ss -an | grep 8060

14、登入Fortigate防火牆設定log server
透過SSH或Console登入，輸入下令指令：
(1)、啟動syslog並指定傳送到Firewall Analyzer主機上，範例中的192.168.5.243為小編的Firewall Analyzer Server IP，請自行更改為自己相對應的IP。
config log syslogd setting
set status enable
set server 192.168.5.243
set port 1514
end

(2)、設定要傳送什麼loh內容
config log syslogd filter
set severity information
set forward-traffic enable
set local-traffic enable
set anomaly enable

15、透過瀏覽器登入系統
預設帳號：admin
預設密碼：admin

16、點選「Dashboard」→「VPN」即可看到防火牆的VPN相關的狀態

17、查看VPN歷史報表
點選「Reports」 → 「VPN Reports」即可觀看VPN的歷史紀錄

18、變更系統介面語系
(1)、點選右上角齒輪圖示

(2)、選擇左邊的「Language Selector」，接著選擇右邊的「Chinese(Traditional)繁体中文」

(3)、網頁會自動重新整理，接著就可以看到中文網頁了

OpenVPN：CVE-2019-14899
https://securityboulevard.com/2019/12/statement-from-protonvpn-regarding-cve-2019-14899/

Fortigate：CVE-2018-13379 (FG-IR-18-384) 及CVE-2018-13383 (FG-IR-18-388)
https://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=FD46513

CISCO：CVE-2019-12677
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20191002-asa-ssl-vpn-dos

發布日期：2019年5月24日
IR號碼：FG-IR-18-383

影響：
未能清除SSL VPN Web認證畫面中的錯誤或消息處理參數可能允許攻擊者執行跨站點腳本(XSS)攻擊。

受影響的產品：
FortiOS 6.0系列：6.0.0至6.0.4。
FortiOS 5.6系列：5.6.0至5.6.7。
FortiOS 5.4系列：5.4及以下版本。

解決方案：
直接升級到6.2.0或參考下列各版更新資訊。
FortiOS 6.0系列：升級到6.0.5或更高版本。
FortiOS 5.6系列：升級到5.6.8或更高版本。

臨時性方案：
關閉SSL-VPN web認證畫面

原廠說明網址：
https://fortiguard.com/psirt/FG-IR-18-383

本範例使用Fortigate與Google Cloud Platform建立IPSec VPN。

步驟一：準備相關資訊
(1)、Google Cloud Platform平台建立VPN時，所產生的真實IP位址。
(2)、Google Cloud Platform平台建立VPN時，所產生的IKE金鑰。
(3)、Google Cloud Platform平台建立VPN時，選擇區域後的相對內部虛擬網段。
(4)、Fortigate的外部IP位址。
(5)、公司內部IP網段。

步驟二：登入Google Cloud Platform平台建立VPN連線相關設定
(1)、點選「混合式連線」→點選「VPN」

(2)、點選「建立VPN連線」

(3)、點選「傳統VPN」

(4)、輸入VPN相關資訊(phase 1)
名稱：
輸入phase 1連線名稱，不重複即可。

網路：
除非必要不然別更改預設值，直接選default。

地區：
請與VM主機選擇同一區，asia-east1為台灣地區。

IP位址：
請建立真實IP位址，並記錄下該資訊，稍後設定Fortigate VPN時會需要該資訊。

(5)、輸入VPN相關資訊(phase 2)
名稱：
輸入phase 2連線名稱，不重複即可。
遠端對等互連IP位址：輸入Fortigate WAN端真實IP(也就是要進行VPN連線的真實IP)。

IKE版本：
必須與對接的防火牆一致，本版範例選擇IKEv1版本。

IKE預先共用金鑰：
點「選產生並複製」，小編極力推薦用這個步驟用系統來產生金鑰確保金鑰的複雜度，提升資訊安全管控。

遠端網路IP範圍：
輸入要與公司內部網路連線的網段，該範例輸入192.168.0.0/16，這部份請依據自己的需求變更。

本機子網路IP範圍：
除非必要不然別更改預設值，直接選default。

接著點選「完成」→「建立」來完成GCP的VPN設定。

步驟三：登入Fortigate建立VPN連線相關設定
(1)、點選「VPN」→「IPsec隧道」

(2)、輸入VPN相關資訊(phase 1)
用戶名：
輸入phase 1連線名稱，不重複即可。

範本類型：
點選「自訂」

點選「下一步」進行下一步驟

遠程網路閘：
選擇「靜態IP地址」

IP地址：
輸入在步驟二之(4)在GCP平台所產生的真實IP

介面：
選擇Fortigate要進行VPN連線的Wan端介面，該範例為Wan01。

認證方式：
點選「預共享密鑰」

預共享密鑰：
輸入在步驟二之(5)GCP平台所產生的「IKE預先共用金鑰」

IKE：
該選項必須與GCP平台設定一致，本範例選擇「1」

模式：
選擇「主動模式(ID保護)」

phase 1加密：
選擇「AES128」

phase 1認證：
選擇「SHA1」

Diffie-Hellman群組：
點選「2」

密碼週期(秒)：
輸入「36600」

(3)、輸入VPN相關資訊(phase 2)
用戶名：
輸入phase 2連線名稱，不重複即可

本地位址：
輸入要與公司內部網路連線的網段，該範例輸入192.168.0.0/16，這部份請依據自己的需求變更。

遠端地址：
輸入步驟二之(5)GCP平台「本機子網路IP範圍」的IP網段。

phase 2加密：
選擇「AES128」

phase 2認證：
選擇「SHA1」

Diffie-Hellman群組：
點選「2」

自動協商：
勾選

密碼週期(秒)：
輸入「10800」

點選「確定」完成VPN設定

步驟四：新增靜態路由
(1)、點選「網路」→點選「靜態路由」。

(2)、點選「+新建」進行靜態路由新增。

輸入「目的網段」資訊：
該數值則為步驟二之(5)GCP平台「本機子網路IP範圍」的IP網段。

介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

狀態：
已啟用

點選「確定」完成靜態路由設定步驟。

步驟五：設定防火牆政策規則(公司內部網路To GCP內部網路)
(1)、點選「政策&物件」→「IPv4政策」

(2)、點選「+新建」進行防火牆政策規則新增。

用戶名：
輸入不重複的防火牆政策名稱即可。

進入介面：
該介面為公司的內部網路介面，本範例為IDC_LAN。

出去介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

來源：
all，本範例採來源IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定來源IP。

目的：
all，本範例採目的IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定目的IP。

服務：
all，本範例採服務全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定服務項目。

啟動這個政策：
開啟政策

點選「確定」，完成「公司內部網路」連線到「GCP雲端內部網路」的防火牆政策規則設定。

步驟六：設定防火牆政策規則(GCP內部網路 To 公司內部網路)
(1)、點選「政策&物件」→「IPv4政策」

(2)、點選「+新建」進行防火牆政策規則新增。

用戶名：
輸入不重複的防火牆政策名稱即可。

進入介面：
該介面為Fortigate與GCP進行VPN連線的虛擬介面，本範例為GCP-VPN。

出去介面：
該介面為公司的內部網路介面，本範例為IDC_LAN。

來源：
all，本範例採來源IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定來源IP。

目的：
all，本範例採目的IP全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定目的IP。

服務：
all，本範例採服務全面放行，建議在實際的應用勿使用該方式設定，請依據實際需求設定服務項目。

點選「確定」，完成「GCP雲端內部網路」連線到「公司內部網路」的防火牆政策規則設定。

步驟七：檢查VPN連線狀態
點選「VPN」→「IPsec隧道」

如下圖顯示，代表與GCP完成VPN連線。

步驟1：登入FortiGate防火牆設備

步驟2：點選左方功能列裡面的「監測」

步驟3：接著點選「IPSec監視器」

步驟4：接著右方視窗就可以看見目前線上的VPN使用者資訊瞜

那個某某某你根本沒連線厚，別在呼嚨你的主管了，快把業績報告傳進公司系統吧!!!(握拳~)