GCP HA VPN to Fortigate (AUTHENTICATION_FAILED)

Question

我在配置从GCP到Fortigate的站点到站点vpn时遇到问题。

我正在配置一个单通道HA VPN作为在生产环境中构建之前的测试。

我的堡垒在外部防火墙后面，IPSEC vpn配置了NAT。

根据对Fortigate的调试，第一阶段和第二阶段被协商并建立，Fortigate发送AUTH_RESPONSE并从GCP端获得回复AUTHENTICATION_FAILED。

GCP端的状态显示为：

第一次握手。分配资源。VPN通道即将启动。

有没有人知道为什么我会把AUTHENTICATION_FAILED放在GCP这一边？

谢谢杰拉德

Answer 1

由于不知道问题的确切原因，我建议您查看这两个Google Public文档。本link介绍了如何在Fortigate中使用HA VPN，本link是设置指南。在这两个文档中，您应该能够配置身份验证以使用GCP。

Answer 2

是的，这已经是一个相当长时间的known issue了。VPN6.4.6确实添加了一个名为“本地ID”的字段来覆盖默认的IP地址，但不幸的是，incorrectly sets the identity type as FQDN和FortiOS将以此为理由拒绝该会话。我在一年多前向FortiGate报告了这一点，但他们不愿接受这是一个bug，而是说我需要签署一份大合同，然后提出一个功能请求。

目前，唯一的解决方法是为FortiGate提供一个公共IP地址。或者，使用AWS，因为他们会接受私有IP。