Fortigate 與 ZyXEL 防火牆之間使用固定 IP 建立 Site to Site IPSec VPN

本次範例示範在 Fortinet Fortigate FG-200E 與 ZyXEL USG110 防火牆之間使用固定 IP 建立 Site to Site IPSec VPN，範例中將會跳過登入防火牆的步驟，請先登入防火牆後，再開始本文操作。

1. 登入 Fortigate 防火牆後，先點擊"VPN"，再點擊"IPSec Wizard"，於 VPN Creation Wizard 頁面的 VPN Setup 步驟先填入"Name"後，Template Type 選擇 "Site to Site"，Remote Device Type 選擇 "Fortigate"，NAT Configuration 選擇 "No NAT between site"，完成後點擊"Next"。

2. 進入 Authentication 步驟後，Remote Device 選擇"IP Address"，IP Address 填入遠端 ZyXEL 防火牆的外部固定 IP，Outgoing Interface 選擇接入 Fortigate 的外部連線埠，Authentication Method 選擇"Pro-shared Key"，Pre-shared Key 欄位填入自訂的密鑰，完成後點擊"Next"。

3. 進入 Policy & Routing 步驟後，Local Interface 選擇 Fortigate 內網的連線埠，Local Subnets 欄位填入 Fortigate 內網想要連線 VPN 的網域 IP 及遮罩，Remote Subnets 欄位填入遠端 ZyXEL 防火牆內網想要連線 VPN 的網域 IP 及遮罩，完成後點擊"Create"。

4. 點擊"IPSec Tunnels"進入 IPSec Tunnels 列表，先點選剛剛建立的 VPN 規則，然後點擊上方的"Edit"。

5. 進入 Edit VPN Tunnel 頁面後，點擊上方的"Convert To Custom Tunnel"。

6. 紀錄以下數值：IKE Version : 1、Mode : Main、Phase 1 Proposal 的加密方式，DH Group 的號碼，以及 Key Lifetime 的秒數，紀錄完成後點擊 Phase 2 Selectors 的編輯。

7. 點擊"Advanced…"後展開加密選項，紀錄以下數值：Phase 2 Proposal 的加密方式，DH Group 的號碼，以及 Key Lifetime 的秒數，紀錄完成後點擊 "Cancel" 退出編輯。

8. 進入 ZyXEL 防火牆的頁面後，點擊"設定"圖標，點擊"VPN"，點擊"IPSec VPN"，標籤頁點擊"VPN閘道器"，點擊"新增"開啟 VPN 閘道器設定頁面，先點擊"顯示進階設定"，於一般設定中勾選"啟用"並於 VPN 閘道器名稱欄位中填入自訂的名稱，IKE 版本維持 IKEv1，"我的位址"的"介面"中選擇將會跟 Fortigate 互連的外網埠，於"對等閘道位置"的"靜態位置"填入 Fortigate 用來連線 VPN 的外網固定 IP，完成後頁面繼續向下。

9. "認證"的"預先共用金鑰"填入剛剛在 Fortigate 建立的 Pre-shared Key 密鑰，本機 ID 與對等裝置 ID 維持如圖的設定，"階段 1 設定"的"SA 存留時間"設定與 Fortigate 的 Phase 1 Proposal 的 Key Lifetime 秒數相同，"協商模式"與 Phase 1 Proposal 的 Mode 相同，"Advance"的"提議"裡的加密與認證選擇 Fortigate 剛剛記錄下的 Phase 1 Proposal 的任一種加密方式相同即可，"金鑰群組"選擇與 Phase 1 Proposal 的 DH Group 相同，完成後點擊"OK"。

10. 完成"VPN 閘道器"設定後，點擊"VPN連線"標籤頁，點擊"新增"開啟設定頁面，先點擊"顯示進階設定"。

11. 於一般設定中勾選"啟用"並於"連線名稱"欄位中填入自訂的名稱，"Advance"中勾選"固定"，"VPN 閘道器"選擇剛剛建立的 VPN 閘道器，"策略"中的"本機策略"選擇想要與 Fortigate 連線的本地端子網路，"遠端策略"選擇 Fortigate 要互連的子網路(這部分可以由上方"建立新物件")，"階段 2 設定"的"SA 存留時間"設定與 Fortigate 的 Phase 2 Proposal 的 Key Lifetime 秒數相同，"Advance"的"提議"裡的加密與認證選擇 Fortigate 剛剛記錄下的 Phase 2 Proposal 的任一種加密方式相同即可，"金鑰群組"選擇與 Phase 2 Proposal 的 DH Group 相同，完成後點擊"OK"。