在兩台 Fortigate v7 防火牆之間建立 IPSec Site to Site VPN (圖文說明)

本文示範在兩台 Fortigate 防火牆之間透過手動方式建立 IPSec Site to Site VPN ( 點對點 VPN )，透過手動建置 Site to Site VPN 的好處是設定能夠更簡潔，不會建立多餘的物件，也更方便後續維護操作。

環境：

[站點A] Fortigate 60F，韌體 v7.2.2，網段 192.168.16.0 / 255.255.252.0。

[站點B] Fortigate 80E，韌體 v7.2.2，網段 192.168.15.0 / 255.255.255.0。

[站點A] 先建立 VPN 通道，[VPN] > [ IPSec 精靈]，輸入名稱後選擇 [自訂]。

[站點A] 建立 Phase 1 (階段一) 設定，填入對象外網固定 IP，認證使用共享密鑰，填入密鑰，其餘部分不改，因為另一台也是 Fortigate，預設值是相同的。

[站點A] 向下拉，建立 Phase 2 (階段二) 設定，填入名稱、本地端與對象的網段資料，其餘部分不改，因為另一台也是 Fortigate，預設值是相同的。

[站點A] 這樣完成站點 A 的 VPN 通道設定。

[站點B] 建立 VPN 通道，[ VPN ] > [ IPSec 通道 ] > [ +新增 ] > [ IPSec 通道 ]。

[站點B] VPN 新增精靈，輸入名稱後選擇 [自訂]。

[站點B] 建立 Phase 1 (階段一) 設定，填入對象外網固定 IP，認證使用共享密鑰，填入密鑰，其餘部分不改，因為另一台也是 Fortigate，預設值是相同的。

[站點B] 向下拉，建立 Phase 2 (階段二) 設定，填入名稱、本地端與對象的網段資料，其餘部分不改，因為另一台也是 Fortigate，預設值是相同的。

[站點A] 回到站點 A 設定靜態路由，[網路] > [靜態路由] > [+新增]，填入站點 B 的子網路資料，介面選擇剛剛建立的 VPN 通道。

[站點B] 到站點 B 設定靜態路由，[網路] > [靜態路由] > [+新增]，填入站點 A 的子網路資料，介面選擇剛剛建立的 VPN 通道。

[站點A] 回到站點 A 設定防火牆政策，這條要允許站點 A 至 站點 B，[政策&物件] > [防火牆政策] > [+新增]，填入名稱、進入介面選擇內網物件、離開介面選擇剛剛建立的 VPN 通道；來源、目的、服務都選 ALL 就可以了。

[站點A] 站點 A 的第二條防火牆政策，這條要允許站點 B 至 站點 A，[政策&物件] > [防火牆政策] > [+新增]，填入名稱、進入介面選擇剛剛建立的 VPN 通道、離開介面選擇內網物件；來源、目的、服務都選 ALL 就可以了。

[站點B] 再到站點 B 設定防火牆政策，這條要允許站點 B 至 站點 A，[政策&物件] > [防火牆政策] > [+新增]，填入名稱、進入介面選擇內網物件、離開介面選擇剛剛建立的 VPN 通道；來源、目的、服務都選 ALL 就可以了。

[站點B] 站點 B 的第二條防火牆政策，這條要允許站點 A 至 站點 B，[政策&物件] > [防火牆政策] > [+新增]，填入名稱、進入介面選擇剛剛建立的 VPN 通道、離開介面選擇內網物件；來源、目的、服務都選 ALL 就可以了。

完成上面動作後，站點 A 與 站點 B 之間就可以互相通訊了。

以上雖然完成了兩台 Fortigate 防火牆間的 IPSec Site to Site VPN，但是這樣的設定沒法達到線路備援的機制，如果 Fortigate 防火牆有二條 WAN 以上能夠接入，則建議應該選擇使用 IPSec 聚合的方式進行設定，來達成負載平衡與線路備援的效果，可以參考 Blog 另一篇文章，設定 IPSec 聚合。

兩台 Fortigate 防火牆在多 WAN 環境下建立有負載平衡與線路備援的 IPSec Site to Site VPN (圖文說明)：http://blog.esafe360.com/2023/05/fortigate-wan-ipsec-site-to-site-vpn.html

[ eSafe360 暄豐資訊 VPN 規劃建置服務 ]