GCP HA VPN to Fortigate (AUTHENTICATION_FAILED)

基础概念

Google Cloud Platform (GCP) 的高可用性虚拟专用网络 (HA VPN) 是一种在 GCP 和本地网络之间建立安全连接的技术。Fortinet FortiGate 是一种网络安全设备，提供多种安全功能，包括 VPN 连接。

相关优势

1. 高可用性：HA VPN 提供冗余连接，确保在一条连接故障时，另一条连接可以继续工作。
2. 安全性：使用加密协议（如 IPSec）确保数据传输的安全性。
3. 灵活性：可以轻松扩展和调整网络配置以适应业务需求。

类型

GCP HA VPN 主要有两种类型：

• 静态路由 VPN：使用静态路由配置，适用于简单的网络拓扑。
• 动态路由 VPN：使用 BGP（边界网关协议）进行动态路由，适用于复杂的网络环境。

应用场景

• 连接 GCP 虚拟机与本地数据中心。
• 实现跨地域的冗余连接。
• 提供安全的远程访问。

问题分析

AUTHENTICATION_FAILED 错误通常表示在 VPN 连接过程中，身份验证失败。可能的原因包括：

1. 密钥不匹配：预共享密钥（PSK）或证书不正确。
2. 认证方式不匹配：使用的认证方式（如预共享密钥、证书等）在两端不一致。
3. 时间不同步：两端的系统时间不同步，导致证书验证失败。
4. 配置错误：VPN 配置文件中的参数设置不正确。

解决方法

1. 检查密钥和证书：
   • 确保 GCP 和 FortiGate 上使用的预共享密钥或证书完全一致。
   • 检查证书的有效期和链完整性。

• 验证认证方式：
  • 确认 GCP 和 FortiGate 上配置的认证方式一致。
  • 如果使用证书，确保证书链和信任根证书正确配置。
• 同步系统时间：
  • 确保 GCP 和 FortiGate 的系统时间同步。可以使用 NTP 服务进行时间同步。
• 检查配置文件：
  • 仔细检查 GCP 和 FortiGate 上的 VPN 配置文件，确保所有参数设置正确。
  • 确认使用的协议（如 IPSec）和加密算法一致。

示例配置

GCP 配置

vpn:
  gateway: "vpn-gateway-1"
  peer_ip: "192.168.1.1"
  shared_secret: "your-shared-secret"
  local_traffic_selector: ["0.0.0.0/0"]
  remote_traffic_selector: ["0.0.0.0/0"]

FortiGate 配置

config vpn ipsec phase1-interface
    edit "gcp-vpn"
        set interface "eth0"
        set remote-gateway "1.2.3.4"
        set proposal aes256-sha1
        set psksecret "your-shared-secret"
        set phase1-authentication-mode pre-shared-secret
    next
end

参考链接

• GCP VPN 文档
• FortiGate VPN 配置指南

通过以上步骤，您应该能够诊断并解决 AUTHENTICATION_FAILED 错误。如果问题仍然存在，建议查看 GCP 和 FortiGate 的日志文件，以获取更多详细的错误信息。