在前面文章有說明如何用 Fortigate 與 Azure 做站對站 VPN，但建起來的連線是單條線路，一般企業不太可能接受及擔負單條線路帶來的風險，所以我嘗試實做及測試，用雙線路與 Azure VPN Gateway 建立 VPN 連線，期望能達成高可用性的運作目標。

地端 VPN 設備同樣使用 Fortigate，線路的部份採用一條中華電信 (CHT)，另一條為遠傳 (Sparq)。

本文不會對設定位置及欄位做太多說明，因為前文已提及。先簡單結論這次的佈建，其實就是在 Azure 及 Fortigate 上，再做一次 VPN 的設定建立。

類似文章其實國內外都有人寫過，不過也想用自己的方式分享一下。

一般狀況下，已在使用的 Azure 環境正常應該都至少有一個虛擬網路，所以文章說明直接從建立 VPN 閘道開始。

最近在測試從老舊且 FortiOS 停留在 4.0 MR3 最後一版的 Fortigate 設備，將 Config 設定內容移轉到另一台規格較新的 Fortigate 60 系列；雖然 Fortinet 官方有出一個 FortiConverter 工具，可以協助快速轉換版本，但由於這次不單單僅是設定內容要移轉而已，連相關的 Interface / Hardware Switch 其實都有變動，所以最後還是做了不少手工。

沒想到，移轉設定到 5.x 版後，發現自己之前就有在用的 Policy Routes (策略路由)，竟然在 GUI 介面上完全找不到選項可以設定，雖然這功能依舊可以從 CLI 下指令完成，不過這基本功能沒有 GUI 還是令人惱火。

還好，認真查了一下，原來是這個功能介面預設不顯示。(!?)

前陣子意外短暫處理一台已過保固的 Fortigate 80C，因為設備還能正常運作，在經過物主的同意下，所以做了簡單的拆殼瞭解。

阿亮曾說過：「凡走過必留下痕跡」，這句話也很適用於網路世界。但...沒有把證據留下，就算請李昌鈺博士或何瑞修來都沒用。所以，我們可以透過老牌子的Kiwi Syslog Server 協助，將公司網路流量都會經過防火牆設備而產生的Log，給通通存起來。

之前在部落格曾經寫過關於用Fortigate 建立VPN 的一系列文章，但這是因為公司申請中華電信資安艦隊方案所獲贈的機器（當然，羊毛還是出在羊身上...），一般小型企業或家庭不太可能花錢砸設備，那如果想要自建VPN Server 該怎麼辦？

還好，網路上有DD-WRT 這公開的軔體能刷在特定的IP 分享器使用，裡面提供的功能包羅萬象，就看分享器內建的ROM 有多大，能使用的功能就有多少。
（注意！刷非原廠軔體不在保固範圍內，不過我好像買來第一天就都改刷了...）

所以這次就是要用DD-WRT 內建PPTP Server 來完成任務。有支援的軔體版本請參考官方連結。

設定方式非常簡單，兩張圖就講完。