Zuvor schrieb "Sonicwall FortiGate Firewall, die Site-to Site VPN」的文章,Zu dieser Zeit begegnen oft halten FortiGate-Geräte tun Site Site-VPN,Und meine Hand ist Sonicwall,Die Ergebnisse sind manchmal erfolgreiche Umsetzung manchmal versagt,Später gibt es insgesamt mal einige Zeit damit verbracht,Die beiden Marken gesetzt sind ein Weg, um zu organisieren,Zur Erleichterung der nachfolgenden Referenz。Zu dieser Zeit Prüfung und Fertigstellung Nachrichten,Haben eine etwas andere FortiGate Firmware gefunden,Ganz die gleiche Art und Weise wird gesetzt,Um einen störungs,Später gab er die beiden Methoden erfolgreich Verbindung hergestellt werden”Tunnel”與”Schnittstelle”aufgezeichnet,So dass die nächste Begegnung Revision,Sie können verschiedene Methoden versuchen。
Heute trafen wir die Nachfrage FortiGate zu halten zu etablieren Site Site-VPNs,Modell ist FortiGate 80E,Firmware-Version 5.6.4,Wenn Sie hören, ist eine neue Firewall kaufen,Ich fand mich aus”Alles andere als beruhigend”Idee,Warten Sie, bis die Verbindung über sehen,Sicher geändert genug Optionen wieder,Und dieses Mal selbst hat die Schnittstelle viel verändert。Das eigentliche Projekt starten VPN Einstellung,Diese Entdeckung scheint keine Punkte zu haben,”Tunnel”與”Schnittstelle”,Ich versuchte zunächst zum vorherigen”Tunnel”Die Art und Weise der einzustellen,Aber nicht festgestellt, eine erfolgreiche VPN,Dann verändert”Schnittstelle”etablieren,Aber seltsam erscheinen Ergebnisse,Beide Seiten der Site Site-VPN wurde erfolgreich etabliert,Dieses Ende kann Sonicwall FortiGate Endsegmente ping,Aber nicht umge Timeout。Überprüft die Reihenfolge und Routing-Richtlinieneinstellungen sind kein Problem,Zhonglaiyici Ergebnis ist das gleiche,Lassen Sie mich Kopfschmerzen。
Zu erkundigen, nachdem offizielle Daten,Aber für das derzeitige Amt 5.6 Die Firmware-Version erscheint nur auf das gleiche zu Site-VPN-Assistenten-Modus bieten wird auf der Website FortiGate Produkt der Lehre,Aber ich merkte, dass, wenn den letzten Schritt im Assistenten-Modus abgeschlossen,Der Modus Assistent Bildschirmanzeige, in der Projekte mehrere Sätze von Transaktionen durchgeführt wurden,Welche haben eine Datei mit dem Namen “Blackhole-Route” Das Projekt erregte meine Aufmerksamkeit,Da im Allgemeinen gesetzt Site Site-VPN,gesetzt “statische Route”,”Blackhole-Route” Dieses Projekt ist das erste Mal, ich sah,。Dann ging zu “statische Routen” Zum anzeigen,In dem Interface-Drop-Down-Menü.,Es gibt wirklich”Schwarzes Loch”Optionen,Versuchen Sie, eine Summe von Routing hinzufügen,Und geworfen in”Schwarzes Loch”diese Schnittstelle,nach der Einstellung,Hat auch Ping an das Netzwerksegment Sonicwall FortiGate,Jetzt weniger als ein Ping,Dann habe ich nur noch diese die Routinggruppe deaktivieren,Dann passierte die Magie, sobald,Sonicwall Netzwerk auf beiden Seiten des FortiGate kann sich ping,Aber nachdem ich trennen und schließen Sie das VPN,FortiGate wieder nicht in der Lage, das Netzwerksegment Sonicwall ping,Sonicwall können Sie immer noch das FortiGate Netzwerksegment ping。
Dann übe ich das gleiche wieder,die”Schwarzes Loch”Routing aktiviert、Und dann deaktiviert,Segment auf beiden Seiten und können miteinander kommunizieren,Nachdem das Testmehrmal der Ergebnisse zu bestätigen, sind die gleiche,Fing an zu studieren die”Schwarzes Loch”Routing-Einstellungen。In den Einstellparametern einer Route,haben”Priorität”跟”Entfernung”Zwei Werte beeinflussen die Reihenfolge,Schließlich versuchen, so lange, wie”Schwarzes Loch”Routen”Priorität”Wert kleiner als VPN-Routen”Priorität”;”Entfernung”Werte größer als VPN-Routen”Entfernung”,Sie können beiden Seiten der normalen Netzwerkverbindung machen,Auch Neustart VPN-Verbindung kann auch eine normale Ping sein sie。
Anschließend ging er auf offiziellen prüfen”Schwarzes Loch”IT,Nur in früheren Firmware-Versionen gefunden durch diesen Satz von Anweisungen gehen”Schwarzes Loch”Routing,Aber ich weiß immer noch nicht, warum ich versuchen möchte, das Problem FortiGate Netzwerksegment von Ping zu lösen weniger als Sonicwall Network,Zur Zeit nicht ersten Erfolg teilhaben gesetzt Modus,Wenn weitere Follow-up Informationen,Aktualisieren Sie diesen Beitrag wieder,Netizens, warum Worte,In der folgenden Diskussion ist auch willkommen Nachricht,Dank。
Die beiden Seiten-Umgebung sind, wie folgt:
Sonicwall NSA 4600 | FortiGate 80E |
Firmware:6.2.7.1 | Firmware:5.6.4 |
lan: 192.168.1.0/24 192.168.2.0/24 Lieferwagen: |
lan: 192.168.100.0/24 Lieferwagen: |
[Sonicwall-Einstellungen]
1.Built Object
"Netzwerk"->「Adressobjekte」
Name: FortiGate_network
Zone Aufgaben: VPN
Typ: Netzwerk
Netzwerk: 192.168.100.0
Netmask: 255.255.255.0
OK
2.Einstellen VPN-Tunnel
「VPN」
VPN aktivieren
Add
–Registerkarte Allgemein
IPSec Keying-Modus: IKE mit Preshared Geheimnis.
Name: FortiGate_network
IPSec primärer Gateway-Name oder Adresse: 203.4.5.6
Geteiltes Geheimnis: Legen Sie ein Passwort
Lokale IKE-ID: IP Adresse (freilassen)
Peer-IKE-ID: IP Adresse (freilassen)
–Registerkarte Netzwerk
Lokales Netzwerk:LAN Primary Subnet(192.168.1.0/24、192.168.2.0/24)
Destination Networks:FortiGate_network(192.168.100.0/24)
–Register Angebote
IKE (Fhsel) Vorschlag
Austausch: Hauptmodus
DH-Gruppe: Gruppe 2
Verschlüsselung: 3VON
Authentifizierung: SHA1
Lebenszeit: 28800
IKE (Fhse2) Vorschlag
Protokoll: ESP
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: Gruppe 2
Lebenszeit: 28800
–Registerkarte Erweitert
Enable Keep Alive.
OK
[FortiGate-Einstellungen]
1.Einstellen VPN
「VPN」 ->「IPsec-Tunnel」
"Erstelle neu"
Name: Sonicwall
Vorlagentyp: Brauch
–Netzwerk
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Modus: Main
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort
–Phase 1 Vorschlag
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
–Phase 2 Selektoren
Stellt das erste Netzwerksegment(192.168.1.0)
Name: Sonicwall-192.168.1.0
Lokale Adresse: 192.168.100.0/24
Remote Address: 192.168.1.0/24
Einstellen eines zweiten Netzwerksegment(192.168.2.0)
Name: Sonicwall-192.168.2.0
Lokale Adresse: 192.168.100.0/24
Remote Address: 192.168.2.0/24
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800
2.Stellen Sie eine Route
Einstellung 192.168.1.0 Routing
"Netzwerk"->「Statische Routen」
Erstelle neu
Ziel: 192.168.1.0/24
Schnittstelle: Sonicwall
Verwaltungsdistanz: 10
-Erweiterte Optionen
Priorität: 3 (Blackhole ist größer als die voreingestellte 0)
OK
Einstellung 192.168.2.0 Routing
"Netzwerk"->「Statische Routen」
Erstelle neu
Ziel: 192.168.2.0/24
Schnittstelle: Sonicwall
Verwaltungsdistanz: 10
-Erweiterte Optionen
Priorität: 3 (Blackhole ist größer als die voreingestellte 0)
OK
Einstellung 192.168.1.0 Schwarzes Loch
"Netzwerk"->「Statische Routen」
Erstelle neu
Ziel: 192.168.1.0/24
Schnittstelle: Schwarzes Loch
Verwaltungsdistanz: 12 (Im Allgemeinen größer als die vorgegebene Route 10)
OK
Einstellung 192.168.2.0 Schwarzes Loch
"Netzwerk"->「Statische Routen」
Erstelle neu
Ziel: 192.168.2.0/24
Schnittstelle: Schwarzes Loch
Verwaltungsdistanz: 12 (Im Allgemeinen größer als die vorgegebene Route 10)
OK
3.Stellen Sie Firewall-Regeln
"Politik & Objekte 」->「IPv4-Politik」
Erstelle neu
Name: Forti2Sonicwall
Source Interface: Hafen 1(192.168.100.0 Wo der Port)
Abgehende Schnittstelle: Sonicwall
Quelle: FortiGate_network
Ziel: SonicWall_network
Zeitplan: immer
Service: ALLES
Aktion: Akzeptieren
OK
Erstelle neu
Name: Sonicwall2Forti
Source Interface: Sonicwall
Abgehende Schnittstelle: Hafen 1(192.168.100.0 Wo der Port)
Quelle: SonicWall_network
Ziel: FortiGate_network
Zeitplan: immer
Service: ALLES
Aktion: Akzeptieren
OK
Referenz [link]
- Old Sen Chang Tan >> Sonicwall FortiGate Firewall, die Site-to Site VPN
- (20) 03 Firewall Fortigate, Fortinet: Firewall-Richtlinien. – YouTube
- Site-to-Site-IPsec VPN mit überlappenden Subnetze – Fortinet-Kochbuch