Vor kurzem von einer Tochtergesellschaft eines neuen FortiGate gemessen,Auch nach der ersten Prüfung auf die Firmware-Version,Das Ergebnis ist eine große Version der Transaktion,Das Original ist 5.6,Dies ist 6.0,Jede Version der Transaktion,Bei der Festlegung und meine Sonicwall-Site zu Site-VPN,Ich habe eine harte Zeit hatte,Nicht überraschend ist dies kein One-Stop,Aus diesem Grund hat es die Geburt dieses Artikels gewesen,Aber im Vergleich zu den beiden vorangegangenen,Der Debugging-Prozess glatt ist relativ viel。
Erster Blick auf die Geschichte:
FortiGate 4.X und Sonicwall Firewall einzurichten Site Site-VPN:Konsolidiert
FortiGate 5.6 Stellen Sie Site-to Site VPN mit Sonicwall-Firewall:Konsolidiert
Die Praxis mit 5.6 Ähnliches,Hauptsächlich Fortigate an den Sonicwall verbunden werden soll, in der Richtlinie festgelegt,So deaktivieren Sie NAT (Der Standardwert ist auf),Wenn Sie schließen nicht nach unten,met mit 5.6 同樣的問題 (Sonicwall kann ping Fortigate,Nicht umgekehrt),Und 5.6 Blackhole-Routing von Problemen eingestellt bleiben,Muss auf dem Arbeitsmarkt eingerichtet werden。
Die beiden Seiten-Umgebung sind, wie folgt:
| Sonicwall NSA 4600 | FortiGate 100E |
| Firmware:6.5.4.4 | Firmware:6.0.6 |
| lan: 192.168.1.0/24 192.168.2.0/24 Lieferwagen: |
lan: 192.168.100.0/24 Lieferwagen: |
[Sonicwall-Einstellungen]
1.Built Object
「Netzwerk」 -> 「Adressobjekte」
Name: FortiGate_network
Zone Aufgaben: VPN
Typ: Netzwerk
Netzwerk: 192.168.100.0
Netmask: 255.255.255.0
OK
2.Einstellen VPN-Tunnel
「VPN」
VPN aktivieren
Add
–Registerkarte Allgemein
IPSec Keying-Modus: IKE mit Preshared Geheimnis.
Name: FortiGate_network
IPSec primärer Gateway-Name oder Adresse: 203.4.5.6
Geteiltes Geheimnis: Legen Sie ein Passwort
Lokale IKE-ID: IP Adresse (freilassen)
Peer-IKE-ID: IP Adresse (freilassen)
–Registerkarte Netzwerk
Lokales Netzwerk:LAN Primary Subnet(192.168.1.0/24、192.168.2.0/24)
Destination Networks:FortiGate_network(192.168.100.0/24)
–Register Angebote
IKE (Fhsel) Vorschlag
Austausch: IKEv2-Modus
DH-Gruppe: Gruppe 2
Verschlüsselung: 3VON
Authentifizierung: SHA1
Lebenszeit: 28800
IKE (Fhse2) Vorschlag
Protokoll: ESP
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: Gruppe 2
Lebenszeit: 28800
OK
[FortiGate-Einstellungen]
1.Einstellung VPN
「VPN」 -> 「IPsec-Tunnel」
"Erstelle neu"
Name: Sonicwall
Vorlagentyp: Brauch
–Netzwerk
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Schnittstelle: WAN1
–Authentifizierung
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort
IKE Version: 2
–Phase 1 Vorschlag
Verschlüsselung: AES128
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
–Phase 2 Selektoren
Stellt das erste Netzwerksegment(192.168.1.0)
Name: Sonicwall-192.168.1.0
Lokale Adresse: 192.168.100.0/24
Remote Address: 192.168.1.0/24
Einstellen eines zweiten Netzwerksegment(192.168.2.0)
Name: Sonicwall-192.168.2.0
Lokale Adresse: 192.168.100.0/24
Remote Address: 192.168.2.0/24
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800
2.Stellen Sie eine Route
Einstellung 192.168.1.0 Routing
「Netzwerk」 -> 「Statische Routen」
Erstelle neu
Ziel: 192.168.1.0/24
Schnittstelle: Sonicwall
Verwaltungsdistanz: 10
-Erweiterte Optionen
Priorität: 3 (Blackhole ist größer als die voreingestellte 0)
OK
Einstellung 192.168.2.0 Routing
「Netzwerk」 -> 「Statische Routen」
Erstelle neu
Ziel: 192.168.2.0/24
Schnittstelle: Sonicwall
Verwaltungsdistanz: 10
-Erweiterte Optionen
Priorität: 3 (Blackhole ist größer als die voreingestellte 0)
OK
Einstellung 192.168.1.0 Schwarzes Loch
「Netzwerk」 -> 「Statische Routen」
Erstelle neu
Ziel: 192.168.1.0/24
Schnittstelle: Schwarzes Loch
Verwaltungsdistanz: 12 (Im Allgemeinen größer als die vorgegebene Route 10)
OK
Einstellung 192.168.2.0 Schwarzes Loch
「Netzwerk」 -> 「Statische Routen」
Erstelle neu
Ziel: 192.168.2.0/24
Schnittstelle: Schwarzes Loch
Verwaltungsdistanz: 12 (Im Allgemeinen größer als die vorgegebene Route 10)
OK
3.Stellen Sie Firewall-Regeln
"Politik & Objekte 」->「IPv4-Politik」
Erstelle neu
Name: Forti2Sonicwall
Source Interface: Hafen 1(192.168.100.0 Wo der Port)
Abgehende Schnittstelle: Sonicwall
Quelle: FortiGate_network
Ziel: SonicWall_network
Zeitplan: immer
Service: ALLES
Aktion: Akzeptieren
Schließen NAT(Das Hauptproblem in dieser Version der Firmware kann hier nicht geöffnet werden)
OK
Erstelle neu
Name: Sonicwall2Forti
Source Interface: Sonicwall
Abgehende Schnittstelle: Hafen 1(192.168.100.0 Wo der Port)
Quelle: SonicWall_network
Ziel: FortiGate_network
Zeitplan: immer
Service: ALLES
Aktion: Akzeptieren
OK
