Sonicwall FortiGate Firewall, die Site-to Site VPN

  三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN不過失敗了後來測試Juniper 5GT與Sonicwall倒是成功最近又有需求要與一台FortiGate 110C建VPN雖然手上已經有另一台FortiGate 110C照理說直接用同型號來建會省事很多但我還是想再試一次用Sonicwall來建看看能不能找出當初失敗的原因來回測試一整天總算搞定


Die beiden Seiten-Umgebung sind, wie folgt:

Sonicwall NSA 4600 FortiGate 110C
lan:
192.168.1.0/24
192.168.2.0/24

Lieferwagen:
203.1.2.3

lan:
192.168.100.0/24
 

Lieferwagen:
203.4.5.6

[Sonicwall-Einstellungen]
1.Built Object
"Netzwerk"->「Adressobjekte」
Name: FortiGate_network
Zone Aufgaben: VPN
Typ: Netzwerk
Netzwerk: 192.168.100.0
Netmask: 255.255.255.0
OK

2.Einstellen VPN-Tunnel
「VPN」
VPN aktivieren
Add
–Registerkarte Allgemein
IPSec Keying-Modus: IKE mit Preshared Geheimnis.
Name: FortiGate_network
IPSec primärer Gateway-Name oder Adresse: 203.4.5.6
Geteiltes Geheimnis: Legen Sie ein Passwort
Lokale IKE-ID: IP Adresse (freilassen)
Peer-IKE-ID: IP Adresse (freilassen)

–Registerkarte Netzwerk
Lokales Netzwerk:LAN Primary Subnet(192.168.1.0/24、192.168.2.0/24)
Destination Networks:FortiGate_network.

–Register Angebote
IKE (Fhsel) Vorschlag
Austausch: Hauptmodus
DH-Gruppe: Gruppe 2
Verschlüsselung: 3VON
Authentifizierung: SHA1
Lebenszeit: 28800

IKE (Fhse2) Vorschlag
Protokoll: ESP
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: Gruppe 2
Lebenszeit: 28800

–Registerkarte Erweitert
Enable Keep Alive.
OK

接著設定FortiGate有Tunnel及Interface兩種方式二擇一設定即可。(官方教學是Tunnel模式)

【FortiGate設定—1.Tunnel模式】
1.Einstellen VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: Sonicwall
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Modus: Main
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort

–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
保留其他設定的預設值
OK

「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.1.0
Remote-Gateway: 選SonicWall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選就算Sonicwall也勾選仍可能造成VPN無法建立,unbekannter Grund,Interface模式則沒有此問題)

Keylife: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線不然FortiGate會出現no matching gateway for new request”Fehler。

Einstellen eines zweiten Netzwerksegment(192.168.2.0)
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.2.0
Remote-Gateway: 選SonicWall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
Keylife: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK

2.建立Address
「Firewall」 ->「Address」->「Address」
Erstelle neu
Name:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK

Erstelle neu
Name:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK

Erstelle neu
Name:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK

把Sonicwall兩個網段設為一個群組
「Firewall」 ->「Address」->「Group」
Erstelle neu
Group Name:SonicWall_network
Members:SonicWall_network_1SonicWall_network_2
OK

3.Stellen Sie Firewall-Regeln
「Firewall」 ->"Politik"->"Politik"
Erstelle neu
Source Interface: Hafen 1(oder Internal)
Quelladresse: FortiGate_network
Zielschnittstelle: WAN1 (or External)
Zieladresse: SonicWall_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: IPSEC (or Encrypt)
VPN Tunnel: Sonicwall
勾 Allow inbound
勾 Allow outbound
OK

【FortiGate設定—2.Interface模式】
1.Einstellen VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: Sonicwall
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Modus: Main
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort

–fortgeschritten
勾「Enable IPsec Interface Mode」
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
保留其他設定的預設值
OK

「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.1.0
Remote-Gateway: Sonicwall

–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800

Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線不然FortiGate會出現no matching gateway for new request”Fehler。

Einstellen eines zweiten Netzwerksegment(192.168.2.0)
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.2.0
Remote-Gateway: Sonicwall

–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK

2.Stellen Sie eine Route
「Router」 ->"Statisch"->「Static Route」
Erstelle neu
Ziel-IP / Mask: 192.168.1.0/24
Gerät: Sonicwall
OK

Erstelle neu
Ziel-IP / Mask: 192.168.2.0/24
Gerät: Sonicwall
OK

3.Stellen Sie Firewall-Regeln
「Firewall」 ->"Politik"->"Politik"
Erstelle neu
Source Interface: Hafen 1(oder Internal)
Quelladresse: FortiGate_network
Zielschnittstelle: Sonicwall
Zieladresse: SonicWall_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: Akzeptieren
OK

Erstelle neu
Source Interface: Sonicwall
Quelladresse: SonicWall_network
Zielschnittstelle: Hafen 1(oder Internal)
Zieladresse: FortiGate_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: Akzeptieren
OK

Referenz [link]

2 Antworten

  1. FortiGate 5.6 Stellen Sie Site-to Site VPN mit Sonicwall-Firewall | Alt Sen Chang Tan Sagt |

    […]   先前寫過一篇「Sonicwall FortiGate 防火牆建立 Site to Site VPN」的文章,Zu dieser Zeit begegnen oft halten FortiGate-Geräte tun Site Site-VPN,Und meine Hand ist Sonicwall,Die Ergebnisse sind manchmal erfolgreiche Umsetzung manchmal versagt,Später gibt es insgesamt mal einige Zeit damit verbracht,Die beiden Marken gesetzt sind ein Weg, um zu organisieren,Zur Erleichterung der nachfolgenden Referenz。Zu dieser Zeit Prüfung und Fertigstellung Nachrichten,Haben eine etwas andere FortiGate Firmware gefunden,Ganz die gleiche Art und Weise wird gesetzt,Um einen störungs,Später gab er die beiden Methoden erfolgreich Verbindung hergestellt werden”Tunnel”與”Schnittstelle”aufgezeichnet,So dass die nächste Begegnung Revision,Sie können verschiedene Methoden versuchen。 […]

  2. FortiGate 6.0 Stellen Sie Site-to Site VPN mit Sonicwall-Firewall | Alt Sen Chang Tan Sagt |

    […] FortiGate 4.X und Sonicwall Firewall einzurichten Site Site-VPN:連結 FortiGate 5.6 與 Sonicwall 防火牆建立 Site to Site […]

Leave a Comment

Bitte beachten Sie,: Kommentar Moderation ist aktiviert und kann Ihren Kommentar verzögern. Es besteht keine Notwendigkeit zur Stellungnahme reichen Sie.