Anteriormente escribió "SonicWALL FortiGate firewall para establecer sitio para localizar VPN」的文章,En ese momento a menudo se encuentran mantener los dispositivos FortiGate hacer sitio para localizar VPN,Y mi mano es Sonicwall,Los resultados son a veces implementación exitosa a veces falla,Más tarde, hay veces en total pasaron algún tiempo,Las dos marcas se fijan para ser una manera de organizar,Para facilitar la referencia subsiguiente。En ese tiempo de prueba y noticias de acabado,Han encontrado un firmware FortiGate ligeramente diferente,se establecerá la misma manera,para problemas,Más tarde, se dio a los dos métodos se pueden establecer con éxito la conexión”Túnel”與”Interfaz”se registran,De manera que el próximo encuentro de revisión,Puede probar diferentes métodos。
Hoy en día nos encontramos con la demanda para mantener FortiGate establecer un sitio a otro de VPN,Modelo 80E es FortiGate,La versión de firmware 5.6.4,Cuando se escucha es comprar un nuevo servidor de seguridad,Me encontré a cabo”Cualquier cosa menos tranquilizador”idea,Espere hasta que la conexión a ver,Efectivamente opciones cambiaron de nuevo,Y esta vez, incluso la interfaz ha cambiado mucho。El proyecto real de iniciar el ajuste de VPN,Este descubrimiento parece no tener puntos”Túnel”與”Interfaz”,Primero intenté anterior”Túnel”La manera de establecer el,Sin embargo, no estableció una exitosa VPN,Luego cambió a”Interfaz”establecer,Pero parecen extraños resultados,Ambos lados del sitio para localizar VPN se ha establecido con éxito,Este extremo puede hacer ping segmentos extremos Sonicwall FortiGate,Pero no al tiempo de espera。Controladas los ajustes de orden y de políticas de enrutamiento no son un problema,Zhonglaiyici resultado es el mismo,Permítanme dolor de cabeza。
Para interesarse por los datos oficiales,Pero por el momento oficial 5.6 La versión del firmware aparece sólo para proporcionar el mismo sitio a modo de asistente VPN se establece en Sitio FortiGate producto de la enseñanza,Pero me di cuenta de que una vez terminado el paso final en el modo de asistente,El modo de visualización de pantalla del asistente de proyectos en los que se realizaron varias series de transacción,Que tienen un archivo llamado “Ruta Blackhole” El proyecto me llamó la atención,Debido establecidos con carácter general del sitio para localizar VPN,se establecen “ruta estática”,”Ruta Blackhole” Este proyecto es en realidad la primera vez que vi。Luego fue a “Rutas estáticas” Vaya a Ver,En el menú desplegable Interfaz.,En realidad”Blackhole”opciones,Trate de añadir una suma de enrutamiento,Y arrojado”Blackhole”esta interfaz,después de ajustar,Tenía también ping para el segmento de red FortiGate Sonicwall,Ahora menos de un ping,A continuación, sólo he añadido esto para desactivar el grupo de enrutamiento,A continuación, la magia ocurrió tan pronto como sea,red Sonicwall en ambos lados de la FortiGate puede ping entre sí a,Pero después de que desconecte y vuelva a conectar la VPN,FortiGate nuevo incapaz de ping en el segmento de red Sonicwall,SonicWALL todavía se puede hacer ping al segmento de red FortiGate。
A continuación, practico el mismo otra vez,la”Blackhole”routing Enabled、Y luego desactivado,Segmento en ambos lados y se puede comunicar,Después de la prueba varias veces para confirmar los resultados son los mismos,Comenzó a estudiar la”Blackhole”configuraciones de ruta。En los parámetros de ajuste de una ruta,tener”Prioridad”跟”Distancia”Dos valores afectarán a la orden,Por último, probar, siempre y cuando”Blackhole”rutas”Prioridad”El valor es menos de rutas VPN”Prioridad”;”Distancia”Los valores mayores que las rutas de VPN”Distancia”,Usted puede hacer ambos lados de la conexión de red normal,Incluso conexión VPN reinicio también puede ser un ping normales entre sí。
Luego fue a ver cómo oficial”Blackhole”informática,Sólo se encuentran en las versiones anteriores del firmware puede ir a través de este conjunto de instrucciones”Blackhole”enrutamiento,Pero todavía no sé por qué me gusta tratar de resolver el problema segmento de red FortiGate de menos de ping de red de SonicWALL,modo actualmente a cabo primero en compartir este éxito se establece,Si más información de seguimiento,Actualizar este post de nuevo,Los internautas saben por qué las palabras,En la siguiente discusión son también mensaje de bienvenida,Gracias。
El entorno de dos lados son los siguientes:
SonicWALL NSA 4600 | FortiGate 80E |
firmware:6.2.7.1 | firmware:5.6.4 |
Lan: 192.168.1.0/24 192.168.2.0/24 furgoneta: |
Lan: 192.168.100.0/24 furgoneta: |
[Configuración] Sonicwall
1.Built Object
"Red"->「」 Objetos de dirección
Nombre: FortiGate_network
Asignación de zona: VPN
Tipo: Red
Red: 192.168.100.0
máscara de red: 255.255.255.0
OK
2.Túnel VPN 設定
「VPN」
Activar VPN
Añadir
–Pestaña General
Modo de Modulación por IPSec: IKE previamente compartida utilizando Secret.
Nombre: FortiGate_network
IPSec primaria Nombre o dirección de puerta de enlace: 203.4.5.6
Secreto compartido: Establecer una contraseña
ID IKE local: Dirección IP (Dejar en blanco)
Peer IKE ID: Dirección IP (Dejar en blanco)
–ficha red
Red local:Subred LAN primaria(192.168.1.0/24、192.168.2.0/24)
Redes de destino:FortiGate_network(192.168.100.0/24)
–pestaña propuestas
IKE (Fase 1) Propuesta
Intercambiar: Modo principal
Grupo DH: Grupo 2
encriptación: 3DE
Autenticación: SHA1
Toda la vida: 28800
IKE (Fhse2) Propuesta
Protocolo: ESP
encriptación: 3DE
Autenticación: SHA1
Grupo DH: Grupo 2
Toda la vida: 28800
–Lengüeta avanzada
Habilitar Keep Alive.
OK
[Configuración FortiGate]
1.configuración de VPN
「VPN」 ->「」 Túneles IPsec
"Crear nuevo"
Nombre: SonicWall
Tipo de plantilla: Personalizado
–Red
Puerta de enlace remota: IP estática
Dirección IP: 203.1.2.3
Modo: Principal
método de autentificación: clave previamente compartida
Pre-Shared Key: SonicWALL con el conjunto anterior de contraseña
–Fase 1 Propuesta
encriptación: 3DE
Autenticación: SHA1
Grupo DH: 2
Keylife: 28800
–Fase 2 selectores
Establece el primer segmento de red(192.168.1.0)
Nombre: SonicWall-192.168.1.0
Dirección local: 192.168.100.0/24
Dirección remota: 192.168.1.0/24
El establecimiento de un segundo segmento de red(192.168.2.0)
Nombre: SonicWall-192.168.2.0
Dirección local: 192.168.100.0/24
Dirección remota: 192.168.2.0/24
–Avanzado
encriptación: 3DE
Autenticación: SHA1
Desactive la opción Habilitar confidencialidad directa perfecta(PFS)
Keylife: 28800
2.Establecer una ruta
Conjunto 192.168.1.0 enrutamiento
"Red"->「」 Rutas estáticas
Crear nuevo
Destino: 192.168.1.0/24
Interfaz: SonicWall
Distancia administrativa: 10
-Opciones avanzadas
Prioridad: 3 (Blackhole es mayor que el valor predefinido 0)
OK
Conjunto 192.168.2.0 enrutamiento
"Red"->「」 Rutas estáticas
Crear nuevo
Destino: 192.168.2.0/24
Interfaz: SonicWall
Distancia administrativa: 10
-Opciones avanzadas
Prioridad: 3 (Blackhole es mayor que el valor predefinido 0)
OK
Conjunto 192.168.1.0 Blackhole
"Red"->「」 Rutas estáticas
Crear nuevo
Destino: 192.168.1.0/24
Interfaz: Blackhole
Distancia administrativa: 12 (Generalmente mayor que la ruta preestablecida 10)
OK
Conjunto 192.168.2.0 Blackhole
"Red"->「」 Rutas estáticas
Crear nuevo
Destino: 192.168.2.0/24
Interfaz: Blackhole
Distancia administrativa: 12 (Generalmente mayor que la ruta preestablecida 10)
OK
3.normas establecidas firewall
"Política & Objetos"->「Política IPv4」
Crear nuevo
Nombre: Forti2Sonicwall
Interfaz de origen: Puerto 1(192.168.100.0 Cuando el puerto)
interfaz de salida: SonicWall
Fuente: FortiGate_network
Destino: SonicWall_network
Programar: siempre
Servicio: TODOS
Acción: Aceptar
OK
Crear nuevo
Nombre: Sonicwall2Forti
Interfaz de origen: SonicWall
interfaz de salida: Puerto 1(192.168.100.0 Cuando el puerto)
Fuente: SonicWall_network
Destino: FortiGate_network
Programar: siempre
Servicio: TODOS
Acción: Aceptar
OK
【參考連結】
- Antiguo Sen Chang Tan >> SonicWALL FortiGate firewall para establecer sitio para localizar VPN
- (20) 03 firewall Fortigate, Fortinet: Las políticas de firewall. – YouTube
- IPsec VPN de sitio a sitio con subredes superpuestas – Fortinet Cookbook