最近子公司借測一台新的 Fortigate,連上去後先檢查一下韌體版本,El resultado nuevamente es un gran cambio de versión,Antes era 5.6,Esta vez es 6.0,Cada cambio de versión,Al establecer un VPN Site to Site con mi Sonicwall,Siempre me ha dado muchos problemas,Esta vez, no fue diferente y tampoco se logró a la primera,Por eso surge este artículo,Sin embargo, comparado con las dos veces anteriores,El proceso de depuración esta vez fue mucho más fluido。
先回顧一下歷史:
FortiGate 4.X 與 Sonicwall 防火牆建立 Site to Site VPN:Enlace
FortiGate 5.6 與 Sonicwall 防火牆建立 Site to Site VPN:Enlace
這次的做法跟 5.6 大同小異,主要在於 Fortigate 要連到 Sonicwall 的 Policy 設定裡,NAT 要關閉 (預設是開啟的),如果沒關閉,就遇到跟 5.6 同樣的問題 (Sonicwall 可以 ping 到 Fortigate,反之不行),而 5.6 的 Blackhole routing 設定問題依然存在,必須要設對才行。
雙方環境如下:
| Sonicwall NSA 4600 | FortiGate 100E |
| 韌體:6.5.4.4 | 韌體:6.0.6 |
| Lan: 192.168.1.0/24 192.168.2.0/24 Wan: |
Lan: 192.168.100.0/24 Wan: |
【Sonicwall 設定】
1.建 Object
「Network」->「Address Objects」
Nombre: FortiGate_network
Zone Assignment: VPN
Type: Network
Network: 192.168.100.0
Netmask: 255.255.255.0
OK
2.設定 VPN Tunnel
「VPN」
Enable VPN
Add
–General tab
IPSec Keying Mode: IKE using Preshared Secret.
Nombre: FortiGate_network
IPSec primary Gateway Name or Address: 203.4.5.6
Shared Secret: 設一組密碼
Local IKE ID: IP Address (保留空白)
Peer IKE ID: IP Address (保留空白)
–Network tab
Local Network:LAN Primary Subnet(192.168.1.0/24、192.168.2.0/24)
Destination Networks:FortiGate_network(192.168.100.0/24)
–Proposals tab
IKE (Phase1) Proposal
Exchange: IKEv2 Mode
DH Group: Group 2
Encryption: 3DES
Authentication: SHA1
Life Time: 28800
IKE (Phase2) Proposal
Protocol: ESP
Encryption: 3DES
Authentication: SHA1
DH Group: Group 2
Life Time: 28800
OK
【FortiGate 設定】
1.設定 VPN
「VPN」->「IPsec Tunnels」
「Create New」
Nombre: SonicWall
Template Type: Custom
–Network
Remote Gateway: Static IP
IP Address: 203.1.2.3
Interface: Wan1
–Authentication
Authentication Method: Preshared Key
Pre-shared Key: 同上面Sonicwall設定的密碼
IKE Version: 2
–Phase 1 Proposal
Encryption: AES128
Authentication: SHA1
DH Group: 2
Keylife: 28800
–Phase 2 Selectors
設定第一個網段(192.168.1.0)
Nombre: SonicWall-192.168.1.0
Local Address: 192.168.100.0/24
Remote Address: 192.168.1.0/24
設定第二個網段(192.168.2.0)
Nombre: SonicWall-192.168.2.0
Local Address: 192.168.100.0/24
Remote Address: 192.168.2.0/24
–Advanced
Encryption: 3DES
Authentication: SHA1
不勾選Enable perfect forward secrecy(PFS)
Keylife: 28800
2.建立路由
設定 192.168.1.0 路由
「Network」->「Static Routes」
Create New
Destination: 192.168.1.0/24
Interface: SonicWall
Administrative Distance: 10
-Advanced Options
Priority: 3 (要大於 Blackhole 預設的 0)
OK
設定 192.168.2.0 路由
「Network」->「Static Routes」
Create New
Destination: 192.168.2.0/24
Interface: SonicWall
Administrative Distance: 10
-Advanced Options
Priority: 3 (要大於 Blackhole 預設的 0)
OK
設定 192.168.1.0 Blackhole
「Network」->「Static Routes」
Create New
Destination: 192.168.1.0/24
Interface: Blackhole
Administrative Distance: 12 (要大於一般路由預設的 10)
OK
設定 192.168.2.0 Blackhole
「Network」->「Static Routes」
Create New
Destination: 192.168.2.0/24
Interface: Blackhole
Administrative Distance: 12 (要大於一般路由預設的 10)
OK
3.設定防火牆規則
「Policy & Objects」->「IPv4 Policy」
Create New
Nombre: Forti2Sonicwall
Source Interface: Port 1(192.168.100.0 所在的port)
Outgoing Interface: SonicWall
Source: FortiGate_network
Destination: SonicWall_network
Schedule: always
Service: ALL
Action: Accept
關閉 NAT(這版韌體的主要問題就在此處不能開啟)
OK
Create New
Nombre: Sonicwall2Forti
Source Interface: SonicWall
Outgoing Interface: Port 1(192.168.100.0 所在的port)
Source: SonicWall_network
Destination: FortiGate_network
Schedule: always
Service: ALL
Action: Accept
OK
Dejar una respuesta