Recientemente se mide por una filial de una nueva Fortigate,Incluso después de la primera comprobación de la versión de firmware,El resultado es una versión grande de la transacción,El original es 5.6,es 6.0,Cada versión de la transacción,Al establecer y mi sitio para localizar VPN de SonicWALL,He tenido un tiempo difícil,No es sorprendente que esto no es una ventanilla,Por lo tanto, se ha producido el nacimiento de este artículo,Sin embargo, en comparación con los dos anteriores,El proceso de depuración es relativamente suave mucho。
Primer vistazo a la historia:
FortiGate 4.X y Sonicwall cortafuegos para establecer sitio para localizar VPN:Consolidado
FortiGate 5.6 Establecer sitio para localizar VPN con Sonicwall cortafuegos:Consolidado
La práctica con 5.6 Casi lo mismo,Principalmente Fortigate estar conectado a la Sonicwall se establece en la Política,Para desactivar NAT (Por defecto es el),Si no se apaga,Se reunió con 5.6 El mismo problema (SonicWALL puede hacer ping Fortigate,No al revés),Y 5.6 Blackhole encaminamiento conjunto de problemas permanecer,Se debe configurar en el trabajo。
El entorno de dos lados son los siguientes:
SonicWALL NSA 4600 | FortiGate 100E |
firmware:6.5.4.4 | firmware:6.0.6 |
Lan: 192.168.1.0/24 192.168.2.0/24 furgoneta: |
Lan: 192.168.100.0/24 furgoneta: |
[Sonicwall Configuración]
1.Built Object
「Network」 -> 「」 Dirección Objects
Nombre: FortiGate_network
Asignación de zona: VPN
Tipo: Red
Red: 192.168.100.0
máscara de red: 255.255.255.0
OK
2.Configuración del túnel VPN
「VPN」
Activar VPN
Añadir
–Pestaña General
Modo de Modulación por IPSec: IKE previamente compartida utilizando Secret.
Nombre: FortiGate_network
IPSec primaria Nombre o dirección de puerta de enlace: 203.4.5.6
Secreto compartido: Establecer una contraseña
ID IKE local: Dirección IP (Dejar en blanco)
Peer IKE ID: Dirección IP (Dejar en blanco)
–ficha red
Red local:Subred LAN primaria(192.168.1.0/24、192.168.2.0/24)
Redes de destino:FortiGate_network(192.168.100.0/24)
–pestaña propuestas
IKE (Fase 1) Propuesta
Intercambiar: Modo IKEv2
Grupo DH: Grupo 2
encriptación: 3DE
Autenticación: SHA1
Toda la vida: 28800
IKE (Fhse2) Propuesta
Protocolo: ESP
encriptación: 3DE
Autenticación: SHA1
Grupo DH: Grupo 2
Toda la vida: 28800
OK
[FortiGate Configuración]
1.VPN entorno
「VPN」 -> 「túneles IPsec」
"Crear nuevo"
Nombre: SonicWall
Tipo de plantilla: Personalizado
–Red
Puerta de enlace remota: IP estática
Dirección IP: 203.1.2.3
Interfaz: WAN1
–Autenticación
método de autentificación: clave previamente compartida
Pre-Shared Key: SonicWALL con el conjunto anterior de contraseña
IKE versión: 2
–Fase 1 Propuesta
encriptación: AES128
Autenticación: SHA1
Grupo DH: 2
Keylife: 28800
–Fase 2 selectores
Establece el primer segmento de red(192.168.1.0)
Nombre: SonicWall-192.168.1.0
Dirección local: 192.168.100.0/24
Dirección remota: 192.168.1.0/24
El establecimiento de un segundo segmento de red(192.168.2.0)
Nombre: SonicWall-192.168.2.0
Dirección local: 192.168.100.0/24
Dirección remota: 192.168.2.0/24
–Avanzado
encriptación: 3DE
Autenticación: SHA1
Desactive la opción Habilitar confidencialidad directa perfecta(PFS)
Keylife: 28800
2.Establecer una ruta
Conjunto 192.168.1.0 enrutamiento
「Red」 - 「」 rutas estáticas>
Crear nuevo
Destino: 192.168.1.0/24
Interfaz: SonicWall
Distancia administrativa: 10
-Opciones avanzadas
Prioridad: 3 (Blackhole es mayor que el valor predefinido 0)
OK
Conjunto 192.168.2.0 enrutamiento
「Red」 - 「」 rutas estáticas>
Crear nuevo
Destino: 192.168.2.0/24
Interfaz: SonicWall
Distancia administrativa: 10
-Opciones avanzadas
Prioridad: 3 (Blackhole es mayor que el valor predefinido 0)
OK
Conjunto 192.168.1.0 Blackhole
「Red」 - 「」 rutas estáticas>
Crear nuevo
Destino: 192.168.1.0/24
Interfaz: Blackhole
Distancia administrativa: 12 (Generalmente mayor que la ruta preestablecida 10)
OK
Conjunto 192.168.2.0 Blackhole
「Red」 - 「」 rutas estáticas>
Crear nuevo
Destino: 192.168.2.0/24
Interfaz: Blackhole
Distancia administrativa: 12 (Generalmente mayor que la ruta preestablecida 10)
OK
3.normas establecidas firewall
"Política & Objetos」->「Política IPv4」
Crear nuevo
Nombre: Forti2Sonicwall
Interfaz de origen: Puerto 1(192.168.100.0 Cuando el puerto)
interfaz de salida: SonicWall
Fuente: FortiGate_network
Destino: SonicWall_network
Programar: siempre
Servicio: TODOS
Acción: Aceptar
Cerrar NAT(El principal problema de esta versión del firmware no se puede abrir aquí)
OK
Crear nuevo
Nombre: Sonicwall2Forti
Interfaz de origen: SonicWall
interfaz de salida: Puerto 1(192.168.100.0 Cuando el puerto)
Fuente: SonicWall_network
Destino: FortiGate_network
Programar: siempre
Servicio: TODOS
Acción: Aceptar
OK