Hace tres años intentado establecer Sitio Sonicwall NSA 2400 y 110C FortiGate para localizar VPN,pero fallado,Más tarde pruebas de Juniper 5GT y Sonicwall realmente tener éxito。Recientemente, con una demanda para construir VPN 110C FortiGate,A pesar de que la mano tiene otra 110C FortiGate,Lógicamente hablando directamente con el mismo modelo será fácil construir un montón,Pero todavía quiero intentarlo de nuevo con Sonicwall para construir,Ver si se puede averiguar la causa de la falla original,,De ida y vuelta todos los días de prueba,finalmente llegar。
El entorno de dos lados son los siguientes:
SonicWALL NSA 4600 | 110C FortiGate |
Lan: 192.168.1.0/24 192.168.2.0/24 furgoneta: |
Lan: 192.168.100.0/24 furgoneta: |
[Configuración] Sonicwall
1.Built Object
"Red"->「」 Objetos de dirección
Nombre: FortiGate_network
Asignación de zona: VPN
Tipo: Red
Red: 192.168.100.0
máscara de red: 255.255.255.0
OK
2.Túnel VPN 設定
「VPN」
Activar VPN
Añadir
–Pestaña General
Modo de Modulación por IPSec: IKE previamente compartida utilizando Secret.
Nombre: FortiGate_network
IPSec primaria Nombre o dirección de puerta de enlace: 203.4.5.6
Secreto compartido: Establecer una contraseña
ID IKE local: Dirección IP (Dejar en blanco)
Peer IKE ID: Dirección IP (Dejar en blanco)
–ficha red
Red local:Subred LAN primaria(192.168.1.0/24、192.168.2.0/24)
Redes de destino:FortiGate_network.
–pestaña propuestas
IKE (Fase 1) Propuesta
Intercambiar: Modo principal
Grupo DH: Grupo 2
encriptación: 3DE
Autenticación: SHA1
Toda la vida: 28800
IKE (Fhse2) Propuesta
Protocolo: ESP
encriptación: 3DE
Autenticación: SHA1
不勾選「Enable perfect forward secrecy」
Toda la vida: 28800
–Lengüeta avanzada
Habilitar Keep Alive.
OK
A continuación, establezca el FortiGate,Hay dos maneras de túnel y de interfaz,La alternativa a un conjunto。(La enseñanza oficial es el modo de túnel)
[Modo -1.Tunnel FortiGate SET]
1.configuración de VPN
「VPN」 ->「IPSec」 ->「Auto clave(IKE)」->"Fase 1"
「Crear Fase 1」
Nombre de puerta de enlace: SonicWall
Puerta de enlace remota: IP estática
Dirección IP: 203.1.2.3
Modo: Principal
método de autentificación: clave previamente compartida
Pre-Shared Key: SonicWALL con el conjunto anterior de contraseña
–Avanzado
encriptación: 3DE
Autenticación: SHA1
Grupo DH: 2
Keylife: 28800
Deje los valores por defecto para el otro conjunto。
OK
「VPN」 ->「IPSec」 ->「Auto clave(IKE)」->"Fase 2"
「Crear Fase 2」
Nombre del túnel: SonicWall-192.168.1.0
Puerta de enlace remota: elecciones SonicWall
–Avanzado
encriptación: 3DE
Autenticación: SHA1
Desactive la opción "Habilitar la confidencialidad directa perfecta(PFS)"
(Si marca,Incluso Sonicwall también la inspección,VPN todavía puede ser capaz de establecer una causa,Por razones desconocidas,modo de interfaz no es un problema)
Keylife: 28800
–Selector de modo rápido..
Dirección de la fuente:192.168.100.0/24
Dirección de destino:192.168.1.0/24
OK
**Aquí el modo rápido se debe establecer con el fin de establecer una conexión con el SonicWall。De lo contrario, habrá FortiGate”ninguna puerta de enlace a juego para nueva solicitud”error。
El establecimiento de un segundo segmento de red(192.168.2.0)
「Crear Fase 2」
Nombre del túnel: SonicWall-192.168.2.0
Puerta de enlace remota: elecciones SonicWall
–Avanzado
encriptación: 3DE
Autenticación: SHA1
Desactive la opción "Habilitar la confidencialidad directa perfecta(PFS)"
Keylife: 28800
–Selector de modo rápido..
Dirección de la fuente:192.168.100.0/24
Dirección de destino:192.168.2.0/24
OK
2.establecer Dirección
「Firewall」 ->"Dirección"->"Dirección"
Crear nuevo
nombre:FortiGate_network
dirección IP:192.168.100.0
subred:255.255.255.0
OK
Crear nuevo
nombre:SonicWall_network_1
dirección IP:192.168.1.0
subred::255.255.255.0
OK
Crear nuevo
nombre:SonicWall_network_2
dirección IP:192.168.2.0
subred::255.255.255.0
OK
Los dos segmentos a un grupo Sonicwall
「Firewall」 ->"Dirección"->"Grupo"
Crear nuevo
Nombre del grupo:SonicWall_network
miembros:SonicWall_network_1、SonicWall_network_2
OK
3.normas establecidas firewall
「Firewall」 ->"Política"->"Política"
Crear nuevo
Interfaz de origen: Puerto 1(o interno)
Dirección de la fuente: FortiGate_network
Interfaz de destino: AN1 (o externa)
Dirección de destino: SonicWall_network
Programar: siempre
Servicio: ALGUNA
Acción: IPSEC (o Cifrar)
túnel VPN: SonicWall
勾 Permitir entrantes
勾 Permitir salientes
OK
[Modo -2.Interface FortiGate SET]
1.configuración de VPN
「VPN」 ->「IPSec」 ->「Auto clave(IKE)」->"Fase 1"
「Crear Fase 1」
Nombre de puerta de enlace: SonicWall
Puerta de enlace remota: IP estática
Dirección IP: 203.1.2.3
Modo: Principal
método de autentificación: clave previamente compartida
Pre-Shared Key: SonicWALL con el conjunto anterior de contraseña
–Avanzado
勾 「Activar el modo de interfaz IPsec」
encriptación: 3DE
Autenticación: SHA1
Grupo DH: 2
Keylife: 28800
Deje los valores por defecto para el otro conjunto。
OK
「VPN」 ->「IPSec」 ->「Auto clave(IKE)」->"Fase 2"
「Crear Fase 2」
Nombre del túnel: SonicWall-192.168.1.0
Puerta de enlace remota: SonicWall
–Avanzado
encriptación: 3DE
Autenticación: SHA1
Desactive la opción Habilitar confidencialidad directa perfecta(PFS)
Keylife: 28800
–Selector de modo rápido..
Dirección de la fuente:192.168.100.0/24
Dirección de destino:192.168.1.0/24
OK
**Aquí el modo rápido se debe establecer con el fin de establecer una conexión con el SonicWall。De lo contrario, habrá FortiGate”ninguna puerta de enlace a juego para nueva solicitud”error。
El establecimiento de un segundo segmento de red(192.168.2.0)
「Crear Fase 2」
Nombre del túnel: SonicWall-192.168.2.0
Puerta de enlace remota: SonicWall
–Avanzado
encriptación: 3DE
Autenticación: SHA1
Desactive la opción Habilitar confidencialidad directa perfecta(PFS)
Keylife: 28800
–Selector de modo rápido..
Dirección de la fuente:192.168.100.0/24
Dirección de destino:192.168.2.0/24
OK
2.Establecer una ruta
「Router」 ->"Estático"->「Ruta estática」
Crear nuevo
IP de destino / Máscara: 192.168.1.0/24
Dispositivo: SonicWall
OK
Crear nuevo
IP de destino / Máscara: 192.168.2.0/24
Dispositivo: SonicWall
OK
3.normas establecidas firewall
「Firewall」 ->"Política"->"Política"
Crear nuevo
Interfaz de origen: Puerto 1(o interno)
Dirección de la fuente: FortiGate_network
Interfaz de destino: SonicWall
Dirección de destino: SonicWall_network
Programar: siempre
Servicio: ALGUNA
Acción: Aceptar
OK
Crear nuevo
Interfaz de origen: SonicWall
Dirección de la fuente: SonicWall_network
Interfaz de destino: Puerto 1(o interno)
Dirección de destino: FortiGate_network
Programar: siempre
Servicio: ALGUNA
Acción: Aceptar
OK
【參考連結】
- Fortigate de aplicación SonicWALL IPSEC | Blog de Fred
- FortiGate para configurar VPN de SonicWall
- IPSEC VPN para usuarios remotos – ninguna puerta de enlace a juego para nueva solicitud | Fortinet foros de discusión técnica
[…] FortiGate 4.X y Sonicwall cortafuegos para establecer sitio para localizar VPN:Link FortiGate 5.6 Sitio a sitio con firewall de Sonicwall […]
[…] Anteriormente escribió un artículo "Sonicwall FortiGate Firewall Establecer sitio a sitio VPN",En ese momento a menudo se encuentran mantener los dispositivos FortiGate hacer sitio para localizar VPN,Y mi mano es Sonicwall,Los resultados son a veces implementación exitosa a veces falla,Más tarde, hay veces en total pasaron algún tiempo,Las dos marcas se fijan para ser una manera de organizar,Para facilitar la referencia subsiguiente。En ese tiempo de prueba y noticias de acabado,Han encontrado un firmware FortiGate ligeramente diferente,se establecerá la misma manera,para problemas,Más tarde, se dio a los dos métodos se pueden establecer con éxito la conexión”Túnel”與”Interfaz”se registran,De manera que el próximo encuentro de revisión,Puede probar diferentes métodos。 […]