Auparavant écrit "pare-feu FortiGate Sonicwall pour établir le site VPN du site」的文章,A ce moment-là se heurtent souvent à garder les dispositifs FortiGate faire du site VPN du site,Et ma main est Sonicwall,Les résultats sont parfois mise en œuvre réussie échoue parfois,Plus tard, il y a des moments tout à fait passé un certain temps,Les deux marques sont définies comme un moyen d'organiser,Pour faciliter la consultation ultérieure。A ce temps d'essai et de finition Nouvelles,Ont trouvé un firmware FortiGate légèrement différent,Tout à fait de la même façon sera réglée,Trouble,Plus tard, il a donné les deux méthodes peuvent être établies avec succès la connexion”Tunnel”Donner”Interface”sont enregistrées,Alors que la prochaine révision de la rencontre,Vous pouvez essayer différentes méthodes。
Aujourd'hui, nous avons rencontré la demande de maintenir en place FortiGate Site VPN du site de,Le modèle est FortiGate 80E,Version du micrologiciel 5.6.4,Lorsque vous entendez est d'acheter un nouveau pare-feu,Je me suis retrouvé”Tout sauf rassurant”idée,Attendez que la connexion sur pour voir,Effectivement les options ont changé à nouveau,Et cette fois, même l'interface a beaucoup changé。Le projet réel démarrage VPN mise,Cette découverte semble avoir aucun point”Tunnel”Donner”Interface”,J'ai d'abord essayé de précédent”Tunnel”La façon de régler la,Mais n'a pas établi un réseau privé virtuel avec succès,Puis changé”Interface”établir,Mais les résultats apparaissent étranges,Les deux parties du site VPN du site a été établi avec succès,Cette fin peut ping Sonicwall FortiGate segments d'extrémité,Mais pas de délai d'attente vice。Cochés les commandes et les paramètres de stratégie de routage ne posent aucun problème,résultat Zhonglaiyici est le même,Permettez-moi de maux de tête。
Pour en savoir après les données officielles,Mais pour le moment officiel 5.6 La version du firmware semble fournir uniquement le même VPN site Mode Assistant est réglé sur site produit FortiGate de l'enseignement,Mais j'ai remarqué que lorsque terminé l'étape finale dans le mode Assistant,Le mode d'affichage de l'écran de l'assistant dans lequel les projets ont été réalisés plusieurs ensembles de transactions,Qui ont un fichier appelé “Route Blackhole” Le projet a attiré mon attention,Parce que généralement mis du site VPN du site,sont fixés “itinéraire statique”,”Route Blackhole” Ce projet est en fait la première fois que je voyais。Puis est allé “Routes statiques” Aller à Voir,Dans le menu déroulant Interface.,Il vraiment”Trou noir”options,Essayez d'ajouter une somme de routage,Et jeté dans”Trou noir”cette interface,après avoir réglé,Il y avait également ping sur le segment de réseau FortiGate Sonicwall,Maintenant, moins d'un ping,Ensuite, je viens d'ajouter cette option pour désactiver le groupe de routage,Puis la magie est arrivé dès,Sonicwall réseau des deux côtés de la FortiGate peut ping l'autre pour,Mais après je me déconnecter puis reconnecter le VPN,FortiGate encore incapable de ping sur le segment de réseau Sonicwall,Sonicwall vous pouvez toujours ping sur le segment de réseau FortiGate。
Ensuite, je pratique le même nouveau,la”Trou noir”routage activé、Et puis désactivé,Segment des deux côtés et peut communiquer,Après l'essai plusieurs fois pour confirmer les résultats sont les mêmes,A commencé à étudier la”Trou noir”réglages du routage。Dans les paramètres de réglage d'un itinéraire,avoir”Priorité”跟”Distance”Deux valeurs auront une incidence sur l'ordre,Enfin, essayez aussi longtemps que”Trou noir”routes”Priorité”La valeur est inférieure que les routes VPN”Priorité”;”Distance”Les valeurs supérieures à des routes VPN”Distance”,Vous pouvez faire les deux côtés de la connexion réseau normal,Même connexion VPN redémarrage peut aussi être un ping normale l'autre。
puis il est allé vérifier officielle”Trou noir”IT,Uniquement dans les versions précédentes du firmware peut passer par ce jeu d'instructions”Trou noir”routage,Mais je ne sais toujours pas pourquoi je voudrais essayer de résoudre le segment de réseau FortiGate problème de ping moins que le réseau Sonicwall,Actuellement premier à partager ce succès est le mode défini,Si des informations complémentaires de suivi,Mettre à jour ce post à nouveau,Savez-vous pourquoi les mots Netizens,Dans la discussion suivante sont également un message de bienvenue,Merci。
L'environnement deux côtés sont les suivantes:
| NSA Sonicwall 4600 | FortiGate 80E |
| firmware:6.2.7.1 | firmware:5.6.4 |
| Lan: 192.168.1.0/24 192.168.2.0/24 van: |
Lan: 192.168.100.0/24 van: |
[Réglage] Sonicwall
1.Built Object
"Réseau"->「Objets Adresse」
Nom: FortiGate_network
Cession de la zone: VPN
Type: Network
Network: 192.168.100.0
netmask: 255.255.255.0
D'accord
2.設定 VPN Tunnel
「VPN」
activer VPN
Ajouter
–onglet général
IPSec mode Keying: IKE utilisant Preshared secret.
Nom: FortiGate_network
IPSec primaire passerelle Nom ou adresse: 203.4.5.6
Secret partagé: Définir un mot de passe
IKE Local ID: Adresse IP (Laissez le champ vide)
Peer IKE ID: Adresse IP (Laissez le champ vide)
–onglet Réseau
Réseau local:LAN primaire sous-réseau(192.168.1.0/24、192.168.2.0/24)
Réseaux de destination:FortiGate_network(192.168.100.0/24)
–onglet propositions
IKE (La phase 1) Proposition
Échange: mode principal
DH Groupe: Groupe 2
Le chiffrement: 3DES
Authentification: SHA1
Durée de vie: 28800
IKE (Fhse2) Proposition
Protocole: ESP
Le chiffrement: 3DES
Authentification: SHA1
DH Groupe: Groupe 2
Durée de vie: 28800
–Onglet Avancé
Activer Keep Alive.
D'accord
[FortiGate Paramètres]
1.Paramètres VPN
「VPN」 ->「Tunnels IPsec」
"Créer un nouveau"
Nom: SonicWall
type de modèle: Douane
–Network
Passerelle à distance: I.P statique
Adresse IP: 203.1.2.3
Mode: Principale
Méthode d'authentification: Clé Pré-Partagée
Clé Pré-Partagée: Sonicwall avec le jeu de mot de passe ci-dessus
–Phase 1 Proposition
Le chiffrement: 3DES
Authentification: SHA1
DH Groupe: 2
Keylife: 28800
–Phase 2 Selectors
Définit le premier segment de réseau(192.168.1.0)
Nom: SonicWall-192.168.1.0
Adresse locale: 192.168.100.0/24
Adresse à distance: 192.168.1.0/24
Définition d'un deuxième segment de réseau(192.168.2.0)
Nom: SonicWall-192.168.2.0
Adresse locale: 192.168.100.0/24
Adresse à distance: 192.168.2.0/24
–Avancée
Le chiffrement: 3DES
Authentification: SHA1
Décochez la case Activer le secret parfait avant(PFS)
Keylife: 28800
2.Établir un itinéraire
Mise 192.168.1.0 routage
"Réseau"->「Routes statiques」
Créer un nouveau
Destination: 192.168.1.0/24
Interface: SonicWall
Distance administrative: 10
-Options avancées
Priorité: 3 (Blackhole est supérieure à la présélection 0)
D'accord
Mise 192.168.2.0 routage
"Réseau"->「Routes statiques」
Créer un nouveau
Destination: 192.168.2.0/24
Interface: SonicWall
Distance administrative: 10
-Options avancées
Priorité: 3 (Blackhole est supérieure à la présélection 0)
D'accord
Mise 192.168.1.0 Trou noir
"Réseau"->「Routes statiques」
Créer un nouveau
Destination: 192.168.1.0/24
Interface: Trou noir
Distance administrative: 12 (En règle générale supérieure à la voie prédéfinie 10)
D'accord
Mise 192.168.2.0 Trou noir
"Réseau"->「Routes statiques」
Créer un nouveau
Destination: 192.168.2.0/24
Interface: Trou noir
Distance administrative: 12 (En règle générale supérieure à la voie prédéfinie 10)
D'accord
3.Définir des règles de pare-feu
"Politique & Objets"->「IPv4 Politique」
Créer un nouveau
Nom: Forti2Sonicwall
Source Interface: Port 1(192.168.100.0 Où le port)
Interface sortant: SonicWall
La source: FortiGate_network
Destination: SonicWall_network
Programme: toujours
Service: TOUT
action: Acceptez
D'accord
Créer un nouveau
Nom: Sonicwall2Forti
Source Interface: SonicWall
Interface sortant: Port 1(192.168.100.0 Où le port)
La source: SonicWall_network
Destination: FortiGate_network
Programme: toujours
Service: TOUT
action: Acceptez
D'accord
Référence [lien]
- Old Sen Chang Tan >> pare-feu FortiGate Sonicwall pour établir le site VPN du site
- (20) 03 Pare-feu FortiGate, Fortinet: Politiques de pare-feu. – YouTube
- Site à site VPN IPsec avec chevauchement des sous-réseaux – Fortinet livre de recettes
