Récemment, mesurée par une filiale d'un nouveau FortiGate,Même après la première vérification de la version firmware,Le résultat est une version plus grande de la transaction,L'original est 5.6,voici 6.0,Chaque version de la transaction,Lors de l'établissement et mon site Sonicwall VPN du site,J'ai eu du mal,Sans surprise ce n'est pas un guichet unique,Par conséquent, il y a eu la naissance de cet article,Mais par rapport aux deux précédentes,Le processus de mise au point est relativement lisse beaucoup。
Regardez d'abord l'histoire:
FortiGate 4.X et Sonicwall pare-feu pour établir le site VPN du site:Consolidé
FortiGate 5.6 Mettre en place le site VPN du site avec pare-feu Sonicwall:Consolidé
La pratique avec 5.6 Il en va de même,Principalement FortiGate être connecté à Sonicwall est définie dans la stratégie,Pour désactiver NAT (Activé par défaut),Si vous n'arrêtez pas,Rencontre avec 5.6 Le même problème (SonicWall peut ping FortiGate,Non vice versa),Et 5.6 le routage Blackhole ensemble de problèmes demeurent,Doit être mis en place sur le travail。
L'environnement deux côtés sont les suivantes:
NSA Sonicwall 4600 | FortiGate 100E |
firmware:6.5.4.4 | firmware:6.0.6 |
Lan: 192.168.1.0/24 192.168.2.0/24 van: |
Lan: 192.168.100.0/24 van: |
[Sonicwall Paramètres]
1.Built Object
「Réseau」 -> 「Objets Adresse」
Nom: FortiGate_network
Cession de la zone: VPN
Type: Network
Network: 192.168.100.0
netmask: 255.255.255.0
D'accord
2.Configuration VPN Tunnel
「VPN」
activer VPN
Ajouter
–onglet général
IPSec mode Keying: IKE utilisant Preshared secret.
Nom: FortiGate_network
IPSec primaire passerelle Nom ou adresse: 203.4.5.6
Secret partagé: Définir un mot de passe
IKE Local ID: Adresse IP (Laissez le champ vide)
Peer IKE ID: Adresse IP (Laissez le champ vide)
–onglet Réseau
Réseau local:LAN primaire sous-réseau(192.168.1.0/24、192.168.2.0/24)
Réseaux de destination:FortiGate_network(192.168.100.0/24)
–onglet propositions
IKE (La phase 1) Proposition
Échange: IKEv2 mode
DH Groupe: Groupe 2
Le chiffrement: 3DES
Authentification: SHA1
Durée de vie: 28800
IKE (Fhse2) Proposition
Protocole: ESP
Le chiffrement: 3DES
Authentification: SHA1
DH Groupe: Groupe 2
Durée de vie: 28800
D'accord
[FortiGate Paramètres]
1.VPN Réglage
「VPN」 -> 「tunnels IPSec」
"Créer un nouveau"
Nom: SonicWall
type de modèle: Douane
–Network
Passerelle à distance: I.P statique
Adresse IP: 203.1.2.3
Interface: wan1
–Authentification
Méthode d'authentification: Clé Pré-Partagée
Clé Pré-Partagée: Sonicwall avec le jeu de mot de passe ci-dessus
IKE version: 2
–Phase 1 Proposition
Le chiffrement: AES128
Authentification: SHA1
DH Groupe: 2
Keylife: 28800
–Phase 2 Selectors
Définit le premier segment de réseau(192.168.1.0)
Nom: SonicWall-192.168.1.0
Adresse locale: 192.168.100.0/24
Adresse à distance: 192.168.1.0/24
Définition d'un deuxième segment de réseau(192.168.2.0)
Nom: SonicWall-192.168.2.0
Adresse locale: 192.168.100.0/24
Adresse à distance: 192.168.2.0/24
–Avancée
Le chiffrement: 3DES
Authentification: SHA1
Décochez la case Activer le secret parfait avant(PFS)
Keylife: 28800
2.Établir un itinéraire
Mise 192.168.1.0 routage
Réseau 「」 -> 「Routes statiques」
Créer un nouveau
Destination: 192.168.1.0/24
Interface: SonicWall
Distance administrative: 10
-Options avancées
Priorité: 3 (Blackhole est supérieure à la présélection 0)
D'accord
Mise 192.168.2.0 routage
Réseau 「」 -> 「Routes statiques」
Créer un nouveau
Destination: 192.168.2.0/24
Interface: SonicWall
Distance administrative: 10
-Options avancées
Priorité: 3 (Blackhole est supérieure à la présélection 0)
D'accord
Mise 192.168.1.0 Trou noir
Réseau 「」 -> 「Routes statiques」
Créer un nouveau
Destination: 192.168.1.0/24
Interface: Trou noir
Distance administrative: 12 (En règle générale supérieure à la voie prédéfinie 10)
D'accord
Mise 192.168.2.0 Trou noir
Réseau 「」 -> 「Routes statiques」
Créer un nouveau
Destination: 192.168.2.0/24
Interface: Trou noir
Distance administrative: 12 (En règle générale supérieure à la voie prédéfinie 10)
D'accord
3.Définir des règles de pare-feu
"Politique & Objets 」->「IPv4 Politique」
Créer un nouveau
Nom: Forti2Sonicwall
Source Interface: Port 1(192.168.100.0 Où le port)
Interface sortant: SonicWall
La source: FortiGate_network
Destination: SonicWall_network
Programme: toujours
Service: TOUT
action: Acceptez
Fermer NAT(Le principal problème dans cette version du firmware ne peut pas être ouvert ici)
D'accord
Créer un nouveau
Nom: Sonicwall2Forti
Source Interface: SonicWall
Interface sortant: Port 1(192.168.100.0 Où le port)
La source: SonicWall_network
Destination: FortiGate_network
Programme: toujours
Service: TOUT
action: Acceptez
D'accord