לאחרונה נמדד על ידי חברה בת של Fortigate חדש,גם אחרי הצ'ק הראשון מעלה את גרסת הקושחה,התוצאה היא גרסה גדולה של העסקה,המקור הוא 5.6,זהה 6.0,כל גרסה של העסקה,כאשר בהקמת אתר Sonicwall שלי לאתר VPN,יש לי חיים קשים,באופן לא מפתיע זה לא one-stop,לכן, חלה הלידה של מאמר זה,אבל לעומת שני הקודמים,תהליך הניפוי יחסית חלקה הרבה。
מבט ראשון בהיסטוריה:
FortiGate 4.x ו- Sonicwall חומת אש להקים אתר לאתר VPN:קשר
FortiGate 5.6 הקמת אתר לאתר VPN עם חומת אש Sonicwall:קשר
התרגול עם 5.6 כך גם,בעיקר Fortigate להיות מחובר Sonicwall מוגדר במדיניות,כדי לכבות NAT (ברירת המחדל היא על),אם אינך כיבוי,נפגש עם 5.6 את אותה הבעיה (SonicWALL יכול לאותת Fortigate,ולא להיפך),而 5.6 Blackhole ניתוב להגדיר בעיות להישאר,יש להקים על העבודה。
סביבת שני הצדדים הן כדלקמן:
Sonicwall NSA 4600 | FortiGate 100E |
קושחה:6.5.4.4 | קושחה:6.0.6 |
Lan: 192.168.1.0/24 192.168.2.0/24 ואן: |
Lan: 192.168.100.0/24 ואן: |
[Sonicwall הגדרות]
1.אובייקט מובנה
「אובייקטים כתוב」> - 「Network」
שם: FortiGate_network
הקצאת Zone: VPN
סוג: רשת
רשת: 192.168.100.0
מסיכת רשת: 255.255.255.0
אישור
2.הגדרת VPN Tunnel
「VPN」
אפשר VPN
הוספה
–לשונית כללית
מצב IPSec מפתוח: IKE באמצעות משותף מראש Secret.
שם: FortiGate_network
שם או כתובת IPSec Gateway עיקריים: 203.4.5.6
סוד משותף: הגדרת סיסמה
מזהה IKE מקומי: כתובת ה - IP (השאר ריק)
Peer IKE ID: כתובת ה - IP (השאר ריק)
–כרטיסיית רשת
רשת מקומית:Subnet הראשי LAN(192.168.1.0/24、192.168.2.0/24)
רשתות יעד:FortiGate_network(192.168.100.0/24)
–כרטיסיית הצעות
IKE (Fhsel) הצעה
לְהַחלִיף: מצב IKEv2
DH קבוצה: קבוצה 2
הצף: 3OF
אימות: SHA1
לכל החיים: 28800
IKE (Fhse2) הצעה
פרוטוקול: ESP
הצף: 3OF
אימות: SHA1
DH קבוצה: קבוצה 2
לכל החיים: 28800
אישור
[FortiGate הגדרות]
1.VPN הגדרה
「VPN」 -> 「מנהרות IPsec」
"צור חדש"
שם: SonicWall
סוג תבנית: המותאם אישית
–רשת
Gateway מרחוק: Static IP
כתובת ה - IP: 203.1.2.3
מִמְשָׁק: Wan1
–אימות
שיטת אימות: משותף מראש מפתח
מפתח משותף מראש: Sonicwall עם סט של הסיסמה מעל
IKE גרסה: 2
–שלב 1 הצעה
הצף: AES128
אימות: SHA1
DH קבוצה: 2
Keylife: 28800
–שלב 2 בורר
מגדיר את קטע הרשת הראשון(192.168.1.0)
שם: SonicWall-192.168.1.0
כתובת מקומית: 192.168.100.0/24
כתובת מרחוק: 192.168.1.0/24
הגדרת קטע רשת שנייה(192.168.2.0)
שם: SonicWall-192.168.2.0
כתובת מקומית: 192.168.100.0/24
כתובת מרחוק: 192.168.2.0/24
–מתקדם
הצף: 3OF
אימות: SHA1
בטל מפעיל סודיות מושלמת קדימה(PFS)
Keylife: 28800
2.למסד קו
ערכה 192.168.1.0 ניתוב
「Network」 -> 「נתיבים סטטיים」
צור חדש
יעד: 192.168.1.0/24
מִמְשָׁק: SonicWall
מרחק מנהלי: 10
-אפשרויות מתקדמות
עדיפות: 3 (Blackhole גדול קבוע מראש 0)
אישור
ערכה 192.168.2.0 ניתוב
「Network」 -> 「נתיבים סטטיים」
צור חדש
יעד: 192.168.2.0/24
מִמְשָׁק: SonicWall
מרחק מנהלי: 10
-אפשרויות מתקדמות
עדיפות: 3 (Blackhole גדול קבוע מראש 0)
אישור
ערכה 192.168.1.0 חור שחור
「Network」 -> 「נתיבים סטטיים」
צור חדש
יעד: 192.168.1.0/24
מִמְשָׁק: חור שחור
מרחק מנהלי: 12 (באופן כללי יותר מאשר במסלול קבוע מראש 10)
אישור
ערכה 192.168.2.0 חור שחור
「Network」 -> 「נתיבים סטטיים」
צור חדש
יעד: 192.168.2.0/24
מִמְשָׁק: חור שחור
מרחק מנהלי: 12 (באופן כללי יותר מאשר במסלול קבוע מראש 10)
אישור
3.כללים חומים אש גדר
「מדיניות & אובייקטים 」->「מדיניות IPv4」
צור חדש
שם: Forti2Sonicwall
ממשק המקור: נמל 1(192.168.100.0 איפה הנמל)
ממשק יוצא: SonicWall
מקור: FortiGate_network
יעד: SonicWall_network
לוח זמנים: תמיד
שרות: את כל
פעולה: קבל
NAT Close(הבעיה העיקרית בגרסה זו של הקושחה לא ניתן לפתוח כאן)
אישור
צור חדש
שם: Sonicwall2Forti
ממשק המקור: SonicWall
ממשק יוצא: נמל 1(192.168.100.0 איפה הנמל)
מקור: SonicWall_network
יעד: FortiGate_network
לוח זמנים: תמיד
שרות: את כל
פעולה: קבל
אישור