三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,後來測試Juniper 5GT與Sonicwall倒是成功。最近又有需求要與一台FortiGate 110C建VPN,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,但我還是想再試一次用Sonicwall來建,看看能不能找出當初失敗的原因,來回測試一整天,סוף כל סוף הבנתי את זה。
סביבת שני הצדדים הן כדלקמן:
Sonicwall NSA 4600 | FortiGate 110C |
Lan: 192.168.1.0/24 192.168.2.0/24 ואן: |
Lan: 192.168.100.0/24 ואן: |
[Sonicwall הגדרות]
1.אובייקט מובנה
「Network」 ->「אובייקטים כתובת」
שם: FortiGate_network
הקצאת Zone: VPN
סוג: רשת
רשת: 192.168.100.0
מסיכת רשת: 255.255.255.0
אישור
2.הגדרת VPN Tunnel
「VPN」
אפשר VPN
הוספה
–לשונית כללית
מצב IPSec מפתוח: IKE באמצעות משותף מראש Secret.
שם: FortiGate_network
שם או כתובת IPSec Gateway עיקריים: 203.4.5.6
סוד משותף: הגדרת סיסמה
מזהה IKE מקומי: כתובת ה - IP (השאר ריק)
Peer IKE ID: כתובת ה - IP (השאר ריק)
–כרטיסיית רשת
רשת מקומית:Subnet הראשי LAN(192.168.1.0/24、192.168.2.0/24)
רשתות יעד:FortiGate_network.
–כרטיסיית הצעות
IKE (Fhsel) הצעה
לְהַחלִיף: מצב ראשי
DH קבוצה: קבוצה 2
הצף: 3OF
אימות: SHA1
לכל החיים: 28800
IKE (Fhse2) הצעה
פרוטוקול: ESP
הצף: 3OF
אימות: SHA1
不勾選「Enable perfect forward secrecy」
לכל החיים: 28800
–כרטיסייה מתקדמת
Enable שמור בחיים.
אישור
接著設定FortiGate,有Tunnel及Interface兩種方式,二擇一設定即可。(官方教學是Tunnel模式)
【FortiGate設定—1.Tunnel模式】
1.הגדרת VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gateway מרחוק: Static IP
כתובת ה - IP: 203.1.2.3
מצב: ראש
שיטת אימות: משותף מראש מפתח
מפתח משותף מראש: Sonicwall עם סט של הסיסמה מעל
–מתקדם
הצף: 3OF
אימות: SHA1
DH קבוצה: 2
Keylife: 28800
保留其他設定的預設值。
אישור
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gateway מרחוק: 選SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
不勾選「Enable perfect forward secrecy(PFS)」
(如果勾選,就算Sonicwall也勾選,仍可能造成VPN無法建立,סיבה לא ידועה,Interface模式則沒有此問題)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
אישור
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”שגיאה。
הגדרת קטע רשת שנייה(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gateway מרחוק: 選SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
不勾選「Enable perfect forward secrecy(PFS)」
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
אישור
2.建立Address
"חומת אש"->「Address」->「Address」
צור חדש
שֵׁם:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
אישור
צור חדש
שֵׁם:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
אישור
צור חדש
שֵׁם:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
אישור
把Sonicwall兩個網段設為一個群組
"חומת אש"->「Address」->「Group」
צור חדש
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
אישור
3.כללים חומים אש גדר
"חומת אש"->「מדיניות」 ->「מדיניות」
צור חדש
ממשק המקור: נמל 1(או פנימי)
כתובת המקור: FortiGate_network
ממשק יעד: WAN1 (or External)
כתובת יעד: SonicWall_network
לוח זמנים: תמיד
שרות: כל
פעולה: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
אישור
【FortiGate設定—2.Interface模式】
1.הגדרת VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gateway מרחוק: Static IP
כתובת ה - IP: 203.1.2.3
מצב: ראש
שיטת אימות: משותף מראש מפתח
מפתח משותף מראש: Sonicwall עם סט של הסיסמה מעל
–מתקדם
勾「Enable IPsec Interface Mode」
הצף: 3OF
אימות: SHA1
DH קבוצה: 2
Keylife: 28800
保留其他設定的預設值。
אישור
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gateway מרחוק: SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
בטל מפעיל סודיות מושלמת קדימה(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
אישור
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”שגיאה。
הגדרת קטע רשת שנייה(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gateway מרחוק: SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
בטל מפעיל סודיות מושלמת קדימה(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
אישור
2.למסד קו
「נתב」 ->「סטטי」 ->「נתיב סטטי」
צור חדש
IP יעד / מסכה: 192.168.1.0/24
התקן: SonicWall
אישור
צור חדש
IP יעד / מסכה: 192.168.2.0/24
התקן: SonicWall
אישור
3.כללים חומים אש גדר
"חומת אש"->「מדיניות」 ->「מדיניות」
צור חדש
ממשק המקור: נמל 1(או פנימי)
כתובת המקור: FortiGate_network
ממשק יעד: SonicWall
כתובת יעד: SonicWall_network
לוח זמנים: תמיד
שרות: כל
פעולה: קבל
אישור
צור חדש
ממשק המקור: SonicWall
כתובת המקור: SonicWall_network
ממשק יעד: נמל 1(או פנימי)
כתובת יעד: FortiGate_network
לוח זמנים: תמיד
שרות: כל
פעולה: קבל
אישור
【參考連結】
- Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | פורומי דיון טכניים של Fortinet
[…] FortiGate 4.x ו- Sonicwall חומת אש להקים אתר לאתר VPN:連結 FortiGate 5.6 與 Sonicwall 防火牆建立 Site to Site […]
[…] 先前寫過一篇「Sonicwall FortiGate 防火牆建立 Site to Site VPN」的文章,באותו הזמן נתקל לשמור התקני FortiGate לעשות אתר לאתר VPN,וידי הוא Sonicwall,התוצאות הן לעתים יישום מוצלח ולפעמים נכשל,מאוחר יותר, ישנם פעמים לגמרי בילו קצת זמן,שני המותגים נקבעים להיות דרך לארגן,כדי להקל על הפניה עוקבת。באותה בדיקה וחדשות בזמן הגמר,מצא הקושחה FortiGate שונה במקצת,די באותה הצורה תיקבע,כדי בצרות,מאוחר יותר, הוא נתן את שתי השיטות ניתן להקים בהצלחה חיבור”מנהרה”與”מִמְשָׁק”נרשם,אז תיקון המפגש הבא,אתה יכול לנסות שיטות שונות。 […]