三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,後來測試Juniper 5GT與Sonicwall倒是成功。最近又有需求要與一台FortiGate 110C建VPN,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,但我還是想再試一次用Sonicwall來建,看看能不能找出當初失敗的原因,來回測試一整天,आखिरकार मिल गया。
दोनों पक्षों ने पर्यावरण इस प्रकार हैं:
| Sonicwall एनएसए 4600 | FortiGate 110C |
| लैन: 192.168.1.0/24 192.168.2.0/24 वैन: | लैन: 192.168.100.0/24 वैन: |
[Sonicwall सेटिंग]
1.निर्मित वस्तु
"नेटवर्क"->「पता वस्तुओं」
नाम: FortiGate_network
जोन असाइनमेंट: वीपीएन
टाइप: संजाल
संजाल: 192.168.100.0
netmask: 255.255.255.0
OK
2.वीपीएन सुरंग की स्थापना
「वीपीएन」
वीपीएन सक्षम करें
जोड़ें
–सामान्य टैब
IPsec Keying मोड: IKE पूर्व-साझाकृत गुप्त का उपयोग कर.
नाम: FortiGate_network
IPSec प्राथमिक गेटवे नाम या पता: 203.4.5.6
साझा रहस्य: एक पासवर्ड सेट करें
स्थानीय IKE आईडी: आईपी पता (खाली छोड़ दें)
सहकर्मी IKE आईडी: आईपी पता (खाली छोड़ दें)
–नेटवर्क टैब
स्थानीय नेटवर्क:लैन प्राथमिक सबनेट(192.168.1.0/24、192.168.2.0/24)
गंतव्य नेटवर्क:FortiGate_network.
–प्रस्ताव टैब
IKE (Phase1) प्रस्ताव
अदला बदली: मुख्य मोड
DH समूह: समूह 2
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
जीवन काल: 28800
IKE (Phase2) प्रस्ताव
मसविदा बनाना: ईएसपी
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
DH समूह: समूह 2
जीवन काल: 28800
–उन्नत टैब
सक्षम रखें जिंदा.
OK
接著設定FortiGate,有Tunnel及Interface兩種方式,二擇一設定即可。(官方教學是Tunnel模式)
【FortiGate設定—1.Tunnel模式】
1.वीपीएन की स्थापना
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
रिमोट गेटवे: स्थैतिक आईपी
आईपी पता: 203.1.2.3
मोड: मुख्य
प्रमाणन विधि: गुप्त कुंजी
गुप्त कुंजी: पासवर्ड की ऊपर सेट के साथ Sonicwall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
DH समूह: 2
Keylife: 28800
保留其他設定的預設值。
OK
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
रिमोट गेटवे: 選SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選,就算Sonicwall也勾選,仍可能造成VPN無法建立,अज्ञात कारण,Interface模式則沒有此問題)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”त्रुटि。
एक दूसरे नेटवर्क खंड की स्थापना(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
रिमोट गेटवे: 選SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.建立Address
「फ़ायरवॉल」 ->「Address」->「Address」
नया बनाओ
नाम:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK
नया बनाओ
नाम:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK
नया बनाओ
नाम:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK
把Sonicwall兩個網段設為一個群組
「फ़ायरवॉल」 ->「Address」->「Group」
नया बनाओ
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
OK
3.फ़ायरवॉल नियम निर्धारित करें
「फ़ायरवॉल」 ->「नीति」 ->「नीति」
नया बनाओ
स्रोत इंटरफ़ेस: बंदरगाह 1(या आंतरिक)
स्रोत पता: FortiGate_network
गंतव्य इंटरफ़ेस: WAN1 (or External)
गंतव्य पता: SonicWall_network
अनुसूची: हमेशा
सेवा: कोई भी
कार्य: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
OK
【FortiGate設定—2.Interface模式】
1.वीपीएन की स्थापना
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
रिमोट गेटवे: स्थैतिक आईपी
आईपी पता: 203.1.2.3
मोड: मुख्य
प्रमाणन विधि: गुप्त कुंजी
गुप्त कुंजी: पासवर्ड की ऊपर सेट के साथ Sonicwall
–उन्नत
勾「Enable IPsec Interface Mode」
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
DH समूह: 2
Keylife: 28800
保留其他設定的預設值。
OK
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
रिमोट गेटवे: SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
सही का निशान हटाएँ सही आगे गोपनीयता सक्षम करें(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”त्रुटि。
एक दूसरे नेटवर्क खंड की स्थापना(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
रिमोट गेटवे: SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
सही का निशान हटाएँ सही आगे गोपनीयता सक्षम करें(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.एक मार्ग की स्थापना
「रूटर」 ->「स्टेटिक」 ->「स्टेटिक मार्ग」
नया बनाओ
गंतव्य आईपी / मास्क: 192.168.1.0/24
युक्ति: SonicWall
OK
नया बनाओ
गंतव्य आईपी / मास्क: 192.168.2.0/24
युक्ति: SonicWall
OK
3.फ़ायरवॉल नियम निर्धारित करें
「फ़ायरवॉल」 ->「नीति」 ->「नीति」
नया बनाओ
स्रोत इंटरफ़ेस: बंदरगाह 1(या आंतरिक)
स्रोत पता: FortiGate_network
गंतव्य इंटरफ़ेस: SonicWall
गंतव्य पता: SonicWall_network
अनुसूची: हमेशा
सेवा: कोई भी
कार्य: स्वीकार करना
OK
नया बनाओ
स्रोत इंटरफ़ेस: SonicWall
स्रोत पता: SonicWall_network
गंतव्य इंटरफ़ेस: बंदरगाह 1(या आंतरिक)
गंतव्य पता: FortiGate_network
अनुसूची: हमेशा
सेवा: कोई भी
कार्य: स्वीकार करना
OK
संदर्भ [कड़ी]
- Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | Fortinet तकनीकी चर्चा मंच
[…] 先前寫過一篇「Sonicwall FortiGate 防火牆建立 Site to Site VPN」的文章,उस समय अक्सर FortiGate उपकरणों रखने साइट VPN से साइट करना मुठभेड़,और मेरे हाथ Sonicwall है,परिणाम कभी कभी सफल कार्यान्वयन कभी कभी विफल रहता हैं,बाद में, कई बार पूरी तरह कुछ समय बिताया हैं,दो ब्रांडों को व्यवस्थित करने के लिए एक तरह से होना करने के लिए सेट कर रहे हैं,बाद के संदर्भ सुविधाजनक बनाने के लिए。उस समय के परीक्षण और परिष्करण समाचार पर,एक अलग FortiGate फर्मवेयर पाया है,काफी उसी तरह का गठन किया जाएगा,परेशान करने के लिए,बाद में, वह दो तरीकों सफलतापूर्वक कनेक्शन स्थापित किया जा सकता है दे दी है”सुरंग”與”इंटरफेस”रिकॉर्ड किए जाते हैं,ताकि अगली मुठभेड़ संशोधन,आप विभिन्न तरीकों की कोशिश कर सकते。 […]
[…] FortiGate 4.x और Sonicwall फ़ायरवॉल साइट VPN से साइट की स्थापना के लिए:連結 FortiGate 5.6 與 Sonicwall 防火牆建立 Site to Site […]