menulis artikel sebelumnya "Firewall Sonicwall FortiGate menetapkan VPN Situs ke Situs」的文章,Saat itu, saya sering menemui kebutuhan untuk melakukan Site to Site VPN dengan peralatan FortiGate,Dan tanganku adalah Sonicwall,Hasil implementasi terkadang berhasil dan terkadang gagal,Kemudian, butuh beberapa waktu sama sekali,Atur metode pengaturan kedua merek,Untuk referensi di masa mendatang。Saat menguji dan mengatur informasi,Saya menemukan bahwa firmware FortiGate sedikit berbeda,Metode pengaturan akan berbeda,Cukup bermasalah,Kemudian, dua cara untuk berhasil membuat koneksi”Terowongan”Memberikan”Antarmuka”Rekam semuanya,Sehingga lain kali Anda menemukan revisi,Anda dapat mencoba metode yang berbeda。
Hari ini, saya memenuhi kebutuhan untuk membuat VPN Situs ke Situs dengan FortiGate,Modelnya adalah FortiGate 80E,Versi firmware adalah 5.6.4,Ketika saya mendengar bahwa itu adalah firewall yang baru dibeli,Di dalam hatiku”Buruk”Pikiran,Tunggu sampai koneksi selesai untuk menonton,Benar saja, opsi telah berubah lagi,Dan bahkan antarmuka telah banyak berubah kali ini。Saat benar-benar menyiapkan item VPN,Saya menemukan bahwa sepertinya tidak ada poin kali ini”Terowongan”Memberikan”Antarmuka”,Saya pertama kali mencoba”Terowongan”Cara untuk mengatur,Tetapi VPN tidak berhasil dibuat,Kemudian ubah menjadi”Antarmuka”Mendirikan,Tapi hasilnya aneh,Situs ke Situs VPN di kedua sisi telah berhasil dibuat,Sonicwall dapat melakukan ping ke segmen jaringan FortiGate,Tapi sebaliknya batas waktu。Memeriksa urutan pengaturan kebijakan dan perutean, tidak ada masalah,Hasilnya sama lagi,Itu merusak otakku。
Lalu pergi untuk memeriksa informasi resmi,Tapi pejabat itu saat ini menargetkan 5.6 Versi firmware tampaknya hanya menyediakan tutorial pengaturan mode wizard Situs ke Situs VPN untuk produk FortiGate yang sama.,Tapi saya perhatikan bahwa ketika langkah terakhir dari mode wizard selesai,Layar menunjukkan item mana yang telah diubah dalam mode wizard kali ini.,Diantaranya bernama “Rute Lubang Hitam” Proyek menarik perhatian saya,Karena umumnya saat mengatur Situs ke Situs VPN,Siap “rute statis”,”Rute Lubang Hitam” Ini adalah pertama kalinya saya melihat proyek ini。Jadi saya tiba “Rute Statis” Pergi periksa,Di menu tarik-turun Antarmuka,Tentu saja”Lubang hitam”Pilihan,Coba tambahkan rute,Dan membuangnya ke”Lubang hitam”Antarmuka ini,Setelah pengaturan,Sonicwall yang awalnya di-ping ke segmen jaringan FortiGate,Tidak dapat melakukan ping sekarang,Kemudian saya menonaktifkan grup rute yang baru ditambahkan,Kemudian sesuatu yang ajaib terjadi,Baik Sonicwall dan FortiGate dapat melakukan ping satu sama lain,Tapi kemudian saya memutuskan VPN dan menghubungkan kembali,FortiGate tidak dapat melakukan ping ke jaringan Sonicwall lagi,Sonicwall juga dapat melakukan ping ke segmen jaringan FortiGate。
Lalu aku melakukan hal yang sama lagi,Taruh”Lubang hitam”Perutean diaktifkan、Nonaktifkan lagi,Kedua segmen jaringan dapat berkomunikasi satu sama lain lagi,Setelah pengujian beberapa kali untuk memastikan bahwa hasilnya sama,Mulai mempelajari ini”Lubang hitam”Pengaturan perutean。Dalam parameter konfigurasi perutean,Memiliki”Prioritas”跟”Jarak”Dua nilai akan mempengaruhi pesanan,Akhirnya dicoba asalkan”Lubang hitam”Dirutekan”Prioritas”Nilainya kurang dari rute VPN”Prioritas”;”Jarak”Nilainya lebih besar dari pada rute VPN”Jarak”,Kemudian dua segmen jaringan dapat terhubung secara normal,Bahkan jika Anda me-restart koneksi VPN, Anda dapat melakukan ping satu sama lain secara normal。
kemudian pergi untuk memeriksa resmi tentang”Lubang hitam”Informasi,Hanya temukan firmware versi lama, Anda dapat mengaturnya melalui perintah”Lubang hitam”rute,Tetapi saya masih tidak mengerti mengapa saya berhasil menyelesaikan masalah bahwa segmen jaringan FortiGate tidak dapat melakukan ping ke segmen jaringan Sonicwall.,Sekarang pertama-tama bagikan metode pengaturan yang berhasil ini,Jika ada informasi lebih lanjut dalam tindak lanjut,Perbarui artikel ini lagi,Jika Anda netizen tahu mengapa,Juga dipersilakan untuk meninggalkan komentar di bawah untuk berdiskusi,Terima kasih。
Lingkungan kedua belah pihak adalah sebagai berikut:
Sonicwall NSA 4600 | FortiGate 80E |
firmware:6.2.7.1 | firmware:5.6.4 |
Lan: 192.168.1.0/24 192.168.2.0/24 mobil van: |
Lan: 192.168.100.0/24 mobil van: |
[Pengaturan Sonicwall]
1.Bangun Objek
"Jaringan"->Alamat Obyek
Nama: FortiGate_network
Penugasan Zona: VPN
Jenis: Jaringan
Jaringan: 192.168.100.0
topeng jaring: 255.255.255.0
OK
2.Pengaturan VPN Tunnel
VPN」
Aktifkan VPN
Tambahkan
–Tab umum
Mode Penguncian IPSec: IKE menggunakan Rahasia yang Dibagikan Sebelumnya.
Nama: FortiGate_network
Nama atau Alamat Gateway utama IPSec: 203.4.5.6
Rahasia Bersama: Tetapkan kata sandi
ID IKE Lokal: Alamat IP (Biarkan kosong)
ID IKE Rekan: Alamat IP (Biarkan kosong)
–tab jaringan
Jaringan lokal:Subnet Utama LAN(192.168.1.0/24、192.168.2.0/24)
Jaringan Tujuan:FortiGate_network(192.168.100.0/24)
–tab proposal
IKE (Fase1) Usul
Menukarkan: Modus Utama
Grup DH: Kelompok 2
Enkripsi: 3DARI
Autentikasi: SHA1
Seumur hidup: 28800
IKE (Fase2) Usul
Protokol: ESP
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: Kelompok 2
Seumur hidup: 28800
–Tab Lanjutan
Aktifkan Tetap Hidup.
OK
[Pengaturan FortiGate]
1.Pengaturan VPN
VPN」->Terowongan IPsec」
"Membuat baru"
Nama: SonicWall
Jenis Templat: Kebiasaan
–Jaringan
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Mode: Utama
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas
–Fase 1 Usul
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800
–Fase 2 pemilih
Setel segmen jaringan pertama(192.168.1.0)
Nama: SonicWall-192.168.1.0
Alamat lokal: 192.168.100.0/24
Alamat Jarak Jauh: 192.168.1.0/24
Setel segmen jaringan kedua(192.168.2.0)
Nama: SonicWall-192.168.2.0
Alamat lokal: 192.168.100.0/24
Alamat Jarak Jauh: 192.168.2.0/24
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800
2.Tetapkan perutean
Pengaturan 192.168.1.0 rute
"Jaringan"->Rute Statis」
Membuat baru
Tujuan: 192.168.1.0/24
Antarmuka: SonicWall
Jarak Administratif: 10
-Opsi Lanjutan
Prioritas: 3 (Lebih besar dari preset Blackhole 0)
OK
Pengaturan 192.168.2.0 rute
"Jaringan"->Rute Statis」
Membuat baru
Tujuan: 192.168.2.0/24
Antarmuka: SonicWall
Jarak Administratif: 10
-Opsi Lanjutan
Prioritas: 3 (Lebih besar dari preset Blackhole 0)
OK
Pengaturan 192.168.1.0 Lubang hitam
"Jaringan"->Rute Statis」
Membuat baru
Tujuan: 192.168.1.0/24
Antarmuka: Lubang hitam
Jarak Administratif: 12 (Ini lebih besar dari nilai preset dari perutean umum 10)
OK
Pengaturan 192.168.2.0 Lubang hitam
"Jaringan"->Rute Statis」
Membuat baru
Tujuan: 192.168.2.0/24
Antarmuka: Lubang hitam
Jarak Administratif: 12 (Ini lebih besar dari nilai preset dari perutean umum 10)
OK
3.Tetapkan aturan firewall
"Aturan & Objek」->Kebijakan IPv4」
Membuat baru
Nama: Forti2Sonicwall
Antarmuka Sumber: Pelabuhan 1(192.168.100.0 Pelabuhan)
Antarmuka Keluar: SonicWall
Sumber: FortiGate_network
Tujuan: SonicWall_network
Jadwal: selalu
Layanan: SEMUA
Tindakan: Menerima
OK
Membuat baru
Nama: Sonicwall2Forti
Antarmuka Sumber: SonicWall
Antarmuka Keluar: Pelabuhan 1(192.168.100.0 Pelabuhan)
Sumber: SonicWall_network
Tujuan: FortiGate_network
Jadwal: selalu
Layanan: SEMUA
Tindakan: Menerima
OK
[Tautan referensi]
- Old Changtan Sen » Firewall Sonicwall FortiGate membuat Situs ke Situs VPN
- (20) 03 Bentengi Firewall, Fortinet: Kebijakan Firewall. – YouTube
- VPN IPsec situs-ke-situs dengan subnet yang tumpang tindih – Buku Masak Fortinet