FortiGate 6.0 Buat Situs ke Situs VPN dengan firewall Sonicwall

  最近子公司借測一台新的 Fortigate連上去後先檢查一下韌體版本結果又是大版本異動原先為 5.6,這次是 6.0,每一次的版本異動在與我的 Sonicwall 建立 Site to Site VPN 時都讓我吃足苦頭這次不意外的也是沒有一次搞定因此又有了這篇文章的誕生不過相較前兩次這次的除錯過程相對順利很多

先回顧一下歷史
FortiGate 4.X 與 Sonicwall 防火牆建立 Site to Site VPNMata Rantai
FortiGate 5.6 Buat Situs ke Situs VPN dengan firewall Sonicwall:Mata Rantai

這次的做法跟 5.6 大同小異主要在於 Fortigate 要連到 Sonicwall 的 Policy 設定裡NAT 要關閉 (預設是開啟的),如果沒關閉就遇到跟 5.6 樣 masalah yang sama 的 (Sonicwall 可以 ping 到 Fortigate反之不行),而 5.6 的 Blackhole routing 設定問題依然存在必須要設對才行


 

Lingkungan kedua belah pihak adalah sebagai berikut:

Sonicwall NSA 4600 FortiGate 100E
firmware:6.5.4.4 firmware:6.0.6
Lan:
192.168.1.0/24
192.168.2.0/24

mobil van:
203.1.2.3

Lan:
192.168.100.0/24
 

mobil van:
203.4.5.6

【Sonicwall 設定】
1.建 Object
「Network」->「Address Objects」
Nama: FortiGate_network
Penugasan Zona: VPN
Jenis: Jaringan
Jaringan: 192.168.100.0
topeng jaring: 255.255.255.0
OK

2.設定 VPN Tunnel
VPN」
Aktifkan VPN
Tambahkan
–Tab umum
Mode Penguncian IPSec: IKE menggunakan Rahasia yang Dibagikan Sebelumnya.
Nama: FortiGate_network
Nama atau Alamat Gateway utama IPSec: 203.4.5.6
Rahasia Bersama: Tetapkan kata sandi
ID IKE Lokal: Alamat IP (Biarkan kosong)
ID IKE Rekan: Alamat IP (Biarkan kosong)

–tab jaringan
Jaringan lokal:Subnet Utama LAN(192.168.1.0/24、192.168.2.0/24)
Jaringan Tujuan:FortiGate_network(192.168.100.0/24)

–tab proposal
IKE (Fase1) Usul
Menukarkan: IKEv2 Mode
Grup DH: Kelompok 2
Enkripsi: 3DARI
Autentikasi: SHA1
Seumur hidup: 28800

IKE (Fase2) Usul
Protokol: ESP
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: Kelompok 2
Seumur hidup: 28800

OK

【FortiGate 設定】
1.設定 VPN
「VPN」->「IPsec Tunnels」
"Membuat baru"
Nama: SonicWall
Jenis Templat: Kebiasaan

–Jaringan
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Antarmuka: Wan1

–Autentikasi
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas
IKE Version: 2

–Fase 1 Usul
Enkripsi: AES128
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800

–Fase 2 pemilih
Setel segmen jaringan pertama(192.168.1.0)
Nama: SonicWall-192.168.1.0
Alamat lokal: 192.168.100.0/24
Alamat Jarak Jauh: 192.168.1.0/24

Setel segmen jaringan kedua(192.168.2.0)
Nama: SonicWall-192.168.2.0
Alamat lokal: 192.168.100.0/24
Alamat Jarak Jauh: 192.168.2.0/24

–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800

2.Tetapkan perutean
Pengaturan 192.168.1.0 rute
「Network」->「Static Routes」
Membuat baru
Tujuan: 192.168.1.0/24
Antarmuka: SonicWall
Jarak Administratif: 10
-Opsi Lanjutan
Prioritas: 3 (Lebih besar dari preset Blackhole 0)
OK

Pengaturan 192.168.2.0 rute
「Network」->「Static Routes」
Membuat baru
Tujuan: 192.168.2.0/24
Antarmuka: SonicWall
Jarak Administratif: 10
-Opsi Lanjutan
Prioritas: 3 (Lebih besar dari preset Blackhole 0)
OK

Pengaturan 192.168.1.0 Lubang hitam
「Network」->「Static Routes」
Membuat baru
Tujuan: 192.168.1.0/24
Antarmuka: Lubang hitam
Jarak Administratif: 12 (Ini lebih besar dari nilai preset dari perutean umum 10)
OK

Pengaturan 192.168.2.0 Lubang hitam
「Network」->「Static Routes」
Membuat baru
Tujuan: 192.168.2.0/24
Antarmuka: Lubang hitam
Jarak Administratif: 12 (Ini lebih besar dari nilai preset dari perutean umum 10)
OK

3.Tetapkan aturan firewall
"Aturan & Objects」->「IPv4 Policy」
Membuat baru
Nama: Forti2Sonicwall
Antarmuka Sumber: Pelabuhan 1(192.168.100.0 Pelabuhan)
Antarmuka Keluar: SonicWall
Sumber: FortiGate_network
Tujuan: SonicWall_network
Jadwal: selalu
Layanan: SEMUA
Tindakan: Menerima
關閉 NAT(這版韌體的主要問題就在此處不能開啟)
OK

Membuat baru
Nama: Sonicwall2Forti
Antarmuka Sumber: SonicWall
Antarmuka Keluar: Pelabuhan 1(192.168.100.0 Pelabuhan)
Sumber: SonicWall_network
Tujuan: FortiGate_network
Jadwal: selalu
Layanan: SEMUA
Tindakan: Menerima
OK

Tinggalkan Komentar

Harap dicatat: Moderasi komentar diaktifkan dan dapat menunda komentar Anda. Tidak perlu mengirimkan kembali komentar Anda.