三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,後來測試Juniper 5GT與Sonicwall倒是成功。最近又有需求要與一台FortiGate 110C建VPN,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,但我還是想再試一次用Sonicwall來建,看看能不能找出當初失敗的原因,來回測試一整天,Akhirnya mengerti。
Lingkungan kedua belah pihak adalah sebagai berikut:
Sonicwall NSA 4600 | FortiGate 110C |
Lan: 192.168.1.0/24 192.168.2.0/24 mobil van: |
Lan: 192.168.100.0/24 mobil van: |
[Pengaturan Sonicwall]
1.Bangun Objek
"Jaringan"->Alamat Obyek
Nama: FortiGate_network
Penugasan Zona: VPN
Jenis: Jaringan
Jaringan: 192.168.100.0
topeng jaring: 255.255.255.0
OK
2.Pengaturan VPN Tunnel
VPN」
Aktifkan VPN
Tambahkan
–Tab umum
Mode Penguncian IPSec: IKE menggunakan Rahasia yang Dibagikan Sebelumnya.
Nama: FortiGate_network
Nama atau Alamat Gateway utama IPSec: 203.4.5.6
Rahasia Bersama: Tetapkan kata sandi
ID IKE Lokal: Alamat IP (Biarkan kosong)
ID IKE Rekan: Alamat IP (Biarkan kosong)
–tab jaringan
Jaringan lokal:Subnet Utama LAN(192.168.1.0/24、192.168.2.0/24)
Jaringan Tujuan:FortiGate_network.
–tab proposal
IKE (Fase1) Usul
Menukarkan: Modus Utama
Grup DH: Kelompok 2
Enkripsi: 3DARI
Autentikasi: SHA1
Seumur hidup: 28800
IKE (Fase2) Usul
Protokol: ESP
Enkripsi: 3DARI
Autentikasi: SHA1
不勾選「Enable perfect forward secrecy」
Seumur hidup: 28800
–Tab Lanjutan
Aktifkan Tetap Hidup.
OK
接著設定FortiGate,有Tunnel及Interface兩種方式,二擇一設定即可。(官方教學是Tunnel模式)
【FortiGate設定—1.Tunnel模式】
1.Pengaturan VPN
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Mode: Utama
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800
保留其他設定的預設值。
OK
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gerbang Jarak Jauh: 選SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選,就算Sonicwall也勾選,仍可能造成VPN無法建立,alasan yang tidak diketahui,Interface模式則沒有此問題)
kehidupan kunci: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”Kesalahan。
Setel segmen jaringan kedua(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gerbang Jarak Jauh: 選SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
kehidupan kunci: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.建立Address
「Firewall」->「Address」->「Address」
Membuat baru
name:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK
Membuat baru
name:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK
Membuat baru
name:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK
把Sonicwall兩個網段設為一個群組
「Firewall」->「Address」->「Group」
Membuat baru
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
OK
3.Tetapkan aturan firewall
「Firewall」->「Policy」->「Policy」
Membuat baru
Antarmuka Sumber: Pelabuhan 1(or Internal)
Source Address: FortiGate_network
Destination Interface: WAN1 (or External)
Destination Address: SonicWall_network
Jadwal: selalu
Layanan: ANY
Tindakan: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
OK
【FortiGate設定—2.Interface模式】
1.Pengaturan VPN
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Mode: Utama
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas
–Canggih
勾「Enable IPsec Interface Mode」
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800
保留其他設定的預設值。
OK
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gerbang Jarak Jauh: SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”Kesalahan。
Setel segmen jaringan kedua(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gerbang Jarak Jauh: SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.Tetapkan perutean
「Router」->「Static」->「Static Route」
Membuat baru
Destination IP/Mask: 192.168.1.0/24
Device: SonicWall
OK
Membuat baru
Destination IP/Mask: 192.168.2.0/24
Device: SonicWall
OK
3.Tetapkan aturan firewall
「Firewall」->「Policy」->「Policy」
Membuat baru
Antarmuka Sumber: Pelabuhan 1(or Internal)
Source Address: FortiGate_network
Destination Interface: SonicWall
Destination Address: SonicWall_network
Jadwal: selalu
Layanan: ANY
Tindakan: Menerima
OK
Membuat baru
Antarmuka Sumber: SonicWall
Source Address: SonicWall_network
Destination Interface: Pelabuhan 1(or Internal)
Destination Address: FortiGate_network
Jadwal: selalu
Layanan: ANY
Tindakan: Menerima
OK
[Tautan referensi]
- Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | Forum Diskusi Teknis Fortinet
[…] Situs ke Situs VPN dengan FortiGate 4.X dan firewall Sonicwall:連結 FortiGate 5.6 與 Sonicwall 防火牆建立 Site to Site […]
[…] 先前寫過一篇「Sonicwall FortiGate 防火牆建立 Site to Site VPN」的文章,Saat itu, saya sering menemui kebutuhan untuk melakukan Site to Site VPN dengan peralatan FortiGate,Dan tanganku adalah Sonicwall,Hasil implementasi terkadang berhasil dan terkadang gagal,Kemudian, butuh beberapa waktu sama sekali,Atur metode pengaturan kedua merek,Untuk referensi di masa mendatang。Saat menguji dan mengatur informasi,Saya menemukan bahwa firmware FortiGate sedikit berbeda,Metode pengaturan akan berbeda,Cukup bermasalah,Kemudian, dua cara untuk berhasil membuat koneksi”Terowongan”Memberikan”Antarmuka”Rekam semuanya,Sehingga lain kali Anda menemukan revisi,Anda dapat mencoba metode yang berbeda。 […]