Firewall Sonicwall FortiGate membuat Situs ke Situs VPN

  三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN不過失敗了後來測試Juniper 5GT與Sonicwall倒是成功最近又有需求要與一台FortiGate 110C建VPN雖然手上已經有另一台FortiGate 110C照理說直接用同型號來建會省事很多但我還是想再試一次用Sonicwall來建看看能不能找出當初失敗的原因來回測試一整天,Akhirnya mengerti。


Lingkungan kedua belah pihak adalah sebagai berikut:

Sonicwall NSA 4600 FortiGate 110C
Lan:
192.168.1.0/24
192.168.2.0/24

mobil van:
203.1.2.3

Lan:
192.168.100.0/24
 

mobil van:
203.4.5.6

[Pengaturan Sonicwall]
1.Bangun Objek
"Jaringan"->Alamat Obyek
Nama: FortiGate_network
Penugasan Zona: VPN
Jenis: Jaringan
Jaringan: 192.168.100.0
topeng jaring: 255.255.255.0
OK

2.Pengaturan VPN Tunnel
VPN」
Aktifkan VPN
Tambahkan
–Tab umum
Mode Penguncian IPSec: IKE menggunakan Rahasia yang Dibagikan Sebelumnya.
Nama: FortiGate_network
Nama atau Alamat Gateway utama IPSec: 203.4.5.6
Rahasia Bersama: Tetapkan kata sandi
ID IKE Lokal: Alamat IP (Biarkan kosong)
ID IKE Rekan: Alamat IP (Biarkan kosong)

–tab jaringan
Jaringan lokal:Subnet Utama LAN(192.168.1.0/24、192.168.2.0/24)
Jaringan Tujuan:FortiGate_network.

–tab proposal
IKE (Fase1) Usul
Menukarkan: Modus Utama
Grup DH: Kelompok 2
Enkripsi: 3DARI
Autentikasi: SHA1
Seumur hidup: 28800

IKE (Fase2) Usul
Protokol: ESP
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: Kelompok 2
Seumur hidup: 28800

–Tab Lanjutan
Aktifkan Tetap Hidup.
OK

接著設定FortiGate有Tunnel及Interface兩種方式二擇一設定即可。(官方教學是Tunnel模式)

【FortiGate設定—1.Tunnel模式】
1.Pengaturan VPN
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Mode: Utama
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas

–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800
保留其他設定的預設值
OK

VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gerbang Jarak Jauh: 選SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選就算Sonicwall也勾選仍可能造成VPN無法建立,alasan yang tidak diketahui,Interface模式則沒有此問題)

kehidupan kunci: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線不然FortiGate會出現no matching gateway for new request”Kesalahan。

Setel segmen jaringan kedua(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gerbang Jarak Jauh: 選SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
kehidupan kunci: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK

2.建立Address
「Firewall」->「Address」->「Address」
Membuat baru
name:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK

Membuat baru
name:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK

Membuat baru
name:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK

把Sonicwall兩個網段設為一個群組
「Firewall」->「Address」->「Group」
Membuat baru
Group Name:SonicWall_network
Members:SonicWall_network_1SonicWall_network_2
OK

3.Tetapkan aturan firewall
「Firewall」->「Policy」->「Policy」
Membuat baru
Antarmuka Sumber: Pelabuhan 1(or Internal)
Source Address: FortiGate_network
Destination Interface: WAN1 (or External)
Destination Address: SonicWall_network
Jadwal: selalu
Layanan: ANY
Tindakan: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
OK

【FortiGate設定—2.Interface模式】
1.Pengaturan VPN
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Mode: Utama
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas

–Canggih
勾「Enable IPsec Interface Mode」
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800
保留其他設定的預設值
OK

VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gerbang Jarak Jauh: SonicWall

–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800

Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線不然FortiGate會出現no matching gateway for new request”Kesalahan。

Setel segmen jaringan kedua(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gerbang Jarak Jauh: SonicWall

–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK

2.Tetapkan perutean
「Router」->「Static」->「Static Route」
Membuat baru
Destination IP/Mask: 192.168.1.0/24
Device: SonicWall
OK

Membuat baru
Destination IP/Mask: 192.168.2.0/24
Device: SonicWall
OK

3.Tetapkan aturan firewall
「Firewall」->「Policy」->「Policy」
Membuat baru
Antarmuka Sumber: Pelabuhan 1(or Internal)
Source Address: FortiGate_network
Destination Interface: SonicWall
Destination Address: SonicWall_network
Jadwal: selalu
Layanan: ANY
Tindakan: Menerima
OK

Membuat baru
Antarmuka Sumber: SonicWall
Source Address: SonicWall_network
Destination Interface: Pelabuhan 1(or Internal)
Destination Address: FortiGate_network
Jadwal: selalu
Layanan: ANY
Tindakan: Menerima
OK

[Tautan referensi]

2 Tanggapan

  1. FortiGate 5.6 Buat Situs ke Situs VPN dengan firewall Sonicwall | Lama Sen Chang Tan Says |

    […]   先前寫過一篇「Sonicwall FortiGate 防火牆建立 Site to Site VPN」的文章,Saat itu, saya sering menemui kebutuhan untuk melakukan Site to Site VPN dengan peralatan FortiGate,Dan tanganku adalah Sonicwall,Hasil implementasi terkadang berhasil dan terkadang gagal,Kemudian, butuh beberapa waktu sama sekali,Atur metode pengaturan kedua merek,Untuk referensi di masa mendatang。Saat menguji dan mengatur informasi,Saya menemukan bahwa firmware FortiGate sedikit berbeda,Metode pengaturan akan berbeda,Cukup bermasalah,Kemudian, dua cara untuk berhasil membuat koneksi”Terowongan”Memberikan”Antarmuka”Rekam semuanya,Sehingga lain kali Anda menemukan revisi,Anda dapat mencoba metode yang berbeda。 […]

  2. FortiGate 6.0 Buat Situs ke Situs VPN dengan firewall Sonicwall | Lama Sen Chang Tan Says |

    […] Situs ke Situs VPN dengan FortiGate 4.X dan firewall Sonicwall:連結 FortiGate 5.6 與 Sonicwall 防火牆建立 Site to Site […]

Tinggalkan Komentar

Harap dicatat: Moderasi komentar diaktifkan dan dapat menunda komentar Anda. Tidak perlu mengirimkan kembali komentar Anda.