Lao Sen Chang Tan Bantuan IT

　　三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN，不過失敗了，後來測試Juniper 5GT與Sonicwall倒是成功。最近又有需求要與一台FortiGate 110C建VPN，雖然手上已經有另一台FortiGate 110C，照理說直接用同型號來建會省事很多，但我還是想再試一次用Sonicwall來建，看看能不能找出當初失敗的原因，來回測試一整天，Akhirnya mengerti。

Lingkungan kedua belah pihak adalah sebagai berikut：

[Pengaturan Sonicwall]
1.Bangun Objek
"Jaringan"->Alamat Obyek
Nama: FortiGate_network
Penugasan Zona: VPN
Jenis: Jaringan
Jaringan: 192.168.100.0
topeng jaring: 255.255.255.0
OK

2.Pengaturan VPN Tunnel
VPN」
Aktifkan VPN
Tambahkan
–Tab umum
Mode Penguncian IPSec: IKE menggunakan Rahasia yang Dibagikan Sebelumnya.
Nama: FortiGate_network
Nama atau Alamat Gateway utama IPSec: 203.4.5.6
Rahasia Bersama: Tetapkan kata sandi
ID IKE Lokal: Alamat IP (Biarkan kosong)
ID IKE Rekan: Alamat IP (Biarkan kosong)

–tab jaringan
Jaringan lokal：Subnet Utama LAN(192.168.1.0/24、192.168.2.0/24)
Jaringan Tujuan：FortiGate_network.

–tab proposal
IKE (Fase1) Usul
Menukarkan: Modus Utama
Grup DH: Kelompok 2
Enkripsi: 3DARI
Autentikasi: SHA1
Seumur hidup: 28800

IKE (Fase2) Usul
Protokol: ESP
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: Kelompok 2
Seumur hidup: 28800

–Tab Lanjutan
Aktifkan Tetap Hidup.
OK

接著設定FortiGate，有Tunnel及Interface兩種方式，二擇一設定即可。(官方教學是Tunnel模式)

【FortiGate設定—1.Tunnel模式】
1.Pengaturan VPN
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Mode: Utama
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas

–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800
保留其他設定的預設值。
OK

VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gerbang Jarak Jauh: 選SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選，就算Sonicwall也勾選，仍可能造成VPN無法建立，alasan yang tidak diketahui，Interface模式則沒有此問題)
kehidupan kunci: 28800
–Quick Mode Selector..
Source address：192.168.100.0/24
Destination address：192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”Kesalahan。

Setel segmen jaringan kedua(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gerbang Jarak Jauh: 選SonicWall
–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
kehidupan kunci: 28800
–Quick Mode Selector..
Source address：192.168.100.0/24
Destination address：192.168.2.0/24
OK

2.建立Address
「Firewall」->「Address」->「Address」
Membuat baru
name:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK

Membuat baru
name:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK

Membuat baru
name:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK

把Sonicwall兩個網段設為一個群組
「Firewall」->「Address」->「Group」
Membuat baru
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
OK

3.Tetapkan aturan firewall
「Firewall」->「Policy」->「Policy」
Membuat baru
Antarmuka Sumber: Pelabuhan 1(or Internal)
Source Address: FortiGate_network
Destination Interface: WAN1 (or External)
Destination Address: SonicWall_network
Jadwal: selalu
Layanan: ANY
Tindakan: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
OK

【FortiGate設定—2.Interface模式】
1.Pengaturan VPN
VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gerbang Jarak Jauh: IP statis
Alamat IP: 203.1.2.3
Mode: Utama
Metode Otentikasi: Kunci yang Dibagikan Sebelumnya
Kunci yang dibagikan sebelumnya: Sama seperti kata sandi yang ditetapkan oleh Sonicwall di atas

–Canggih
勾「Enable IPsec Interface Mode」
Enkripsi: 3DARI
Autentikasi: SHA1
Grup DH: 2
kehidupan kunci: 28800
保留其他設定的預設值。
OK

VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gerbang Jarak Jauh: SonicWall

–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800

–Quick Mode Selector..
Source address：192.168.100.0/24
Destination address：192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”Kesalahan。

Setel segmen jaringan kedua(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gerbang Jarak Jauh: SonicWall

–Canggih
Enkripsi: 3DARI
Autentikasi: SHA1
Hapus centang Aktifkan kerahasiaan ke depan yang sempurna(PFS)
kehidupan kunci: 28800
–Quick Mode Selector..
Source address：192.168.100.0/24
Destination address：192.168.2.0/24
OK

2.Tetapkan perutean
「Router」->「Static」->「Static Route」
Membuat baru
Destination IP/Mask: 192.168.1.0/24
Device: SonicWall
OK

Membuat baru
Destination IP/Mask: 192.168.2.0/24
Device: SonicWall
OK

3.Tetapkan aturan firewall
「Firewall」->「Policy」->「Policy」
Membuat baru
Antarmuka Sumber: Pelabuhan 1(or Internal)
Source Address: FortiGate_network
Destination Interface: SonicWall
Destination Address: SonicWall_network
Jadwal: selalu
Layanan: ANY
Tindakan: Menerima
OK

Membuat baru
Antarmuka Sumber: SonicWall
Source Address: SonicWall_network
Destination Interface: Pelabuhan 1(or Internal)
Destination Address: FortiGate_network
Jadwal: selalu
Layanan: ANY
Tindakan: Menerima
OK

[Tautan referensi]

• Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
• FortiGate to SonicWall VPN setup
• IPSEC VPN for remote users – no matching gateway for new request | Forum Diskusi Teknis Fortinet