以前は「書きましたサイトVPNにサイトを確立するためのSonicWALLのFortiGateファイアウォール」的文章,当時、多くの場合、サイトVPNにサイトを行うのFortiGateデバイスを保つ遭遇,そして、私の手は、SonicWALLです,結果は実装が時々失敗し、時には成功しています,その後、時間がある完全にいくつかの時間を費やし,両ブランドを整理するための方法であることが設定されています,以後の参照を容易にするために、。当時のニュースをテストし、仕上げ,わずかに異なるのFortiGateファームウェアを発見しました,全く同じ方法が設定されます。,トラブルへ,その後、彼は2つの方法が成功した接続を確立することができました”トンネル”與”インタフェース”記録されています,次の出会いのリビジョンだから,あなたはさまざまな方法を試すことができます。
今日はサイトVPNのにサイトを構築するFortiGateを維持するための需要を満たし,モデルは、FortiGate 80Eです,ファームウェアのバージョン 5.6.4,あなたが聞くと新しいファイアウォールを購入しています,私は自分自身を発見しました”何もなく、安心”考え,見るために上の接続まで待って,案の定オプションが再度変更しました,そして今回も、インターフェースは多くのことを変更しました。実際のプロジェクトでは、VPNの設定を開始します,この発見は何のポイントを持っていないようです”トンネル”與”インタフェース”,私は最初、前に試してみました”トンネル”設定する方法,しかし、成功したVPNを確立していませんでした,その後に変更”インタフェース”定めます,しかし、奇妙な結果に表示されます,サイトVPNへのサイトの両側が正常に確立されています,この最後は、SonicWALLのFortiGateエンドセグメントにpingを実行できます,しかし、ない副タイムアウト。チェックの順序とルーティングポリシー設定は問題ありません,Zhonglaiyici結果は同じです,私は頭痛してみましょう。
公式データの後に問い合わせます,しかし、現在、公式のために 5.6 ファームウェアのバージョンは、教育のサイトのFortiGate製品に設定されている唯一のサイトVPNウィザードモードに同じを提供するように見えます,しかし、私は、ウィザードモードの最後のステップを完了したときに気づい,プロジェクトは、取引のいくつかのセットを行わされたウィザード画面表示モード,呼ばれるファイルを持っています “ブラックホールルート” このプロジェクトは、私の注意を引きました,一般サイトVPNにサイトを設定しているので,設定されています “スタティックルート”,”ブラックホールルート” このプロジェクトは、実際に私が見たのは初めてです。その後に行ってきました “スタティックルート” ビューに移動します,Interfaceドロップダウンメニューで。,そこは本当に”ブラックホール”オプション,ルーティングの合計を追加しよう,とに投げ込ま”ブラックホール”このインターフェース,設定した後,SonicWALLのFortiGateネットワークセグメントにもピングを有していました,ピングよりも今少ないです,その後、私はちょうどルーティンググループを無効にするには、これを追加しました,そして、魔法はできるだけ早く起こりました,FortiGateの両側のSonicWALLネットワークに互いにpingできます,しかし、私は切断してVPNを再接続した後、,ネットワークセグメントSonicwallのにpingを実行できない再度のFortiGate,SonicwallのあなたはまだのFortiGateネットワークセグメントにpingを実行することができます。
その後、私は再び同じことを練習します,ザ・”ブラックホール”ルーティングが有効、そして、非アクティブ化,両側のセグメントと通信することができます。,試験後の結果を確認するには、いくつかの回は同じです,勉強し始めました”ブラックホール”ルーティングの設定。ルートの設定パラメータで,持っています”優先度”跟”距離”二つの値が順番に影響を与えます,最後に、限り試してみてください”ブラックホール”ルート”優先度”値は、VPNルートよりも少ないです”優先度”;”距離”VPNルートよりも値が大きいです”距離”,あなたは、通常のネットワーク接続の両側を作ることができます,でも、再起動VPN接続もお互いの通常のpingすることができ。
彼はその後、正式に確認するために行ってきました”ブラックホール”IT,命令のみのこのセットを通過することができ、以前のファームウェアバージョンで見つかりました”ブラックホール”ルーティング,しかし、私はまだ私は、SonicWALLネットワークよりも少ないのpingの問題のFortiGateネットワークセグメントを解決するために試してみたい理由がわかりません,現在、アウトモードに設定されているこの成功を共有する最初の,さらにフォローアップ情報をする場合,もう一度、この記事を更新,ネチズンはなぜ言葉を知っています,以下の議論でもウェルカムメッセージです,感謝。
Sonicwall NSA 4600 | FortiGateの80E |
ファームウェア:6.2.7.1 | ファームウェア:5.6.4 |
Lan: 192.168.1.0/24 192.168.2.0/24 Wan: |
Lan: 192.168.100.0/24 Wan: |
【Sonicwall設定】
1.建Object
「Network」->「Address Objects」
名: FortiGate_network
Zone Assignment: VPN
タイプ: ネットワーク
ネットワーク: 192.168.100.0
Netmask: 255.255.255.0
[OK]
2.設定VPN Tunnel
「VPN」
Enable VPN
Add
–General tab
IPSec Keying Mode: IKE using Preshared Secret.
名: FortiGate_network
IPSec primary Gateway Name or Address: 203.4.5.6
Shared Secret: 設一組密碼
Local IKE ID: IP Address (保留空白)
Peer IKE ID: IP Address (保留空白)
–Network tab
ローカルネットワーク:LANプライマリサブネット(192.168.1.0/24、192.168.2.0/24)
対象先ネットワーク:FortiGate_network(192.168.100.0/24)
–Proposals tab
IKE (Phase1) Proposal
Exchange: Main Mode
DH Group: Group 2
Encryption: 3DES
Authentication: SHA1
Life Time: 28800
IKE (Phase2) Proposal
Protocol: ESP
Encryption: 3DES
Authentication: SHA1
DH Group: Group 2
Life Time: 28800
–Advanced tab
Enable Keep Alive.
[OK]
【FortiGate設定】
1.設定VPN
「VPN」->「IPsecのトンネル」
"新しく作る"
名: SonicWall
テンプレートの種類: カスタム
–ネットワーク
Remote Gateway: Static IP
IP Address: 203.1.2.3
Mode: Main
Authentication Method: Preshared Key
Pre-shared Key: 同上面Sonicwall設定的密碼
–段階 1 Proposal
Encryption: 3DES
Authentication: SHA1
DH Group: 2
Keylife: 28800
–段階 2 セレクタ
最初のネットワークセグメントを設定します(192.168.1.0)
名: SonicWall-192.168.1.0
ローカルアドレス: 192.168.100.0/24
リモートアドレス: 192.168.1.0/24
設定第二個網段(192.168.2.0)
名: SonicWall-192.168.2.0
ローカルアドレス: 192.168.100.0/24
リモートアドレス: 192.168.2.0/24
–Advanced
Encryption: 3DES
Authentication: SHA1
不勾選Enable perfect forward secrecy(PFS)
Keylife: 28800
2.建立路由
設定 192.168.1.0 ルーティング
「Network」->「静的ルート」
Create New
先: 192.168.1.0/24
インタフェース: SonicWall
行政の距離: 10
-高度なオプション
優先度: 3 (ブラックホールは、プリセットよりも大きく、 0)
[OK]
設定 192.168.2.0 ルーティング
「Network」->「静的ルート」
Create New
先: 192.168.2.0/24
インタフェース: SonicWall
行政の距離: 10
-高度なオプション
優先度: 3 (ブラックホールは、プリセットよりも大きく、 0)
[OK]
設定 192.168.1.0 ブラックホール
「Network」->「静的ルート」
Create New
先: 192.168.1.0/24
インタフェース: ブラックホール
行政の距離: 12 (予め設定されたルートよりも一般に大きいです 10)
[OK]
設定 192.168.2.0 ブラックホール
「Network」->「静的ルート」
Create New
先: 192.168.2.0/24
インタフェース: ブラックホール
行政の距離: 12 (予め設定されたルートよりも一般に大きいです 10)
[OK]
3.設定防火牆規則
「ポリシー & オブジェクト」 - >「IPv4のポリシー」
Create New
名: Forti2Sonicwall
Source Interface: Port 1(192.168.100.0 どこのポート)
発信インターフェイス: SonicWall
ソース: FortiGate_network
先: SonicWall_network
Schedule: always
サービス: すべて
Action: Accept
[OK]
Create New
名: Sonicwall2Forti
Source Interface: SonicWall
発信インターフェイス: Port 1(192.168.100.0 どこのポート)
ソース: SonicWall_network
先: FortiGate_network
Schedule: always
サービス: すべて
Action: Accept
[OK]
【參考連結】
- 古いセンチャンタン>> Sonicwall FortiGate防火牆建立Site to Site VPN
- (20) 03 ファイアウォールFortigateを, フォーティネット: ファイアウォールポリシー. – YouTube
- 重複サブネットとサイト間のIPsec VPN – フォーティネットクックブック