三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,나중에 주니퍼 5GT 및 소닉월이 실제로 성공 테스트。최근에는 수요 VPN의 포티게이트 (110C)를 구축,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,但我還是想再試一次用Sonicwall來建,看看能不能找出當初失敗的原因,來回測試一整天,마지막으로 얻을。
다음 양측 환경은:
| Sonicwall NSA 4600 | FortiGate 110C |
| Lan: 192.168.1.0/24 192.168.2.0/24 Wan: |
Lan: 192.168.100.0/24 Wan: |
【Sonicwall設定】
1.建Object
「Network」->「Address Objects」
이름: FortiGate_network
Zone Assignment: VPN
유형: 네트워크
네트워크: 192.168.100.0
Netmask: 255.255.255.0
OK
2.設定VPN Tunnel
「VPN」
Enable VPN
추가
–General tab
IPSec Keying Mode: IKE using Preshared Secret.
이름: FortiGate_network
IPSec primary Gateway Name or Address: 203.4.5.6
Shared Secret: 設一組密碼
Local IKE ID: IP Address (保留空白)
Peer IKE ID: IP Address (保留空白)
–Network tab
지역 네트워크:LAN 기본 서브넷(192.168.1.0/24、192.168.2.0/24)
대상 네트워크:FortiGate_network.
–Proposals tab
IKE (Phase1) Proposal
Exchange: Main Mode
DH Group: Group 2
Encryption: 3DES
Authentication: SHA1
Life Time: 28800
IKE (Phase2) Proposal
Protocol: ESP
Encryption: 3DES
Authentication: SHA1
DH Group: Group 2
Life Time: 28800
–Advanced tab
Enable Keep Alive.
OK
接著設定FortiGate,有Tunnel及Interface兩種方式,세트에 대한 대안。(官方教學是Tunnel模式)
【FortiGate設定—1.Tunnel模式】
1.設定VPN
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Remote Gateway: Static IP
IP Address: 203.1.2.3
Mode: Main
Authentication Method: Preshared Key
Pre-shared Key: 同上面Sonicwall設定的密碼
–Advanced
Encryption: 3DES
Authentication: SHA1
DH Group: 2
Keylife: 28800
다른 세트에 대한 기본값을 남겨주세요。
OK
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Remote Gateway: 選SonicWall
–Advanced
Encryption: 3DES
Authentication: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選,就算Sonicwall也勾選,仍可能造成VPN無法建立,原因不明,Interface模式則沒有此問題)
Keylife: 28800
–Quick Mode Selector..
원본 주소:192.168.100.0/24
대상 주소:192.168.1.0/24
OK
**여기에 빠른 모드는 소닉월와의 연결을 설정하기 위해 설정해야합니다。不然FortiGate會出現”no matching gateway for new request”오류。
設定第二個網段(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Remote Gateway: 選SonicWall
–Advanced
Encryption: 3DES
Authentication: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
Keylife: 28800
–Quick Mode Selector..
원본 주소:192.168.100.0/24
대상 주소:192.168.2.0/24
OK
2.建立Address
「Firewall」->「Address」->「Address」
Create New
name:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK
Create New
name:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK
Create New
name:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK
把Sonicwall兩個網段設為一個群組
「Firewall」->「Address」->「Group」
Create New
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
OK
3.設定防火牆規則
「Firewall」->「Policy」->「Policy」
Create New
Source Interface: Port 1(or Internal)
Source Address: FortiGate_network
Destination Interface: WAN1 (or External)
Destination Address: SonicWall_network
Schedule: always
서비스: ANY
Action: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
OK
【FortiGate設定—2.Interface模式】
1.設定VPN
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Remote Gateway: Static IP
IP Address: 203.1.2.3
Mode: Main
Authentication Method: Preshared Key
Pre-shared Key: 同上面Sonicwall設定的密碼
–Advanced
勾「Enable IPsec Interface Mode」
Encryption: 3DES
Authentication: SHA1
DH Group: 2
Keylife: 28800
다른 세트에 대한 기본값을 남겨주세요。
OK
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Remote Gateway: SonicWall
–Advanced
Encryption: 3DES
Authentication: SHA1
不勾選Enable perfect forward secrecy(PFS)
Keylife: 28800
–Quick Mode Selector..
원본 주소:192.168.100.0/24
대상 주소:192.168.1.0/24
OK
**여기에 빠른 모드는 소닉월와의 연결을 설정하기 위해 설정해야합니다。不然FortiGate會出現”no matching gateway for new request”오류。
設定第二個網段(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Remote Gateway: SonicWall
–Advanced
Encryption: 3DES
Authentication: SHA1
不勾選Enable perfect forward secrecy(PFS)
Keylife: 28800
–Quick Mode Selector..
원본 주소:192.168.100.0/24
대상 주소:192.168.2.0/24
OK
2.建立路由
「Router」->「Static」->「Static Route」
Create New
Destination IP/Mask: 192.168.1.0/24
Device: SonicWall
OK
Create New
Destination IP/Mask: 192.168.2.0/24
Device: SonicWall
OK
3.設定防火牆規則
「Firewall」->「Policy」->「Policy」
Create New
Source Interface: Port 1(or Internal)
Source Address: FortiGate_network
Destination Interface: SonicWall
Destination Address: SonicWall_network
Schedule: always
서비스: ANY
Action: Accept
OK
Create New
Source Interface: SonicWall
Source Address: SonicWall_network
Destination Interface: Port 1(or Internal)
Destination Address: FortiGate_network
Schedule: always
서비스: ANY
Action: Accept
OK
【參考連結】
- Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | Fortinet Technical Discussion Forums
[…] 포티게이트 4.X와의 SonicWALL 방화벽 사이트 VPN에 사이트를 구축하는:連結 FortiGate 5.6 與 Sonicwall 防火牆建立 Site to Site […]
[…] 先前寫過一篇「Sonicwall FortiGate 防火牆建立 Site to Site VPN」的文章,그 당시 자주 사이트 VPN 사이트를 할 포티게이트 장비를 계속 발생,그리고 내 손 SONICWALL입니다,결과는 종종 성공적인 구현 때로는 실패하다,나중에 시간이 모두 약간의 시간을 보냈다있다,두 브랜드는 구성 할 수있는 방법으로 설정된다,이후의 참조를 용이하게하기 위해。그 시간 테스트 및 마감 뉴스에서,약간 다른 포티게이트 펌웨어를 발견했다,아주 같은 방식으로 설정됩니다,문제에,그 후, 그는 두 가지 방법이 성공적으로 연결을 설정 할 수 있습니다 준”터널”이여”인터페이스”기록,다음 만남 개정 있도록,당신은 다른 방법을 시도 할 수 있습니다。 […]