Anteriormente escreveu "firewall Sonicwall FortiGate para estabelecer site para VPN site」的文章,Naquela época muitas vezes encontram manter os dispositivos FortiGate do Site para VPN site,E a minha mão é Sonicwall,Os resultados são a implementação, por vezes bem sucedida às vezes falha,Mais tarde, há momentos completamente passou algum tempo,As duas marcas são ajustados para ser uma maneira de organizar,Para facilitar a referência subsequente。Naquele tempo testando e Notícias terminando,Ter encontrado um firmware FortiGate ligeiramente diferente,Exatamente da mesma maneira será definido,para problemas,Mais tarde, ele deu os dois métodos pode ser estabelecida com sucesso conexão”Túnel”與”Interface”são registrados,Assim que a próxima revisão encontro,Você pode tentar métodos diferentes。
Hoje nos encontramos a demanda para manter FortiGate estabelecer site para site VPN,Modelo é FortiGate 80E,versão do firmware 5.6.4,Quando você ouve é comprar um novo firewall,Eu encontrei-me para fora”Qualquer coisa, mas reconfortante”idéia,Aguarde até que a conexão através de ver,Claro opções suficientes mudou novamente,E desta vez, mesmo a interface mudou muito。O projeto real iniciar a configuração VPN,Esta descoberta parece não ter pontos”Túnel”與”Interface”,I primeiro tentou anterior”Túnel”A maneira de definir o,Mas não estabelecer uma VPN sucesso,Depois mudou para”Interface”estabelecer,Mas aparecem resultados estranhos,Ambos os lados do site para VPN site foi estabelecida com sucesso,Esta extremidade pode pingar segmentos de extremidade Sonicwall FortiGate,Mas não vice-tempo limite。Verificados os ajustes de ordem e de políticas de roteamento não são problema,resultado Zhonglaiyici é o mesmo,Deixe-me dor de cabeça。
Para saber depois que dados oficiais,Mas para o presente oficial 5.6 A versão do firmware aparece apenas para fornecer o mesmo para o Modo Assistente de VPN site está definido para o produto do site FortiGate de ensino,Mas notei que quando concluído o passo final no modo de assistente,O modo de exibição de tela do assistente em que os projectos foram feitos vários conjuntos de transação,Que tem um arquivo chamado “Route blackhole” O projeto chamou a atenção,Porque geralmente definida site para VPN site,são definidas “rota estática”,”Route blackhole” Este projeto é realmente a primeira vez que eu vi。Em seguida, foi para a “Rotas estáticas” Vá para Visualizar,No menu drop-down Interface.,há realmente”blackhole”opções,Tente adicionar uma soma de roteamento,E lançada”blackhole”esta interface,depois de definir,Tinha também ping para o segmento de rede FortiGate Sonicwall,Agora menos de um ping,Então eu só acrescentou este para desativar o grupo de roteamento,Em seguida, a magia aconteceu logo,rede Sonicwall em ambos os lados do FortiGate pode pingar um ao outro para,Mas depois que eu desconectar e reconectar a VPN,FortiGate novamente incapaz de ping no segmento de rede Sonicwall,Sonicwall você ainda pode executar ping no segmento de rede FortiGate。
Então eu praticar o mesmo novamente,o”blackhole”roteamento habilitado、E então desativado,Segmento de ambos os lados e pode se comunicar,Após o teste várias vezes para confirmar os resultados são os mesmos,Começou a estudar a”blackhole”configurações de roteamento。Nos parâmetros de definição de uma rota,ter”Prioridade”跟”Distância”Dois valores afetará a ordem,Finalmente, experimentar enquanto”blackhole”rotas”Prioridade”O valor é menor do que as rotas VPN”Prioridade”;”Distância”Valores superiores a VPN rotas”Distância”,Você pode fazer ambos os lados da conexão de rede normal,Mesmo conexão VPN restart também pode ser um ping normal, o outro。
Ele então foi para verificar oficial”blackhole”TI,Só encontrados em versões de firmware anteriores pode passar por este conjunto de instruções”blackhole”Routing,Mas eu ainda não sei por que eu gosto de tentar resolver o segmento de rede problema FortiGate de pingue menos de rede Sonicwall,Modo actualmente indisponível primeiro a compartilhar este sucesso é definido,Se ainda o acompanhamento de informações,Atualizar este post novamente,Internautas sei por que as palavras,Na discussão a seguir também são mensagem de boas vindas,Obrigado。
O ambiente dois lados são como se segue:
| Sonicwall NSA 4600 | FortiGate 80E |
| firmware:6.2.7.1 | firmware:5.6.4 |
| Lan: 192.168.1.0/24 192.168.2.0/24 van: |
Lan: 192.168.100.0/24 van: |
[Definição] Sonicwall
1.built Object
"Rede"->「Endereços objetos」
Nome: FortiGate_network
Atribuição zona: VPN
Tipo: Rede
Rede: 192.168.100.0
Máscara de rede: 255.255.255.0
Está bem
2.設定 túnel VPN
「VPN」
habilitar VPN
Add
–Guia geral
Modo Keying IPSec: IKE usando Preshared Segredo.
Nome: FortiGate_network
IPSec principal nome ou o endereço gateway: 203.4.5.6
Segredo partilhado: Definir uma senha
Local IKE ID: Endereço de IP (Deixe em branco)
Espiar IKE ID: Endereço de IP (Deixe em branco)
–guia rede
Rede local:LAN de sub-rede primária(192.168.1.0/24、192.168.2.0/24)
Redes de destino:FortiGate_network(192.168.100.0/24)
–guia propostas
IKE (Fase 1) Proposta
Troca: Modo principal
Grupo DH: Grupo 2
Encryption: 3DE
Autenticação: SHA1
Tempo de vida: 28800
IKE (Fhse2) Proposta
Protocolo: ESP
Encryption: 3DE
Autenticação: SHA1
Grupo DH: Grupo 2
Tempo de vida: 28800
–guia avançado
Ativar Keep Alive.
Está bem
[Definições FortiGate]
1.configurações de VPN
「VPN」 ->「IPsec túneis」
"Crie um novo"
Nome: SonicWall
Tipo de modelo: personalizadas
–Rede
gateway remoto: I.P. estático
Endereço de IP: 203.1.2.3
Modo: a Principal
Método de autenticação: Chave Pré-Compartilhada
Chave Pré-Compartilhada: Sonicwall com o conjunto acima de senha
–Estágio 1 Proposta
Encryption: 3DE
Autenticação: SHA1
Grupo DH: 2
Keylife: 28800
–Estágio 2 seletores
Define o primeiro segmento de rede(192.168.1.0)
Nome: SonicWall-192.168.1.0
Endereço local: 192.168.100.0/24
Endereço remoto: 192.168.1.0/24
Configurar um segundo segmento de rede(192.168.2.0)
Nome: SonicWall-192.168.2.0
Endereço local: 192.168.100.0/24
Endereço remoto: 192.168.2.0/24
–avançado
Encryption: 3DE
Autenticação: SHA1
Desmarque Ativar frente sigilo perfeito(PFS)
Keylife: 28800
2.Estabelecer uma rota
Cenário 192.168.1.0 Routing
"Rede"->「Rotas estáticas」
Crie um novo
Destino: 192.168.1.0/24
Interface: SonicWall
Distância administrativa: 10
-Opções avançadas
Prioridade: 3 (Blackhole é maior do que a predefinida 0)
Está bem
Cenário 192.168.2.0 Routing
"Rede"->「Rotas estáticas」
Crie um novo
Destino: 192.168.2.0/24
Interface: SonicWall
Distância administrativa: 10
-Opções avançadas
Prioridade: 3 (Blackhole é maior do que a predefinida 0)
Está bem
Cenário 192.168.1.0 blackhole
"Rede"->「Rotas estáticas」
Crie um novo
Destino: 192.168.1.0/24
Interface: blackhole
Distância administrativa: 12 (Geralmente maior do que o percurso predefinido 10)
Está bem
Cenário 192.168.2.0 blackhole
"Rede"->「Rotas estáticas」
Crie um novo
Destino: 192.168.2.0/24
Interface: blackhole
Distância administrativa: 12 (Geralmente maior do que o percurso predefinido 10)
Está bem
3.regras de firewall definidas
"Política & Objetos 」->「Política IPv4」
Crie um novo
Nome: Forti2Sonicwall
interface de origem: Porta 1(192.168.100.0 Onde o porto)
interface de saída: SonicWall
Fonte: FortiGate_network
Destino: SonicWall_network
Cronograma: sempre
Serviço: TODOS
Açao: Aceitar
Está bem
Crie um novo
Nome: Sonicwall2Forti
interface de origem: SonicWall
interface de saída: Porta 1(192.168.100.0 Onde o porto)
Fonte: SonicWall_network
Destino: FortiGate_network
Cronograma: sempre
Serviço: TODOS
Açao: Aceitar
Está bem
Referência [link]
- Old Sen Chang Tan >> Sonicwall FortiGate防火牆建立Site to Site VPN
- (20) 03 firewall Fortigate, Fortinet: Políticas de firewall. – YouTube
- VPN IPsec site-to-site com sub-redes sobrepostas – Fortinet Cookbook
