Recentemente medido por uma filial de uma nova Fortigate,Mesmo após o primeiro check-up a versão do firmware,O resultado é uma versão grande da transação,O original é 5.6,isto é 6.0,Cada versão da transação,Ao estabelecer e minha Sonicwall site para VPN site,Eu tive um tempo difícil,Não surpreendentemente este não é um one-stop,Portanto, houve o nascimento deste artigo,Mas em comparação com os dois anteriores,O processo de depuração é relativamente suave muito。
Primeiro, olhe para a história:
FortiGate 4.X e Sonicwall firewall para estabelecer site para VPN site:Consolidado
FortiGate 5.6 Estabelecer site para VPN site com firewall Sonicwall:Consolidado
A prática com 5.6 Quase a mesma coisa,Principalmente Fortigate ser conectado à Sonicwall é definido na Política,Para desligar NAT (O padrão é on),Se você não desligar,reuniu-se com 5.6 Mesmo 樣 problema 的 (SonicWALL pode ping Fortigate,Não vice-versa),而 5.6 Blackhole roteamento conjunto de problemas permanecem,Deve ser configurado no trabalho。
O ambiente dois lados são como se segue:
Sonicwall NSA 4600 | FortiGate 100E |
firmware:6.5.4.4 | firmware:6.0.6 |
Lan: 192.168.1.0/24 192.168.2.0/24 van: |
Lan: 192.168.100.0/24 van: |
[Sonicwall Definições]
1.built Object
「De rede」 - 「endereços objetos」>
Nome: FortiGate_network
Atribuição zona: VPN
Tipo: Rede
Rede: 192.168.100.0
Máscara de rede: 255.255.255.0
Está bem
2.Configuração VPN Tunnel
「VPN」
habilitar VPN
Add
–Guia geral
Modo Keying IPSec: IKE usando Preshared Segredo.
Nome: FortiGate_network
IPSec principal nome ou o endereço gateway: 203.4.5.6
Segredo partilhado: Definir uma senha
Local IKE ID: Endereço de IP (Deixe em branco)
Espiar IKE ID: Endereço de IP (Deixe em branco)
–guia rede
Rede local:LAN de sub-rede primária(192.168.1.0/24、192.168.2.0/24)
Redes de destino:FortiGate_network(192.168.100.0/24)
–guia propostas
IKE (Fase 1) Proposta
Troca: Modo IKEv2
Grupo DH: Grupo 2
Encryption: 3DE
Autenticação: SHA1
Tempo de vida: 28800
IKE (Fhse2) Proposta
Protocolo: ESP
Encryption: 3DE
Autenticação: SHA1
Grupo DH: Grupo 2
Tempo de vida: 28800
Está bem
[FortiGate Definições]
1.VPN configuração
「VPN」 -> 「IPsec túneis」
"Crie um novo"
Nome: SonicWall
Tipo de modelo: personalizadas
–Rede
gateway remoto: I.P. estático
Endereço de IP: 203.1.2.3
Interface: WAN1
–Autenticação
Método de autenticação: Chave Pré-Compartilhada
Chave Pré-Compartilhada: Sonicwall com o conjunto acima de senha
IKE versão: 2
–Estágio 1 Proposta
Encryption: AES128
Autenticação: SHA1
Grupo DH: 2
Keylife: 28800
–Estágio 2 seletores
Define o primeiro segmento de rede(192.168.1.0)
Nome: SonicWall-192.168.1.0
Endereço local: 192.168.100.0/24
Endereço remoto: 192.168.1.0/24
Configurar um segundo segmento de rede(192.168.2.0)
Nome: SonicWall-192.168.2.0
Endereço local: 192.168.100.0/24
Endereço remoto: 192.168.2.0/24
–avançado
Encryption: 3DE
Autenticação: SHA1
Desmarque Ativar frente sigilo perfeito(PFS)
Keylife: 28800
2.Estabelecer uma rota
Cenário 192.168.1.0 Routing
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.1.0/24
Interface: SonicWall
Distância administrativa: 10
-Opções avançadas
Prioridade: 3 (Blackhole é maior do que a predefinida 0)
Está bem
Cenário 192.168.2.0 Routing
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.2.0/24
Interface: SonicWall
Distância administrativa: 10
-Opções avançadas
Prioridade: 3 (Blackhole é maior do que a predefinida 0)
Está bem
Cenário 192.168.1.0 blackhole
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.1.0/24
Interface: blackhole
Distância administrativa: 12 (Geralmente maior do que o percurso predefinido 10)
Está bem
Cenário 192.168.2.0 blackhole
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.2.0/24
Interface: blackhole
Distância administrativa: 12 (Geralmente maior do que o percurso predefinido 10)
Está bem
3.regras de firewall definidas
"Política & Objetos 」->「Política IPv4」
Crie um novo
Nome: Forti2Sonicwall
interface de origem: Porta 1(192.168.100.0 Onde o porto)
interface de saída: SonicWall
Fonte: FortiGate_network
Destino: SonicWall_network
Cronograma: sempre
Serviço: TODOS
Açao: Aceitar
Fechar NAT(O principal problema nesta versão do firmware não pode ser aberto aqui)
Está bem
Crie um novo
Nome: Sonicwall2Forti
interface de origem: SonicWall
interface de saída: Porta 1(192.168.100.0 Onde o porto)
Fonte: SonicWall_network
Destino: FortiGate_network
Cronograma: sempre
Serviço: TODOS
Açao: Aceitar
Está bem