FortiGate 6.0 Estabelecer site para VPN site com firewall Sonicwall

Recentemente medido por uma filial de uma nova Fortigate,Mesmo após o primeiro check-up a versão do firmware,O resultado é uma versão grande da transação,O original é 5.6,isto é 6.0,Cada versão da transação,Ao estabelecer e minha Sonicwall site para VPN site,Eu tive um tempo difícil,Não surpreendentemente este não é um one-stop,Portanto, houve o nascimento deste artigo,Mas em comparação com os dois anteriores,O processo de depuração é relativamente suave muito。

Primeiro, olhe para a história:
FortiGate 4.X e Sonicwall firewall para estabelecer site para VPN site:Consolidado
FortiGate 5.6 Estabelecer site para VPN site com firewall Sonicwall:Consolidado

A prática com 5.6 Quase a mesma coisa,Principalmente Fortigate ser conectado à Sonicwall é definido na Política,Para desligar NAT (O padrão é on),Se você não desligar,reuniu-se com 5.6 Mesmo 樣 problema 的 (SonicWALL pode ping Fortigate,Não vice-versa),而 5.6 Blackhole roteamento conjunto de problemas permanecem,Deve ser configurado no trabalho。


 

O ambiente dois lados são como se segue:

Sonicwall NSA 4600 FortiGate 100E
firmware:6.5.4.4 firmware:6.0.6
Lan:
192.168.1.0/24
192.168.2.0/24

van:
203.1.2.3

Lan:
192.168.100.0/24
 

van:
203.4.5.6

[Sonicwall Definições]
1.built Object
「De rede」 - 「endereços objetos」>
Nome: FortiGate_network
Atribuição zona: VPN
Tipo: Rede
Rede: 192.168.100.0
Máscara de rede: 255.255.255.0
Está bem

2.Configuração VPN Tunnel
「VPN」
habilitar VPN
Add
–Guia geral
Modo Keying IPSec: IKE usando Preshared Segredo.
Nome: FortiGate_network
IPSec principal nome ou o endereço gateway: 203.4.5.6
Segredo partilhado: Definir uma senha
Local IKE ID: Endereço de IP (Deixe em branco)
Espiar IKE ID: Endereço de IP (Deixe em branco)

–guia rede
Rede local:LAN de sub-rede primária(192.168.1.0/24、192.168.2.0/24)
Redes de destino:FortiGate_network(192.168.100.0/24)

–guia propostas
IKE (Fase 1) Proposta
Troca: Modo IKEv2
Grupo DH: Grupo 2
Encryption: 3DE
Autenticação: SHA1
Tempo de vida: 28800

IKE (Fhse2) Proposta
Protocolo: ESP
Encryption: 3DE
Autenticação: SHA1
Grupo DH: Grupo 2
Tempo de vida: 28800

Está bem

[FortiGate Definições]
1.VPN configuração
「VPN」 -> 「IPsec túneis」
"Crie um novo"
Nome: SonicWall
Tipo de modelo: personalizadas

–Rede
gateway remoto: I.P. estático
Endereço de IP: 203.1.2.3
Interface: WAN1

–Autenticação
Método de autenticação: Chave Pré-Compartilhada
Chave Pré-Compartilhada: Sonicwall com o conjunto acima de senha
IKE versão: 2

–Estágio 1 Proposta
Encryption: AES128
Autenticação: SHA1
Grupo DH: 2
Keylife: 28800

–Estágio 2 seletores
Define o primeiro segmento de rede(192.168.1.0)
Nome: SonicWall-192.168.1.0
Endereço local: 192.168.100.0/24
Endereço remoto: 192.168.1.0/24

Configurar um segundo segmento de rede(192.168.2.0)
Nome: SonicWall-192.168.2.0
Endereço local: 192.168.100.0/24
Endereço remoto: 192.168.2.0/24

–avançado
Encryption: 3DE
Autenticação: SHA1
Desmarque Ativar frente sigilo perfeito(PFS)
Keylife: 28800

2.Estabelecer uma rota
Cenário 192.168.1.0 Routing
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.1.0/24
Interface: SonicWall
Distância administrativa: 10
-Opções avançadas
Prioridade: 3 (Blackhole é maior do que a predefinida 0)
Está bem

Cenário 192.168.2.0 Routing
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.2.0/24
Interface: SonicWall
Distância administrativa: 10
-Opções avançadas
Prioridade: 3 (Blackhole é maior do que a predefinida 0)
Está bem

Cenário 192.168.1.0 blackhole
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.1.0/24
Interface: blackhole
Distância administrativa: 12 (Geralmente maior do que o percurso predefinido 10)
Está bem

Cenário 192.168.2.0 blackhole
「Rede de」 - 「rotas estáticas」>
Crie um novo
Destino: 192.168.2.0/24
Interface: blackhole
Distância administrativa: 12 (Geralmente maior do que o percurso predefinido 10)
Está bem

3.regras de firewall definidas
"Política & Objetos 」->「Política IPv4」
Crie um novo
Nome: Forti2Sonicwall
interface de origem: Porta 1(192.168.100.0 Onde o porto)
interface de saída: SonicWall
Fonte: FortiGate_network
Destino: SonicWall_network
Cronograma: sempre
Serviço: TODOS
Açao: Aceitar
Fechar NAT(O principal problema nesta versão do firmware não pode ser aberto aqui)
Está bem

Crie um novo
Nome: Sonicwall2Forti
interface de origem: SonicWall
interface de saída: Porta 1(192.168.100.0 Onde o porto)
Fonte: SonicWall_network
Destino: FortiGate_network
Cronograma: sempre
Serviço: TODOS
Açao: Aceitar
Está bem

Deixe um comentário

Por favor, note: Comentário moderação é ativado e pode atrasar o seu comentário. Não há necessidade de reenviar o seu comentário.