三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,Testes posteriores Juniper 5GT e Sonicwall realmente ter sucesso。Recentemente, com uma demanda para construir VPN FortiGate 110C,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,但我還是想再試一次用Sonicwall來建,看看能不能找出當初失敗的原因,來回測試一整天,finalmente chegar。
O ambiente dois lados são como se segue:
Sonicwall NSA 4600 | 110C FortiGate |
Lan: 192.168.1.0/24 192.168.2.0/24 van: |
Lan: 192.168.100.0/24 van: |
[Definição] Sonicwall
1.built Object
"Rede"->「Endereços objetos」
Nome: FortiGate_network
Atribuição zona: VPN
Tipo: Rede
Rede: 192.168.100.0
Máscara de rede: 255.255.255.0
Está bem
2.設定 túnel VPN
「VPN」
habilitar VPN
Add
–Guia geral
Modo Keying IPSec: IKE usando Preshared Segredo.
Nome: FortiGate_network
IPSec principal nome ou o endereço gateway: 203.4.5.6
Segredo partilhado: Definir uma senha
Local IKE ID: Endereço de IP (Deixe em branco)
Espiar IKE ID: Endereço de IP (Deixe em branco)
–guia rede
Rede local:LAN de sub-rede primária(192.168.1.0/24、192.168.2.0/24)
Redes de destino:FortiGate_network.
–guia propostas
IKE (Fase 1) Proposta
Troca: Modo principal
Grupo DH: Grupo 2
Encryption: 3DE
Autenticação: SHA1
Tempo de vida: 28800
IKE (Fhse2) Proposta
Protocolo: ESP
Encryption: 3DE
Autenticação: SHA1
不勾選「Enable perfect forward secrecy」
Tempo de vida: 28800
–guia avançado
Ativar Keep Alive.
Está bem
Em seguida, defina o FortiGate,Há duas maneiras túnel e interface,A alternativa a um conjunto。(O ensino oficial é o modo de túnel)
[Modo -1.Tunnel definido FortiGate]
1.configurações de VPN
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Fase 1"
「Criar Fase 1」
Nome gateway: SonicWall
gateway remoto: I.P. estático
Endereço de IP: 203.1.2.3
Modo: a Principal
Método de autenticação: Chave Pré-Compartilhada
Chave Pré-Compartilhada: Sonicwall com o conjunto acima de senha
–avançado
Encryption: 3DE
Autenticação: SHA1
Grupo DH: 2
Keylife: 28800
Deixe os valores padrão para o outro conjunto。
Está bem
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Fase 2"
「Criar Fase 2」
Nome Tunnel: SonicWall-192.168.1.0
gateway remoto: eleição SonicWall
–avançado
Encryption: 3DE
Autenticação: SHA1
Desmarque a opção "Ativar frente sigilo perfeito(PFS)"
(Se você verificar,Mesmo Sonicwall também verificado,VPN pode ainda ser incapaz de estabelecer uma causa,Por razões desconhecidas,modo de interface não é um problema)
Keylife: 28800
–Selector de modo rápido..
Endereço de Origem:192.168.100.0/24
endereço de destino:192.168.1.0/24
Está bem
**Aqui modo rápido deve ser definida, a fim de estabelecer uma conexão com a SonicWall。Caso contrário, haverá FortiGate”nenhum gateway correspondente para novo pedido”erro。
Configurar um segundo segmento de rede(192.168.2.0)
「Criar Fase 2」
Nome Tunnel: SonicWall-192.168.2.0
gateway remoto: eleição SonicWall
–avançado
Encryption: 3DE
Autenticação: SHA1
Desmarque a opção "Ativar frente sigilo perfeito(PFS)"
Keylife: 28800
–Selector de modo rápido..
Endereço de Origem:192.168.100.0/24
endereço de destino:192.168.2.0/24
Está bem
2.estabelecer Endereço
「Firewall」 ->"Endereço"->"Endereço"
Crie um novo
nome:FortiGate_network
endereço de IP:192.168.100.0
sub-rede:255.255.255.0
Está bem
Crie um novo
nome:SonicWall_network_1
endereço de IP:192.168.1.0
sub-rede::255.255.255.0
Está bem
Crie um novo
nome:SonicWall_network_2
endereço de IP:192.168.2.0
sub-rede::255.255.255.0
Está bem
Os dois segmentos para um grupo Sonicwall
「Firewall」 ->"Endereço"->"Grupo"
Crie um novo
Nome do grupo:SonicWall_network
Membros:SonicWall_network_1、SonicWall_network_2
Está bem
3.regras de firewall definidas
「Firewall」 ->"Política"->"Política"
Crie um novo
interface de origem: Porta 1(ou interno)
Endereço de Origem: FortiGate_network
interface de destino: AN1 (ou externa)
Endereço de destino: SonicWall_network
Cronograma: sempre
Serviço: QUALQUER
Açao: IPSEC (ou Criptografar)
túnel VPN: SonicWall
勾 Permitir entrada
勾 Permitir saída
Está bem
[Modo -2.Interface definido FortiGate]
1.configurações de VPN
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Fase 1"
「Criar Fase 1」
Nome gateway: SonicWall
gateway remoto: I.P. estático
Endereço de IP: 203.1.2.3
Modo: a Principal
Método de autenticação: Chave Pré-Compartilhada
Chave Pré-Compartilhada: Sonicwall com o conjunto acima de senha
–avançado
勾 「Habilitar IPsec modo de interface」
Encryption: 3DE
Autenticação: SHA1
Grupo DH: 2
Keylife: 28800
Deixe os valores padrão para o outro conjunto。
Está bem
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Fase 2"
「Criar Fase 2」
Nome Tunnel: SonicWall-192.168.1.0
gateway remoto: SonicWall
–avançado
Encryption: 3DE
Autenticação: SHA1
Desmarque Ativar frente sigilo perfeito(PFS)
Keylife: 28800
–Selector de modo rápido..
Endereço de Origem:192.168.100.0/24
endereço de destino:192.168.1.0/24
Está bem
**Aqui modo rápido deve ser definida, a fim de estabelecer uma conexão com a SonicWall。Caso contrário, haverá FortiGate”nenhum gateway correspondente para novo pedido”erro。
Configurar um segundo segmento de rede(192.168.2.0)
「Criar Fase 2」
Nome Tunnel: SonicWall-192.168.2.0
gateway remoto: SonicWall
–avançado
Encryption: 3DE
Autenticação: SHA1
Desmarque Ativar frente sigilo perfeito(PFS)
Keylife: 28800
–Selector de modo rápido..
Endereço de Origem:192.168.100.0/24
endereço de destino:192.168.2.0/24
Está bem
2.Estabelecer uma rota
"Roteador"->"Estático"->「Rota estática」
Crie um novo
IP de destino / Mask: 192.168.1.0/24
Dispositivo: SonicWall
Está bem
Crie um novo
IP de destino / Mask: 192.168.2.0/24
Dispositivo: SonicWall
Está bem
3.regras de firewall definidas
「Firewall」 ->"Política"->"Política"
Crie um novo
interface de origem: Porta 1(ou interno)
Endereço de Origem: FortiGate_network
interface de destino: SonicWall
Endereço de destino: SonicWall_network
Cronograma: sempre
Serviço: QUALQUER
Açao: Aceitar
Está bem
Crie um novo
interface de origem: SonicWall
Endereço de Origem: SonicWall_network
interface de destino: Porta 1(ou interno)
Endereço de destino: FortiGate_network
Cronograma: sempre
Serviço: QUALQUER
Açao: Aceitar
Está bem
Referência [link]
- FortiGate da implementação SonicWALL IPSEC | Blog do Fred
- FortiGate para configurar SonicWall VPN
- IPSEC VPN para usuários remotos – nenhum gateway correspondente para novo pedido | Fóruns Fortinet Técnico Discussão
[…] FortiGate 4.X e Sonicwall firewall para estabelecer site para VPN site:Conectar FortiGate 5.6 Estabelecer site a site com o firewall Sonicwall […]
[…] Já escrevi um artigo sobre "Sonicwall FortiGate Firewall Estabelecendo VPN Site a Site".,Naquela época muitas vezes encontram manter os dispositivos FortiGate do Site para VPN site,E a minha mão é Sonicwall,Os resultados são a implementação, por vezes bem sucedida às vezes falha,Mais tarde, há momentos completamente passou algum tempo,As duas marcas são ajustados para ser uma maneira de organizar,Para facilitar a referência subsequente。Naquele tempo testando e Notícias terminando,Ter encontrado um firmware FortiGate ligeiramente diferente,Exatamente da mesma maneira será definido,para problemas,Mais tarde, ele deu os dois métodos pode ser estabelecida com sucesso conexão”Túnel”與”Interface”são registrados,Assim que a próxima revisão encontro,Você pode tentar métodos diferentes。 […]