最近子公司借测一台新的 Fortigate,连上去后先检查一下韧体版本,结果又是大版本异动,原先为 5.6,这次是 6.0,每一次的版本异动,在与我的 Sonicwall 建立 Site to Site VPN 时,都让我吃足苦头,这次不意外的也是没有一次搞定,因此又有了这篇文章的诞生,不过相较前两次,这次的除错过程相对顺利很多。
先回顾一下历史:
FortiGate 4.X 与 Sonicwall 防火墙建立 Site to Site VPN:综合
FortiGate设备 5.6 与 Sonicwall 防火墙建立 Site to Site VPN:综合
这次的做法跟 5.6 大同小异,主要在于 Fortigate 要连到 Sonicwall 的 Policy 设定里,NAT 要关闭 (预设是开启的),如果没关闭,就遇到跟 5.6 同样的问题 (Sonicwall 可以 ping 到 Fortigate,反之不行),而 5.6 的 Blackhole routing 设定问题依然存在,必须要设对才行。
双方环境如下:
Sonicwall NSA 4600 | FortiGate设备100E |
韧体:6.5.4.4 | 韧体:6.0.6 |
Lan: 192.168.1.0/24 192.168.2.0/24 Wan: |
Lan: 192.168.100.0/24 Wan: |
[Sonicwall的设置]
1.建 Object
「网络」 - >「地址对象」
名称: FortiGate_network
Zone Assignment: VPN
类型: 网络
网络: 192.168.100.0
Netmask: 255.255.255.0
确定
2.设置VPN隧道
「VPN」
Enable VPN
加
–General tab
IPSec Keying Mode: IKE using Preshared Secret.
名称: FortiGate_network
IPSec primary Gateway Name or Address: 203.4.5.6
Shared Secret: 設一組密碼
Local IKE ID: IP Address (保留空白)
Peer IKE ID: IP Address (保留空白)
–Network tab
本地网络:LAN主要子网(192.168.1.0/24、192.168.2.0/24)
目的网络:FortiGate_network(192.168.100.0/24)
–Proposals tab
IKE (Phase1) Proposal
Exchange: IKEv2协议模式
DH Group: Group 2
Encryption: 3DES
Authentication: SHA1
Life Time: 28800
IKE (Phase2) Proposal
Protocol: ESP
Encryption: 3DES
Authentication: SHA1
DH Group: Group 2
Life Time: 28800
确定
[FortiGate设置]
1.设置VPN
「VPN」 - >「IPsec隧道」
“创建新的”
名称: SonicWall
模板类型: 习惯
–网络
Remote Gateway: Static IP
IP Address: 203.1.2.3
接口: WAN1
–Authentication
Authentication Method: Preshared Key
Pre-shared Key: 同上面Sonicwall設定的密碼
IKE版本: 2
–相 1 Proposal
Encryption: AES128
Authentication: SHA1
DH Group: 2
Keylife: 28800
–相 2 选择
设定第一个网段(192.168.1.0)
名称: SonicWall-192.168.1.0
本地地址: 192.168.100.0/24
远程地址: 192.168.1.0/24
設定第二個網段(192.168.2.0)
名称: SonicWall-192.168.2.0
本地地址: 192.168.100.0/24
远程地址: 192.168.2.0/24
–Advanced
Encryption: 3DES
Authentication: SHA1
不勾選Enable perfect forward secrecy(PFS)
Keylife: 28800
2.建立路由
设置 192.168.1.0 路由
「网络」 - >「静态路由」
Create New
目的地: 192.168.1.0/24
接口: SonicWall
管理距离: 10
-高级选项
优先: 3 (要大于 Blackhole 预设的 0)
确定
设置 192.168.2.0 路由
「网络」 - >「静态路由」
Create New
目的地: 192.168.2.0/24
接口: SonicWall
管理距离: 10
-高级选项
优先: 3 (要大于 Blackhole 预设的 0)
确定
设置 192.168.1.0 黑洞
「网络」 - >「静态路由」
Create New
目的地: 192.168.1.0/24
接口: 黑洞
管理距离: 12 (要大于一般路由预设的 10)
确定
设置 192.168.2.0 黑洞
「网络」 - >「静态路由」
Create New
目的地: 192.168.2.0/24
接口: 黑洞
管理距离: 12 (要大于一般路由预设的 10)
确定
3.設定防火牆規則
“政策 & 对象」 - >「IPv4的政策」
Create New
名称: Forti2Sonicwall
Source Interface: Port 1(192.168.100.0 所在的port)
出接口: SonicWall
资源: FortiGate_network
目的地: SonicWall_network
Schedule: always
服务: 所有
Action: Accept
关闭 NAT(这版韧体的主要问题就在此处不能开启)
确定
Create New
名称: Sonicwall2Forti
Source Interface: SonicWall
出接口: Port 1(192.168.100.0 所在的port)
资源: SonicWall_network
目的地: FortiGate_network
Schedule: always
服务: 所有
Action: Accept
确定