最近子公司借测一台新的 Fortigate,連上去後先檢查一下韌體版本,結果又是大版本異動,原先為 5.6,這次是 6.0,每一次的版本異動,在與我的 Sonicwall 建立 Site to Site VPN 時,都讓我吃足苦頭,這次不意外的也是沒有一次搞定,因此又有了這篇文章的誕生,不過相較前兩次,這次的除錯過程相對順利很多。
先回顧一下歷史:
FortiGate 4.X 与 Sonicwall 防火墙建立站点到站点 VPN:链接
FortiGate 5.6 与 Sonicwall 防火墙建立站点到站点 VPN:链接
这次的做法跟 5.6 大同小异,主要在于 Fortigate 要连到 Sonicwall 的策略设置里,NAT 要关闭 (默认是开启的),如果不关闭,就会遇到类似于 5.6 同樣的問題 (Sonicwall 可以 ping 到 Fortigate,反之不行),而 5.6 的 Blackhole 路由设置问题依然存在,必须要设置正确才行。
双方环境如下:
| Sonicwall NSA 4600 | FortiGate 100E |
| 固件:6.5.4.4 | 固件:6.0.6 |
| Lan: 192.168.1.0/24 192.168.2.0/24 Wan: |
Lan: 192.168.100.0/24 Wan: |
【Sonicwall 设置】
1.建对象
「网络」->「地址对象」
姓名: FortiGate_网络
区域分配: VPN
类型: 网络
网络: 192.168.100.0
子网掩码: 255.255.255.0
确定
2.设置 VPN 隧道
「VPN」
启用 VPN
添加
–常规选项卡
IPSec 密钥模式: 使用预共享密钥的 IKE.
姓名: FortiGate_网络
IPSec 主网关名称或地址: 203.4.5.6
共享密钥: 设置一个密码
本地 IKE ID: IP 地址 (保留为空)
对端 IKE ID: IP 地址 (保留为空)
–网络选项卡
本地网络:LAN 主子网(192.168.1.0/24、192.168.2.0/24)
目标网络:FortiGate_网络(192.168.100.0/24)
–提案选项卡
IKE (第一阶段) 提案
交换: IKEv2 模式
DH组: 组 2
加密: 3DES
认证: SHA1
生命周期: 28800
IKE (第二阶段) 提案
协议: ESP
加密: 3DES
认证: SHA1
DH组: 组 2
生命周期: 28800
确定
【FortiGate 设置】
1.设置 VPN
「VPN」->「IPsec 隧道」
「创建新建」
姓名: SonicWall
模板类型: 自定义
–网络
远程网关: 静态IP
IP 地址: 203.1.2.3
接口: Wan1
–认证
认证方式: 预共享密钥
预共享密钥: 与上面SonicWall设置的密码相同
IKE 版本: 2
–阶段 1 提案
加密: AES128
认证: SHA1
DH组: 2
密钥寿命: 28800
–阶段 2 选择器
设置第一个网段(192.168.1.0)
姓名: SonicWall-192.168.1.0
本地地址: 192.168.100.0/24
远程地址: 192.168.1.0/24
设置第二个网段(192.168.2.0)
姓名: SonicWall-192.168.2.0
本地地址: 192.168.100.0/24
远程地址: 192.168.2.0/24
–高级
加密: 3DES
认证: SHA1
不勾选启用完美前向保密(PFS)
密钥寿命: 28800
2.建立路由
设置 192.168.1.0 路由
「网络」->「静态路由」
创建新建
目的地: 192.168.1.0/24
接口: SonicWall
管理距离: 10
-高级选项
优先级: 3 (要大于Blackhole默认值 0)
确定
设置 192.168.2.0 路由
「网络」->「静态路由」
创建新建
目的地: 192.168.2.0/24
接口: SonicWall
管理距离: 10
-高级选项
优先级: 3 (要大于Blackhole默认值 0)
确定
设置 192.168.1.0 黑洞
「网络」->「静态路由」
创建新建
目的地: 192.168.1.0/24
接口: 黑洞
管理距离: 12 (必须大于一般路由默认值 10)
确定
设置 192.168.2.0 黑洞
「网络」->「静态路由」
创建新建
目的地: 192.168.2.0/24
接口: 黑洞
管理距离: 12 (必须大于一般路由默认值 10)
确定
3.设置防火墙规则
策略 & 对象」->「IPv4 策略」
创建新建
姓名: Forti到Sonicwall
源接口: 端口 1(192.168.100.0 所在端口)
出接口: SonicWall
源: FortiGate_网络
目的地: SonicWall_network
计划: 总是
服务: 所有
操作: 接受
关闭 NAT(這版韌體的主要問題就在此處不能開啟)
确定
创建新建
姓名: Sonicwall到Forti
源接口: SonicWall
出接口: 端口 1(192.168.100.0 所在端口)
源: SonicWall_network
目的地: FortiGate_网络
计划: 总是
服务: 所有
操作: 接受
确定
留下回复