最近子公司借测一台新的 Fortigate,连上去后先检查一下固件版本,结果又是大版本变动,原先为 5.6,这次是 6.0,每一次的版本变动,在与我的 Sonicwall 建立站点到站点 VPN 时,都让我吃足苦头,This time, unsurprisingly, it wasn't fixed in one go,Therefore, this article was born,However, compared to the previous two times,This debugging process was relatively smoother。
先回顧一下歷史:
FortiGate 4.X 与 Sonicwall 防火墙建立站点到站点 VPN:链接
FortiGate 5.6 与 Sonicwall 防火墙建立站点到站点 VPN:链接
这次的做法跟 5.6 大同小异,主要在于 Fortigate 要连到 Sonicwall 的策略设置里,NAT 要关闭 (默认是开启的),如果不关闭,就会遇到类似于 5.6 同樣的問題 (Sonicwall 可以 ping 到 Fortigate,反之不行),而 5.6 的 Blackhole 路由设置问题依然存在,必须要设置正确才行。
双方环境如下:
| Sonicwall NSA 4600 | FortiGate 100E |
| 固件:6.5.4.4 | 固件:6.0.6 |
| Lan: 192.168.1.0/24 192.168.2.0/24 Wan: |
Lan: 192.168.100.0/24 Wan: |
【Sonicwall 设置】
1.建对象
「网络」->「地址对象」
姓名: FortiGate_网络
区域分配: VPN
类型: 网络
网络: 192.168.100.0
子网掩码: 255.255.255.0
确定
2.设置 VPN 隧道
「VPN」
启用 VPN
添加
–常规选项卡
IPSec 密钥模式: 使用预共享密钥的 IKE.
姓名: FortiGate_网络
IPSec 主网关名称或地址: 203.4.5.6
共享密钥: 设置一个密码
本地 IKE ID: IP 地址 (保留为空)
对端 IKE ID: IP 地址 (保留为空)
–网络选项卡
本地网络:LAN 主子网(192.168.1.0/24、192.168.2.0/24)
目标网络:FortiGate_网络(192.168.100.0/24)
–提案选项卡
IKE (第一阶段) 提案
交换: IKEv2 模式
DH组: 组 2
加密: 3DES
认证: SHA1
生命周期: 28800
IKE (第二阶段) 提案
协议: ESP
加密: 3DES
认证: SHA1
DH组: 组 2
生命周期: 28800
确定
【FortiGate 设置】
1.设置 VPN
「VPN」->「IPsec 隧道」
「创建新建」
姓名: SonicWall
模板类型: 自定义
–网络
远程网关: 静态IP
IP 地址: 203.1.2.3
接口: Wan1
–认证
认证方式: 预共享密钥
预共享密钥: 与上面SonicWall设置的密码相同
IKE 版本: 2
–阶段 1 提案
加密: AES128
认证: SHA1
DH组: 2
密钥寿命: 28800
–阶段 2 选择器
设置第一个网段(192.168.1.0)
姓名: SonicWall-192.168.1.0
本地地址: 192.168.100.0/24
远程地址: 192.168.1.0/24
设置第二个网段(192.168.2.0)
姓名: SonicWall-192.168.2.0
本地地址: 192.168.100.0/24
远程地址: 192.168.2.0/24
–高级
加密: 3DES
认证: SHA1
不勾选启用完美前向保密(PFS)
密钥寿命: 28800
2.建立路由
设置 192.168.1.0 路由
「网络」->「静态路由」
创建新建
目的地: 192.168.1.0/24
接口: SonicWall
管理距离: 10
-高级选项
优先级: 3 (要大于Blackhole默认值 0)
确定
设置 192.168.2.0 路由
「网络」->「静态路由」
创建新建
目的地: 192.168.2.0/24
接口: SonicWall
管理距离: 10
-高级选项
优先级: 3 (要大于Blackhole默认值 0)
确定
设置 192.168.1.0 黑洞
「网络」->「静态路由」
创建新建
目的地: 192.168.1.0/24
接口: 黑洞
管理距离: 12 (必须大于一般路由默认值 10)
确定
设置 192.168.2.0 黑洞
「网络」->「静态路由」
创建新建
目的地: 192.168.2.0/24
接口: 黑洞
管理距离: 12 (必须大于一般路由默认值 10)
确定
3.设置防火墙规则
策略 & 对象」->「IPv4 策略」
创建新建
姓名: Forti到Sonicwall
源接口: 端口 1(192.168.100.0 所在端口)
出接口: SonicWall
源: FortiGate_网络
目的地: SonicWall_network
计划: 总是
服务: 所有
操作: 接受
关闭 NAT(這版韌體的主要問題就在此處不能開啟)
确定
创建新建
姓名: Sonicwall到Forti
源接口: SonicWall
出接口: 端口 1(192.168.100.0 所在端口)
源: SonicWall_network
目的地: FortiGate_网络
计划: 总是
服务: 所有
操作: 接受
确定
留下回复