三年前曾尝试为 Sonicwall NSA 2400 与 FortiGate 110C 建立站点到站点 VPN,但是失败了,后来测试 Juniper 5GT 与 Sonicwall 倒是成功了。最近又有需求要与一台 FortiGate 110C 建立 VPN,虽然手上已经有另一台 FortiGate 110C,按理说直接用同型号来建会省事很多,但我还是想再试一次用 Sonicwall 来建,看看能否找出当初失败的原因,反复测试一整天,总算搞定。
双方环境如下:
| Sonicwall NSA 4600 | FortiGate 110C |
| Lan: 192.168.1.0/24 192.168.2.0/24 Wan: |
Lan: 192.168.100.0/24 Wan: |
【Sonicwall设置】
1.建Object
「Network」->「Address Objects」
姓名: FortiGate_网络
区域分配: VPN
类型: 网络
网络: 192.168.100.0
子网掩码: 255.255.255.0
确定
2.设置VPN隧道
「VPN」
启用 VPN
添加
–常规选项卡
IPSec 密钥模式: 使用预共享密钥的 IKE.
姓名: FortiGate_网络
IPSec 主网关名称或地址: 203.4.5.6
共享密钥: 设置一个密码
本地 IKE ID: IP 地址 (保留为空)
对端 IKE ID: IP 地址 (保留为空)
–网络选项卡
本地网络:LAN 主子网(192.168.1.0/24、192.168.2.0/24)
目标网络:FortiGate_网络.
–提案选项卡
IKE (第一阶段) 提案
交换: 主模式
DH组: 组 2
加密: 3DES
认证: SHA1
生命周期: 28800
IKE (第二阶段) 提案
协议: ESP
加密: 3DES
认证: SHA1
不勾选「Enable perfect forward secrecy」
生命周期: 28800
–高级选项卡
启用Keep Alive.
确定
接着设置FortiGate,有Tunnel及Interface两种方式,二选一设置即可。(官方教学是Tunnel模式)
【FortiGate设置—1.Tunnel模式】
1.设置VPN
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
网关名称: SonicWall
远程网关: 静态IP
IP 地址: 203.1.2.3
模式: 主模式
认证方式: 预共享密钥
预共享密钥: 与上面SonicWall设置的密码相同
–高级
加密: 3DES
认证: SHA1
DH组: 2
密钥寿命: 28800
保留其他设置的默认值。
确定
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
隧道名称: SonicWall-192.168.1.0
远程网关: 选择SonicWall
–高级
加密: 3DES
认证: SHA1
不勾选「Enable perfect forward secrecy(PFS)」
(如果勾选,Even if SonicWall is selected,,it may still cause the VPN to fail to establish.,原因不明,Interface mode does not have this issue.)
密钥寿命: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
确定
**Here, Quick Mode must be set to establish a connection with SonicWall,。otherwise FortiGate will show”no matching gateway for new request”的错误。
设置第二个网段(192.168.2.0)
「Create Phase 2」
隧道名称: SonicWall-192.168.2.0
远程网关: 选择SonicWall
–高级
加密: 3DES
认证: SHA1
不勾选「Enable perfect forward secrecy(PFS)」
密钥寿命: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
确定
2.建立地址
防火墙 ->地址 ->地址
创建新建
名称:FortiGate_网络
IP 地址:192.168.100.0
子网:255.255.255.0
确定
创建新建
名称:SonicWall_network_1
IP 地址:192.168.1.0
子网::255.255.255.0
确定
创建新建
名称:SonicWall_network_2
IP 地址:192.168.2.0
子网::255.255.255.0
确定
将Sonicwall两个网段设置为一个组
防火墙 ->地址 ->组
创建新建
组名称:SonicWall_network
成员:SonicWall_network_1、SonicWall_network_2
确定
3.设置防火墙规则
防火墙 ->策略 ->策略
创建新建
源接口: 端口 1(或内部)
源地址: FortiGate_网络
目标接口: WAN1 (或外部)
目标地址: SonicWall_network
计划: 总是
服务: 任意
操作: IPSEC (或加密)
VPN 隧道: SonicWall
勾选允许入站
勾选允许出站
确定
【FortiGate 设置 — 2.接口模式】
1.设置VPN
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
网关名称: SonicWall
远程网关: 静态IP
IP 地址: 203.1.2.3
模式: 主模式
认证方式: 预共享密钥
预共享密钥: 与上面SonicWall设置的密码相同
–高级
勾选启用 IPsec 接口模式
加密: 3DES
认证: SHA1
DH组: 2
密钥寿命: 28800
保留其他设置的默认值。
确定
「VPN」->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
隧道名称: SonicWall-192.168.1.0
远程网关: SonicWall
–高级
加密: 3DES
认证: SHA1
不勾选启用完美前向保密(PFS)
密钥寿命: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
确定
**Here, Quick Mode must be set to establish a connection with SonicWall,。otherwise FortiGate will show”no matching gateway for new request”的错误。
设置第二个网段(192.168.2.0)
「Create Phase 2」
隧道名称: SonicWall-192.168.2.0
远程网关: SonicWall
–高级
加密: 3DES
认证: SHA1
不勾选启用完美前向保密(PFS)
密钥寿命: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
确定
2.建立路由
路由器 ->静态 ->静态路由
创建新建
目标 IP/掩码: 192.168.1.0/24
设备: SonicWall
确定
创建新建
目标 IP/掩码: 192.168.2.0/24
设备: SonicWall
确定
3.设置防火墙规则
防火墙 ->策略 ->策略
创建新建
源接口: 端口 1(或内部)
源地址: FortiGate_网络
目标接口: SonicWall
目标地址: SonicWall_network
计划: 总是
服务: 任意
操作: 接受
确定
创建新建
源接口: SonicWall
源地址: SonicWall_network
目标接口: 端口 1(或内部)
目标地址: FortiGate_网络
计划: 总是
服务: 任意
操作: 接受
确定
【参考链接】
- Fortigate 对 SonicWALL IPSEC 实现 | Fred 的博客
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | Fortinet Technical Discussion Forums
