三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,後來測試Juniper 5GT與Sonicwall倒是成功。最近又有需求要與一台FortiGate 110C建VPN,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,ولكن ما زلت تريد المحاولة مرة أخرى مع سونيك وول لبناء,,zh-TW,نرى ما اذا كان يمكنك معرفة سبب الفشل الأصلي,,zh-TW,ذهابا وإيابا كل يوم اختبار,,zh-TW,وأخيرا الحصول عليها.,,zh-TW,[مراجعة كتاب] التنويم المغناطيسي تعرف,,zh-TW,وصلة دائمة لالتنويم المغناطيسي تعرف [مراجعة لكتاب],,zh-TW,الكاتب: يانغ ميكيو ◎ الاملاء، ولا انغ ◎ الكتابة,,zh-TW,الناشر: شينغ لين الثقافة,,zh-CN,تاريخ النشر: أكتوبر 1997,,zh-CN,تقييم شخصي: ★★★★,,zh-TW,هو استعار هذا الكتاب من المكتبة,,zh-TW,看看能不能找出當初失敗的原因,來回測試一整天,總算搞定。
البيئة الجانبين على النحو التالي:
| سونيك وول NSA 4600 | FortiGate 110C |
| لان: 192.168.1.0/24 192.168.2.0/24 عربة: | لان: 192.168.100.0/24 عربة: |
[إعدادات سونيك وول]
1.كائن بنيت
"شبكة الاتصال"->「عنوان كائنات」
اسم: FortiGate_network
تعيين المنطقة: VPN
نوع: شبكة
شبكة: 192.168.100.0
قناع الشبكة: 255.255.255.0
OK
2.وضع VPN نفق
「VPN」
تمكين VPN
Add
–علامة التبويب عام
القفل الوضع أمن بروتوكول الإنترنت: IKE استخدام مشترك مسبقا السرية.
اسم: FortiGate_network
أمن بروتوكول الإنترنت اسم بوابة الأساسي أو عنوان: 203.4.5.6
سر المشتركة: تعيين كلمة مرور
ID IKE المحلي: عنوان IP (اتركه فارغا)
لند IKE ID: عنوان IP (اتركه فارغا)
–علامة التبويب الشبكة
شبكه محليه:LAN الشبكة الفرعية الابتدائية(192.168.1.0/24、192.168.2.0/24)
الشبكات الوجهة:FortiGate_network.
–علامة التبويب المقترحات
IKE (Fhsel) اقتراح
تبادل: الوسيلة الرئيسية
المجموعة DH: مجموعة 2
التشفير: 3OF
المصادقة: SHA1
أوقات الحياة: 28800
IKE (Fhse2) اقتراح
بروتوكول: ESP
التشفير: 3OF
المصادقة: SHA1
المجموعة DH: مجموعة 2
أوقات الحياة: 28800
–علامة التبويب خيارات متقدمة
تمكن حافظ على قيد الحياة.
OK
接著設定FortiGate,有Tunnel及Interface兩種方式,二擇一設定即可。(官方教學是Tunnel模式)
【FortiGate設定—1.Tunnel模式】
1.وضع VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: سونيك وول
بوابة النائية: رقم تعريف حاسوب ثابت
عنوان IP: 203.1.2.3
الوضع: الأساسية
أسلوب المصادقة: مفتاح مشترك مسبقا
مفتاح مشترك مسبقا: سونيك وول مع مجموعة أعلاه من كلمة المرور
–المتقدمة
التشفير: 3OF
المصادقة: SHA1
المجموعة DH: 2
Keylife: 28800
保留其他設定的預設值。
OK
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: سونيك وول-192.168.1.0
بوابة النائية: 選SonicWall
–المتقدمة
التشفير: 3OF
المصادقة: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選,就算Sonicwall也勾選,仍可能造成VPN無法建立,原因不明,Interface模式則沒有此問題)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”خطأ。
وضع قطعة الشبكة الثانية(192.168.2.0)
「Create Phase 2」
Tunnel Name: سونيك وول-192.168.2.0
بوابة النائية: 選SonicWall
–المتقدمة
التشفير: 3OF
المصادقة: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.建立Address
「جدار حماية」 ->「Address」->「Address」
خلق جديد إبداع جديد
اسم:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK
خلق جديد إبداع جديد
اسم:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK
خلق جديد إبداع جديد
اسم:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK
把Sonicwall兩個網段設為一個群組
「جدار حماية」 ->「Address」->「Group」
خلق جديد إبداع جديد
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
OK
3.وضع قواعد جدار الحماية
「جدار حماية」 ->"سياسات"->"سياسات"
خلق جديد إبداع جديد
واجهة مصدر: ميناء 1(أو الداخلية)
عنوان المصدر: FortiGate_network
واجهة الوجهة: WAN1 (or External)
عنوان الوجهة: SonicWall_network
جدول: دائما
خدمة: أي
عمل: IPSEC (or Encrypt)
VPN Tunnel: سونيك وول
勾 Allow inbound
勾 Allow outbound
OK
【FortiGate設定—2.Interface模式】
1.وضع VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: سونيك وول
بوابة النائية: رقم تعريف حاسوب ثابت
عنوان IP: 203.1.2.3
الوضع: الأساسية
أسلوب المصادقة: مفتاح مشترك مسبقا
مفتاح مشترك مسبقا: سونيك وول مع مجموعة أعلاه من كلمة المرور
–المتقدمة
勾「Enable IPsec Interface Mode」
التشفير: 3OF
المصادقة: SHA1
المجموعة DH: 2
Keylife: 28800
保留其他設定的預設值。
OK
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: سونيك وول-192.168.1.0
بوابة النائية: سونيك وول
–المتقدمة
التشفير: 3OF
المصادقة: SHA1
قم بإلغاء التحديد تمكين السرية إلى الأمام مثالية(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”خطأ。
وضع قطعة الشبكة الثانية(192.168.2.0)
「Create Phase 2」
Tunnel Name: سونيك وول-192.168.2.0
بوابة النائية: سونيك وول
–المتقدمة
التشفير: 3OF
المصادقة: SHA1
قم بإلغاء التحديد تمكين السرية إلى الأمام مثالية(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.إنشاء الطريق
「راوتر」 ->"ثابتة"->「توجيه ثابت」
خلق جديد إبداع جديد
IP المقصد / قناع: 192.168.1.0/24
جهاز: سونيك وول
OK
خلق جديد إبداع جديد
IP المقصد / قناع: 192.168.2.0/24
جهاز: سونيك وول
OK
3.وضع قواعد جدار الحماية
「جدار حماية」 ->"سياسات"->"سياسات"
خلق جديد إبداع جديد
واجهة مصدر: ميناء 1(أو الداخلية)
عنوان المصدر: FortiGate_network
واجهة الوجهة: سونيك وول
عنوان الوجهة: SonicWall_network
جدول: دائما
خدمة: أي
عمل: قبول
OK
خلق جديد إبداع جديد
واجهة مصدر: سونيك وول
عنوان المصدر: SonicWall_network
واجهة الوجهة: ميناء 1(أو الداخلية)
عنوان الوجهة: FortiGate_network
جدول: دائما
خدمة: أي
عمل: قبول
OK
【參考連結】
- Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | Fortinet Technical Discussion Forums
