Sonicwall FortiGate Firewall, die Site-to Site VPN

  三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN不過失敗了後來測試Juniper 5GT與Sonicwall倒是成功最近又有需求要與一台FortiGate 110C建VPN雖然手上已經有另一台FortiGate 110C照理說直接用同型號來建會省事很多但我還是想再試一次用Sonicwall來建看看能不能找出當初失敗的原因來回測試一整天總算搞定


Die beiden Seiten-Umgebung sind, wie folgt:

Sonicwall NSA 4600 FortiGate 110C
lan:
192.168.1.0/24
192.168.2.0/24

Lieferwagen:
203.1.2.3

lan:
192.168.100.0/24
 

Lieferwagen:
203.4.5.6

[Sonicwall-Einstellungen]
1.Built Object
"Netzwerk"->「Adressobjekte」
Name: FortiGate_network
Zone Aufgaben: VPN
Typ: Netzwerk
Netzwerk: 192.168.100.0
Netmask: 255.255.255.0
OK

2.Einstellen VPN-Tunnel
「VPN」
VPN aktivieren
Add
–Registerkarte Allgemein
IPSec Keying-Modus: IKE mit Preshared Geheimnis.
Name: FortiGate_network
IPSec primärer Gateway-Name oder Adresse: 203.4.5.6
Geteiltes Geheimnis: Legen Sie ein Passwort
Lokale IKE-ID: IP Adresse (freilassen)
Peer-IKE-ID: IP Adresse (freilassen)

–Registerkarte Netzwerk
Lokales Netzwerk:LAN Primary Subnet(192.168.1.0/24、192.168.2.0/24)
Destination Networks:FortiGate_network.

–Register Angebote
IKE (Fhsel) Vorschlag
Austausch: Hauptmodus
DH-Gruppe: Gruppe 2
Verschlüsselung: 3VON
Authentifizierung: SHA1
Lebenszeit: 28800

IKE (Fhse2) Vorschlag
Protokoll: ESP
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: Gruppe 2
Lebenszeit: 28800

–Registerkarte Erweitert
Enable Keep Alive.
OK

接著設定FortiGate有Tunnel及Interface兩種方式二擇一設定即可。(官方教學是Tunnel模式)

【FortiGate設定—1.Tunnel模式】
1.Einstellen VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: Sonicwall
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Modus: Main
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort

–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
保留其他設定的預設值
OK

「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.1.0
Remote-Gateway: 選SonicWall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選就算Sonicwall也勾選仍可能造成VPN無法建立原因不明Interface模式則沒有此問題)

Keylife: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線不然FortiGate會出現no matching gateway for new request”Fehler。

Einstellen eines zweiten Netzwerksegment(192.168.2.0)
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.2.0
Remote-Gateway: 選SonicWall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
Keylife: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK

2.建立Address
「Firewall」 ->「Address」->「Address」
Erstelle neu
Name:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK

Erstelle neu
Name:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK

Erstelle neu
Name:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK

把Sonicwall兩個網段設為一個群組
「Firewall」 ->「Address」->「Group」
Erstelle neu
Group Name:SonicWall_network
Members:SonicWall_network_1SonicWall_network_2
OK

3.Stellen Sie Firewall-Regeln
「Firewall」 ->"Politik"->"Politik"
Erstelle neu
Source Interface: Hafen 1(oder Internal)
Quelladresse: FortiGate_network
Zielschnittstelle: WAN1 (or External)
Zieladresse: SonicWall_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: IPSEC (or Encrypt)
VPN Tunnel: Sonicwall
勾 Allow inbound
勾 Allow outbound
OK

【FortiGate設定—2.Interface模式】
1.Einstellen VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: Sonicwall
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Modus: Main
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort

–fortgeschritten
勾「Enable IPsec Interface Mode」
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
保留其他設定的預設值
OK

「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.1.0
Remote-Gateway: Sonicwall

–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800

Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線不然FortiGate會出現no matching gateway for new request”Fehler。

Einstellen eines zweiten Netzwerksegment(192.168.2.0)
「Create Phase 2」
Tunnel Name: Sonicwall-192.168.2.0
Remote-Gateway: Sonicwall

–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800
Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK

2.Stellen Sie eine Route
「Router」 ->"Statisch"->「Static Route」
Erstelle neu
Ziel-IP / Mask: 192.168.1.0/24
Gerät: Sonicwall
OK

Erstelle neu
Ziel-IP / Mask: 192.168.2.0/24
Gerät: Sonicwall
OK

3.Stellen Sie Firewall-Regeln
「Firewall」 ->"Politik"->"Politik"
Erstelle neu
Source Interface: Hafen 1(oder Internal)
Quelladresse: FortiGate_network
Zielschnittstelle: Sonicwall
Zieladresse: SonicWall_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: Akzeptieren
OK

Erstelle neu
Source Interface: Sonicwall
Quelladresse: SonicWall_network
Zielschnittstelle: Hafen 1(oder Internal)
Zieladresse: FortiGate_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: Akzeptieren
OK

Referenz [link]

Leave a Comment

Bitte beachten Sie,: Kommentar Moderation ist aktiviert und kann Ihren Kommentar verzögern. Es besteht keine Notwendigkeit zur Stellungnahme reichen Sie.