Vor drei Jahren wurde versucht, ein Site-to-Site-VPN für Sonicwall NSA 2400 und FortiGate 110C einzurichten,Aber scheiterte,Später war das Testen von Juniper 5GT und Sonicwall erfolgreich。In letzter Zeit muss ein VPN mit einem FortiGate 110C erstellt werden,Obwohl ich schon ein anderes FortiGate 110C habe,Es ist vernünftig zu sagen, dass es sehr schwierig ist, dasselbe Modell zum Erstellen eines Meetings zu verwenden,Aber ich möchte immer noch versuchen, wieder mit Sonicwall zu bauen,Überprüfen Sie, ob Sie den Grund für den Fehler herausfinden können,Den ganzen Tag hin und her testen,Endlich verstanden。
Die beiden Seiten-Umgebung sind, wie folgt:
| Sonicwall NSA 4600 | FortiGate 110C |
| lan: 192.168.1.0/24 192.168.2.0/24 Lieferwagen: | lan: 192.168.100.0/24 Lieferwagen: |
[Sonicwall-Einstellungen]
1.Built Object
"Netzwerk"->「Adressobjekte」
Name: FortiGate_network
Zone Aufgaben: VPN
Typ: Netzwerk
Netzwerk: 192.168.100.0
Netmask: 255.255.255.0
OK
2.Einstellen VPN-Tunnel
「VPN」
VPN aktivieren
Add
–Registerkarte Allgemein
IPSec Keying-Modus: IKE mit Preshared Geheimnis.
Name: FortiGate_network
IPSec primärer Gateway-Name oder Adresse: 203.4.5.6
Geteiltes Geheimnis: Legen Sie ein Passwort
Lokale IKE-ID: IP Adresse (freilassen)
Peer-IKE-ID: IP Adresse (freilassen)
–Registerkarte Netzwerk
Lokales Netzwerk:LAN Primary Subnet(192.168.1.0/24、192.168.2.0/24)
Destination Networks:FortiGate_network.
–Register Angebote
IKE (Fhsel) Vorschlag
Austausch: Hauptmodus
DH-Gruppe: Gruppe 2
Verschlüsselung: 3VON
Authentifizierung: SHA1
Lebenszeit: 28800
IKE (Fhse2) Vorschlag
Protokoll: ESP
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: Gruppe 2
Lebenszeit: 28800
–Registerkarte Erweitert
Enable Keep Alive.
OK
Richten Sie dann FortiGate ein,Es gibt zwei Möglichkeiten: Tunnel und Schnittstelle,Wählen Sie eine Einstellung。(Die offizielle Lehre ist der Tunnelmodus)
【FortiGate-Einstellungen - 1. Tunnelmodus】
1.Einstellen VPN
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Phase 1"
「Phase 1 erstellen」
Gateway-Name: Sonicwall
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Modus: Main
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
Behalten Sie die Standardwerte anderer Einstellungen bei。
OK
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Phase 2"
「Phase 2 erstellen」
Tunnelname: Sonicwall-192.168.1.0
Remote-Gateway: Wählen Sie SonicWall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Deaktivieren Sie "Perfektes Vorwärtsgeheimnis aktivieren"(PFS)"
(Wenn aktiviert,Auch wenn Sonicwall aktiviert ist,Es kann immer noch dazu führen, dass das VPN nicht hergestellt werden kann,unbekannter Grund,Der Schnittstellenmodus hat dieses Problem nicht)
Keylife: 28800
–Schnellmodusauswahl..
Quelladresse:192.168.100.0/24
Zieladresse:192.168.1.0/24
OK
**Hier muss der Schnellmodus eingestellt werden, um eine Verbindung mit SonicWall herzustellen。Andernfalls wird FortiGate angezeigt”Kein passendes Gateway für neue Anfrage”Fehler。
Einstellen eines zweiten Netzwerksegment(192.168.2.0)
「Phase 2 erstellen」
Tunnelname: Sonicwall-192.168.2.0
Remote-Gateway: Wählen Sie SonicWall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Deaktivieren Sie "Perfektes Vorwärtsgeheimnis aktivieren"(PFS)"
Keylife: 28800
–Schnellmodusauswahl..
Quelladresse:192.168.100.0/24
Zieladresse:192.168.2.0/24
OK
2.Adresse erstellen
「Firewall」 ->"Adresse"->"Adresse"
Erstelle neu
Name:FortiGate_network
IP Adresse:192.168.100.0
Subnetz:255.255.255.0
OK
Erstelle neu
Name:SonicWall_network_1
IP Adresse:192.168.1.0
Subnetz::255.255.255.0
OK
Erstelle neu
Name:SonicWall_network_2
IP Adresse:192.168.2.0
Subnetz::255.255.255.0
OK
Legen Sie Sonicwall zwei Netzwerksegmente als Gruppe fest
「Firewall」 ->"Adresse"->"Gruppe"
Erstelle neu
Gruppenname:SonicWall_network
Mitglieder:SonicWall_network_1、SonicWall_network_2
OK
3.Stellen Sie Firewall-Regeln
「Firewall」 ->"Politik"->"Politik"
Erstelle neu
Source Interface: Hafen 1(oder Internal)
Quelladresse: FortiGate_network
Zielschnittstelle: WAN1 (oder extern)
Zieladresse: SonicWall_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: IPSEC (oder verschlüsseln)
VPN-Tunnel: Sonicwall
勾 Eingehende zulassen
勾 Ausgehend zulassen
OK
[FortiGate-Einstellungen - 2. Schnittstellenmodus]
1.Einstellen VPN
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Phase 1"
「Phase 1 erstellen」
Gateway-Name: Sonicwall
Remote-Gateway: Statische IP
IP Adresse: 203.1.2.3
Modus: Main
Authentifizierungsmethode: Geteilter Schlüssel
Geteilter Schlüssel: Sonicwall mit dem obigen Satz Passwort
–fortgeschritten
勾 「IPSec-Schnittstellenmodus aktivieren」
Verschlüsselung: 3VON
Authentifizierung: SHA1
DH-Gruppe: 2
Keylife: 28800
Behalten Sie die Standardwerte anderer Einstellungen bei。
OK
「VPN」 ->「IPSec」 ->「Auto Key(IKE)」->"Phase 2"
「Phase 2 erstellen」
Tunnelname: Sonicwall-192.168.1.0
Remote-Gateway: Sonicwall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800
–Schnellmodusauswahl..
Quelladresse:192.168.100.0/24
Zieladresse:192.168.1.0/24
OK
**Hier muss der Schnellmodus eingestellt werden, um eine Verbindung mit SonicWall herzustellen。Andernfalls wird FortiGate angezeigt”Kein passendes Gateway für neue Anfrage”Fehler。
Einstellen eines zweiten Netzwerksegment(192.168.2.0)
「Phase 2 erstellen」
Tunnelname: Sonicwall-192.168.2.0
Remote-Gateway: Sonicwall
–fortgeschritten
Verschlüsselung: 3VON
Authentifizierung: SHA1
Aktivieren Deaktivieren Sie die Option Perfect Forward Secrecy(PFS)
Keylife: 28800
–Schnellmodusauswahl..
Quelladresse:192.168.100.0/24
Zieladresse:192.168.2.0/24
OK
2.Stellen Sie eine Route
「Router」 ->"Statisch"->「Static Route」
Erstelle neu
Ziel-IP / Mask: 192.168.1.0/24
Gerät: Sonicwall
OK
Erstelle neu
Ziel-IP / Mask: 192.168.2.0/24
Gerät: Sonicwall
OK
3.Stellen Sie Firewall-Regeln
「Firewall」 ->"Politik"->"Politik"
Erstelle neu
Source Interface: Hafen 1(oder Internal)
Quelladresse: FortiGate_network
Zielschnittstelle: Sonicwall
Zieladresse: SonicWall_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: Akzeptieren
OK
Erstelle neu
Source Interface: Sonicwall
Quelladresse: SonicWall_network
Zielschnittstelle: Hafen 1(oder Internal)
Zieladresse: FortiGate_network
Zeitplan: immer
Service: IRGENDEIN
Aktion: Akzeptieren
OK
Referenz [link]
- Fortigates Implementierung von SonicWALL IPSEC | Freds Blog
- FortiGate zu SonicWall VPN-Setup
- IPSEC VPN für Remotebenutzer – Kein passendes Gateway für neue Anfrage | Fortinet Technical Discussion Forums
