三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,後來測試Juniper 5GT與Sonicwall倒是成功。最近又有需求要與一台FortiGate 110C建VPN,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,但我還是想再試一次用Sonicwall來建,看看能不能找出當初失敗的原因,來回測試一整天,總算搞定。
סביבת שני הצדדים הן כדלקמן:
| Sonicwall NSA 4600 | FortiGate 110C |
| Lan: 192.168.1.0/24 192.168.2.0/24 ואן: | Lan: 192.168.100.0/24 ואן: |
[Sonicwall הגדרות]
1.אובייקט מובנה
「Network」 ->「אובייקטים כתובת」
שם: FortiGate_network
הקצאת Zone: VPN
סוג: רשת
רשת: 192.168.100.0
מסיכת רשת: 255.255.255.0
אישור
2.הגדרת VPN Tunnel
「VPN」
אפשר VPN
הוספה
–לשונית כללית
מצב IPSec מפתוח: IKE באמצעות משותף מראש Secret.
שם: FortiGate_network
שם או כתובת IPSec Gateway עיקריים: 203.4.5.6
סוד משותף: הגדרת סיסמה
מזהה IKE מקומי: כתובת ה - IP (השאר ריק)
Peer IKE ID: כתובת ה - IP (השאר ריק)
–כרטיסיית רשת
רשת מקומית:Subnet הראשי LAN(192.168.1.0/24、192.168.2.0/24)
רשתות יעד:FortiGate_network.
–כרטיסיית הצעות
IKE (Fhsel) הצעה
לְהַחלִיף: מצב ראשי
DH קבוצה: קבוצה 2
הצף: 3OF
אימות: SHA1
לכל החיים: 28800
IKE (Fhse2) הצעה
פרוטוקול: ESP
הצף: 3OF
אימות: SHA1
DH קבוצה: קבוצה 2
לכל החיים: 28800
–כרטיסייה מתקדמת
Enable שמור בחיים.
אישור
接著設定FortiGate,有Tunnel及Interface兩種方式,二擇一設定即可。(官方教學是Tunnel模式)
【FortiGate設定—1.Tunnel模式】
1.הגדרת VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gateway מרחוק: Static IP
כתובת ה - IP: 203.1.2.3
מצב: ראש
שיטת אימות: משותף מראש מפתח
מפתח משותף מראש: Sonicwall עם סט של הסיסמה מעל
–מתקדם
הצף: 3OF
אימות: SHA1
DH קבוצה: 2
Keylife: 28800
保留其他設定的預設值。
אישור
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gateway מרחוק: 選SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
不勾選「Enable perfect forward secrecy(PFS)」
(如果勾選,就算Sonicwall也勾選,仍可能造成VPN無法建立,原因不明,Interface模式則沒有此問題)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
אישור
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”שגיאה。
הגדרת קטע רשת שנייה(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gateway מרחוק: 選SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
不勾選「Enable perfect forward secrecy(PFS)」
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
אישור
2.建立Address
"חומת אש"->「Address」->「Address」
צור חדש
שֵׁם:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
אישור
צור חדש
שֵׁם:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
אישור
צור חדש
שֵׁם:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
אישור
把Sonicwall兩個網段設為一個群組
"חומת אש"->「Address」->「Group」
צור חדש
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
אישור
3.כללים חומים אש גדר
"חומת אש"->「מדיניות」 ->「מדיניות」
צור חדש
ממשק המקור: נמל 1(או פנימי)
כתובת המקור: FortiGate_network
ממשק יעד: WAN1 (or External)
כתובת יעד: SonicWall_network
לוח זמנים: תמיד
שרות: כל
פעולה: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
אישור
【FortiGate設定—2.Interface模式】
1.הגדרת VPN
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
Gateway מרחוק: Static IP
כתובת ה - IP: 203.1.2.3
מצב: ראש
שיטת אימות: משותף מראש מפתח
מפתח משותף מראש: Sonicwall עם סט של הסיסמה מעל
–מתקדם
勾「Enable IPsec Interface Mode」
הצף: 3OF
אימות: SHA1
DH קבוצה: 2
Keylife: 28800
保留其他設定的預設值。
אישור
「VPN」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
Gateway מרחוק: SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
בטל מפעיל סודיות מושלמת קדימה(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
אישור
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”שגיאה。
הגדרת קטע רשת שנייה(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
Gateway מרחוק: SonicWall
–מתקדם
הצף: 3OF
אימות: SHA1
בטל מפעיל סודיות מושלמת קדימה(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
אישור
2.למסד קו
「נתב」 ->「סטטי」 ->「נתיב סטטי」
צור חדש
IP יעד / מסכה: 192.168.1.0/24
התקן: SonicWall
אישור
צור חדש
IP יעד / מסכה: 192.168.2.0/24
התקן: SonicWall
אישור
3.כללים חומים אש גדר
"חומת אש"->「מדיניות」 ->「מדיניות」
צור חדש
ממשק המקור: נמל 1(או פנימי)
כתובת המקור: FortiGate_network
ממשק יעד: SonicWall
כתובת יעד: SonicWall_network
לוח זמנים: תמיד
שרות: כל
פעולה: קבל
אישור
צור חדש
ממשק המקור: SonicWall
כתובת המקור: SonicWall_network
ממשק יעד: נמל 1(או פנימי)
כתובת יעד: FortiGate_network
לוח זמנים: תמיד
שרות: כל
פעולה: קבל
אישור
【參考連結】
- Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | Fortinet Technical Discussion Forums
