三年前曾試過為Sonicwall NSA 2400與FortiGate 110C建立Site to Site VPN,不過失敗了,後來測試Juniper 5GT與Sonicwall倒是成功。最近又有需求要與一台FortiGate 110C建VPN,雖然手上已經有另一台FortiGate 110C,照理說直接用同型號來建會省事很多,但我還是想再試一次用Sonicwall來建,看看能不能找出當初失敗的原因,來回測試一整天,總算搞定。
दोनों पक्षों ने पर्यावरण इस प्रकार हैं:
| Sonicwall एनएसए 4600 | FortiGate 110C |
| लैन: 192.168.1.0/24 192.168.2.0/24 वैन: | लैन: 192.168.100.0/24 वैन: |
[Sonicwall सेटिंग]
1.निर्मित वस्तु
"नेटवर्क"->「पता वस्तुओं」
नाम: FortiGate_network
जोन असाइनमेंट: वीपीएन
टाइप: संजाल
संजाल: 192.168.100.0
netmask: 255.255.255.0
OK
2.वीपीएन सुरंग की स्थापना
「वीपीएन」
वीपीएन सक्षम करें
जोड़ें
–सामान्य टैब
IPsec Keying मोड: IKE पूर्व-साझाकृत गुप्त का उपयोग कर.
नाम: FortiGate_network
IPSec प्राथमिक गेटवे नाम या पता: 203.4.5.6
साझा रहस्य: एक पासवर्ड सेट करें
स्थानीय IKE आईडी: आईपी पता (खाली छोड़ दें)
सहकर्मी IKE आईडी: आईपी पता (खाली छोड़ दें)
–नेटवर्क टैब
स्थानीय नेटवर्क:लैन प्राथमिक सबनेट(192.168.1.0/24、192.168.2.0/24)
गंतव्य नेटवर्क:FortiGate_network.
–प्रस्ताव टैब
IKE (Phase1) प्रस्ताव
अदला बदली: मुख्य मोड
DH समूह: समूह 2
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
जीवन काल: 28800
IKE (Phase2) प्रस्ताव
मसविदा बनाना: ईएसपी
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
DH समूह: समूह 2
जीवन काल: 28800
–उन्नत टैब
सक्षम रखें जिंदा.
OK
接著設定FortiGate,有Tunnel及Interface兩種方式,二擇一設定即可。(官方教學是Tunnel模式)
【FortiGate設定—1.Tunnel模式】
1.वीपीएन की स्थापना
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
रिमोट गेटवे: स्थैतिक आईपी
आईपी पता: 203.1.2.3
मोड: मुख्य
प्रमाणन विधि: गुप्त कुंजी
गुप्त कुंजी: पासवर्ड की ऊपर सेट के साथ Sonicwall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
DH समूह: 2
Keylife: 28800
保留其他設定的預設值。
OK
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
रिमोट गेटवे: 選SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
(如果勾選,就算Sonicwall也勾選,仍可能造成VPN無法建立,原因不明,Interface模式則沒有此問題)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”त्रुटि。
एक दूसरे नेटवर्क खंड की स्थापना(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
रिमोट गेटवे: 選SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
不勾選「Enable perfect forward secrecy(PFS)"
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.建立Address
「फ़ायरवॉल」 ->「Address」->「Address」
नया बनाओ
नाम:FortiGate_network
IP address:192.168.100.0
subnet:255.255.255.0
OK
नया बनाओ
नाम:SonicWall_network_1
IP address:192.168.1.0
subnet::255.255.255.0
OK
नया बनाओ
नाम:SonicWall_network_2
IP address:192.168.2.0
subnet::255.255.255.0
OK
把Sonicwall兩個網段設為一個群組
「फ़ायरवॉल」 ->「Address」->「Group」
नया बनाओ
Group Name:SonicWall_network
Members:SonicWall_network_1、SonicWall_network_2
OK
3.फ़ायरवॉल नियम निर्धारित करें
「फ़ायरवॉल」 ->「नीति」 ->「नीति」
नया बनाओ
स्रोत इंटरफ़ेस: बंदरगाह 1(या आंतरिक)
स्रोत पता: FortiGate_network
गंतव्य इंटरफ़ेस: WAN1 (or External)
गंतव्य पता: SonicWall_network
अनुसूची: हमेशा
सेवा: कोई भी
कार्य: IPSEC (or Encrypt)
VPN Tunnel: SonicWall
勾 Allow inbound
勾 Allow outbound
OK
【FortiGate設定—2.Interface模式】
1.वीपीएन की स्थापना
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 1」
「Create Phase 1」
Gateway Name: SonicWall
रिमोट गेटवे: स्थैतिक आईपी
आईपी पता: 203.1.2.3
मोड: मुख्य
प्रमाणन विधि: गुप्त कुंजी
गुप्त कुंजी: पासवर्ड की ऊपर सेट के साथ Sonicwall
–उन्नत
勾「Enable IPsec Interface Mode」
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
DH समूह: 2
Keylife: 28800
保留其他設定的預設值。
OK
「वीपीएन」 ->「IPSec」->「Auto Key(IKE)」->「Phase 2」
「Create Phase 2」
Tunnel Name: SonicWall-192.168.1.0
रिमोट गेटवे: SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
सही का निशान हटाएँ सही आगे गोपनीयता सक्षम करें(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.1.0/24
OK
**這邊Quick Mode一定要設才能與SonicWall建立連線。不然FortiGate會出現”no matching gateway for new request”त्रुटि。
एक दूसरे नेटवर्क खंड की स्थापना(192.168.2.0)
「Create Phase 2」
Tunnel Name: SonicWall-192.168.2.0
रिमोट गेटवे: SonicWall
–उन्नत
एन्क्रिप्शन: 3की
प्रमाणीकरण: SHA1
सही का निशान हटाएँ सही आगे गोपनीयता सक्षम करें(PFS)
Keylife: 28800
–Quick Mode Selector..
Source address:192.168.100.0/24
Destination address:192.168.2.0/24
OK
2.एक मार्ग की स्थापना
「रूटर」 ->「स्टेटिक」 ->「स्टेटिक मार्ग」
नया बनाओ
गंतव्य आईपी / मास्क: 192.168.1.0/24
युक्ति: SonicWall
OK
नया बनाओ
गंतव्य आईपी / मास्क: 192.168.2.0/24
युक्ति: SonicWall
OK
3.फ़ायरवॉल नियम निर्धारित करें
「फ़ायरवॉल」 ->「नीति」 ->「नीति」
नया बनाओ
स्रोत इंटरफ़ेस: बंदरगाह 1(या आंतरिक)
स्रोत पता: FortiGate_network
गंतव्य इंटरफ़ेस: SonicWall
गंतव्य पता: SonicWall_network
अनुसूची: हमेशा
सेवा: कोई भी
कार्य: स्वीकार करना
OK
नया बनाओ
स्रोत इंटरफ़ेस: SonicWall
स्रोत पता: SonicWall_network
गंतव्य इंटरफ़ेस: बंदरगाह 1(या आंतरिक)
गंतव्य पता: FortiGate_network
अनुसूची: हमेशा
सेवा: कोई भी
कार्य: स्वीकार करना
OK
संदर्भ [कड़ी]
- Fortigate對SonicWALL IPSEC 實作 | Fred’s Blog
- FortiGate to SonicWall VPN setup
- IPSEC VPN for remote users – no matching gateway for new request | Fortinet Technical Discussion Forums
