Fortigate-60B與Netscreen-5xp site to site vpn 設定

發佈日期: 2012 年 03 月 10 日作者: 榮哥

手上有Fortigate-60B與Netscreen-5xp設備

找了官方網站文件來研究後,練習一下兩家不同設備site to site VPN 的設定

簡單的架構圖

fg601

環境說明

Fortigate 60B 

WAN1 IP :a.a.a.a

LAN-A  : 192.168.3.0/24

Netscreen 5XP

Untrust IP : b.b.b.b

LAN-B  : 192.168.1.0/24

達成目的

WAN1 與 Uustrust 做VPN ,讓LANA 與LANB 可以互通

=====================================

Fortgate 60B 設定

1.先設定IP網段物件,在WEB介面上設定

   firewall –> Address  新增兩邊內部網段的物件

名稱: 5XP_Network (如下圖)

fg60-2

名稱: FG60_Network (如下圖)

fg60-3

2.設定VPN,在WEB介面上設定

    #1:先建立 Phase1

    VPN –>  IPSEC –> Auto key (IKE)Create Phase1

fg60-4

Name : 自訂名稱

     Remote Gateway : 選 Static IP Address

     IP Address : 設定NetScreen 5xp  Untrust的IP

     Local Interface: 設定要與Netscreen5xp 做VPN的介面(我是用WAN1)

     Mode : Main

     Authentication Method : 設定使用Preshared key

     pre-share-key : 設定一組key (FG60B與5XP都需設定一樣)

     Phase1進階設定部份(如下圖)

fg60-5

#2:先建立 Phase2

     VPN –>  IPSEC –> Auto key (IKE)Create Phase2(如下圖)

fg60-6

Name : 名稱自訂

      Phase1 :選之前Phase1 設定的名稱

      其他參考上圖設定即可

3.建立policy

  在web 介面 –> policy

fg60-6

Source Interface/Zone : internal (FG60B LAN)

   Source Address :前面步驟設定的網路物件 ( FG60_Network )

   Destination Interface/Zone : wan1 (與5xp連線的對外port)

   Schedule :  always

   service : any

   Action : IPSEC

   VPN Tunnel : 選前面Phase 1 的名稱 p1

   設定好將此規則調整至最上面

fg60-7

PS: FG60B 規則只需要設定一條即可

NetScreen 5XP 設定

1.先設定IP網段物件,在WEB介面上設定

    object –> Address

    Untrust : FG60_NET (192.168.3.0/24)

    Trust : 5xp_NET (192.168.1.0/24)

fg60-8

fg60-9

2.設定VPN,在WEB介面上設定

    #1:先建立 Phase1

      VPNs > AutoKey Advanced > Gateway

fg60-10

Gateway Name : 自定 (我設定p1)

   Security Level : Custom

   Remote Gateway Type :  Static IP Address (在此右邊將FG60B 對外IP設定上去)

   Preshared Key: 設定與FG60B相同的key

   Advanced 部分:

fg60-11

Phase 1 Proposal : 選 pre-g2-3des-sha , pre-g2-3des-md5 

  勾選 Enable NAT-Traversal 

  其他預設值即可

#2:先建立 Phase2

    VPNs > AutoKey IKE

fg60-12

VPN Name  : 自訂(我設定p2)

  Security Level  : Custom

  Remote Gateway  : 選 Predefined,右邊設定p1(上面步驟設定的phase1)

  Advanced 部分:

fg60-13

Phase 2 Proposal : 選 g2-esp-des-md5 , g2-dsp-3des-md5 , g2-esp-3des-sha

   勾選 Replay Protection 

   Bind to 選 nono

   proxy ID : 可以不用設定

3.建立policy

Untrust To Trust : 

fg60-14

Source Address: FG60_NET

Destination Address : 5xp_NET

Action : Tunnel 

Tunnel  VPN : 選p2 (phase2)

勾選 Modify matching bidirectional VPN policy

Trust To Untrus

fg60-15

Source Address: 5xp_NET

Destination Address : FG60_NET

Action : Tunnel 

Tunnel  VPN : 選p2 (phase2)

勾選 Modify matching bidirectional VPN policy

設定好如下圖

fg60-16



本篇瀏覽人數: 4574
分類: Fortigate篇。這篇內容的永久連結

在〈Fortigate-60B與Netscreen-5xp site to site vpn 設定〉中有 5 則留言

  1. 阿財表示:
    2016 年 12 月 22 日17:01:01

    您好,可以請教您一個問題嗎?
    朋友在台灣跟大陸,各有一個小型(5~6人)辦公室,台灣這邊有ERP&Files Server 2台主機
    目前規劃要讓大陸端office可連上台灣的主機,想建立簡易的site to site的internet VPN
    如以建置成本為先考量下,有比較建議的設備或VPN方案嗎?

    回覆
    • 榮哥表示:
      2016 年 12 月 22 日22:58:55

      您好
      我個人喜好利用硬體防火牆做site to site VPN
      如果只有 5-6 人辦公室 其實fortinet 設備其實還算滿穩定的其實不用太高階費用部會很貴
      如果還是覺得很貴~~想省成本~~ 我想可以直接拍賣網站買2手的來使用也是OK但前提您要會自己設定
      頂多多買一兩台來當備品,基本上 5-6 人應該fortinet 60 -90 系列應該就很夠用的~~
      以上您參考看看

      回覆
  2. 表示:
    2017 年 07 月 04 日17:38:53

    您好,看完您的文章後想請教您一些問題
    也實做過成功(fortigate50b對5xp)

    若我是在fortigate60b的內網下,但我想讓我的連線透過5xp出去(類似翻牆)
    請問該如何修改設定呢?

    謝謝您

    回覆

發佈回覆給「榮哥」的留言 取消回覆

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *