Szczegóły
Ten samouczek prowadzi przez proces ustanawiania połączenia VPN typu lokacja-lokacja między routerem QNAP dodanym do sieci QuWAN a urządzeniem Fortinet® FortiGate®. Konfigurując ustawienia VPN na obu urządzeniach, można utworzyć bezpieczne i niezawodne połączenie między dwiema sieciami, umożliwiające transfer danych i zdalny dostęp. Niniejszy przewodnik zawiera instrukcje krok po kroku dotyczące konfigurowania, weryfikowania i zarządzania połączeniem VPN w celu zapewnienia prawidłowej integracji sieci i bezpieczeństwa.
Ważne
- Sieć VPN typu lokacja-lokacja QuWAN obsługuje wyłącznie protokół IKEv2.
- Router połączony z QuWAN i urządzenie Fortinet® FortiGate® muszą być skonfigurowane z identycznymi ustawieniami, aby zapewnić prawidłowe działanie VPN.
- Urządzenie QNAP musi zostać dodane do QuWAN Orchestrator przed skonfigurowaniem sieci VPN typu lokacja-lokacja. Informacje na temat dodawania urządzenia można znaleźć w Pomocy QuWAN i QuWAN Orchestrator: Configuration | QuWAN and QuWAN Orchestrator Help (qnap.com)
Ostrzeżenie
Wdrożenie sieci VPN typu lokacja-lokacja zwiększa złożoność sieci. Przed jej włączeniem należy upewnić się, że rozumie się implikacje dotyczące bezpieczeństwa.
Procedura
Skonfiguruj poniższe ustawienia na urządzeniu FortiGate®, aby ustanowić tunel IPsec VPN typu lokacja-lokacja z routerem połączonym z QuWAN. Zdefiniuj metodę uwierzytelniania, algorytmy szyfrowania i ustawienia wymiany kluczy, aby zapewnić bezpieczne połączenie. Włącz opcje takie jak przechodzenie przez NAT i wykrywanie nieaktywnych węzłów, aby zachować stabilność tunelu i zgodność z platformą VPN QuWAN. Poniższe ustawienia są oparte na FortiProxy 1.1.0 Online Help dla urządzenia FortiGate® 300C.
Urządzenie FortiGate® tworzy tunel IPSec VPN.
- Zaloguj się do interfejsu użytkownika FortiGate®.
- Przejdź do VPN > IPSec > Tunnels.
- Kliknij Create New.
- Skonfiguruj ustawienia IPSec VPN.
Ustawienia ogólne
Ustawienie Działanie użytkownika Name Wprowadź unikatową nazwę tunelu VPN. Comments (opcjonalnie) Dodaj opis tunelu. Enable IPsec Interface Mode Zaznacz, aby włączyć protokół IPsec dla tunelu VPN.
Ustawienia sieci
Ustawienie Działanie użytkownika IP Version Wybierz IPv4 jako wersję protokołu. Remote Gateway Wybierz Static IP Address, jeśli zdalny węzeł ma stały adres IP. IP Address Wprowadź adres IP zdalnego węzła. Interface Wybierz interfejs sieciowy dla tunelu VPN. Mode Config (opcjonalnie) Włącz, aby przypisywać adresy IP klientom VPN. NAT Traversal Włącz funkcję NAT Traversal, jeśli między węzłami znajduje się urządzenie NAT. Keepalive Frequency Ustaw częstotliwość wysyłania pakietów keepalive. Dead Peer Detection Włącz wykrywanie nieaktywnych węzłów, aby identyfikować i usuwać nieodpowiadające węzły VPN.
Ustawienia uwierzytelniania
Ustawienie Działanie użytkownika Method Wybierz Pre-shared Key jako metodę uwierzytelniania. Pre-shared Key Skopiuj klucz wstępny z okna konfiguracji połączenia VPN opartego na trasach w QuWAN Orchestrator i wklej go w polu klucza wstępnego. IKE Version Wybierz 2 jako wersję protokołu IKE. Mode Wybierz Main (ID Protection) dla bezpiecznej obsługi tożsamości.
Ustawienia propozycji fazy 1
uwaga
Upewnij się, że oba urządzenia mają zgodne ustawienia szyfrowania i uwierzytelniania.
Ustawienie Działanie użytkownika Encryption Wybierz algorytm szyfrowania AES256. Authentication Wybierz SHA256 do uwierzytelniania. Diffie-Hellman Groups Wybierz grupy wymiany kluczy: 2, 5, 14, 15, 16, 19, 20 lub 21. Key Lifetime (seconds) Ustaw czas ważności klucza szyfrowania (domyślnie: 86400 sekund). Local ID Wprowadź lokalny identyfikator, jeśli jest wymagany.
Jeśli korzystasz z usługi dynamicznego DNS (DDNS) dla połączenia IPsec VPN opartego na trasach, musisz ustawić lokalny identyfikator w formacie FQDN.
Ustawienia XAUTH
Ustawienie Działanie użytkownika Type Wybierz Disabled, chyba że wymagane jest rozszerzone uwierzytelnianie.
Selektory fazy 2
Ustawienie Działanie użytkownika Local Address Zdefiniuj sieć lokalną (domyślnie: 0.0.0.0/0). Remote Address Zdefiniuj sieć zdalną (domyślnie: 0.0.0.0/0).
Ustawienia fazy 2
Ustawienie Działanie użytkownika Name Zachowaj tę samą nazwę co w fazie 1 lub zmień ją według potrzeb. Comments (opcjonalnie) Dodaj opis. Local Address Wybierz Subnet i skonfiguruj zakres sieci lokalnej. Remote Address Wybierz Subnet i skonfiguruj zakres sieci zdalnej. - Kliknij OK.
Urządzenie FortiGate® tworzy tunel IPSec VPN.
Aby połączyć router podłączony do QuWAN z urządzeniem FortiGate®, należy skonfigurować sieć VPN opartą na trasach. Metoda ta ustanawia szyfrowany tunel kierujący ruchem między dwiema sieciami na podstawie zasad routingu. W odróżnieniu od sieci VPN opartych na zasadach, sieci VPN oparte na trasach obsługują routing dynamiczny i wiele podsieci, zapewniając precyzyjną kontrolę ruchu i wydajną wymianę danych między połączonymi lokalizacjami.
Przed skonfigurowaniem połączenia VPN opartego na trasach w QuWAN Orchestrator należy upewnić się, że urządzenie węzła jest prawidłowo skonfigurowane. Przez urządzenie węzła rozumie się urządzenie po drugiej stronie tunelu VPN, np. inny router lub zaporę sieciową.
QuWAN Orchestrator ustanawia połączenie VPN między lokalizacjami (site-to-site) między routerem QNAP a urządzeniem Fortinet® FortiGate®.
Przed skonfigurowaniem połączenia VPN opartego na trasach w QuWAN Orchestrator należy upewnić się, że urządzenie węzła jest prawidłowo skonfigurowane. Przez urządzenie węzła rozumie się urządzenie po drugiej stronie tunelu VPN, np. inny router lub zaporę sieciową.
uwaga
Upewnij się, że ustawienia skonfigurowane na urządzeniu węzła (np. klucz wstępny, szyfrowanie) dokładnie odpowiadają ustawieniom planowanym do użycia w QuWAN Orchestrator. Szczegółowe kroki konfiguracji można znaleźć w dokumentacji urządzenia węzła.
Upewnij się, że ustawienia skonfigurowane na urządzeniu węzła (np. klucz wstępny, szyfrowanie) dokładnie odpowiadają ustawieniom planowanym do użycia w QuWAN Orchestrator. Szczegółowe kroki konfiguracji można znaleźć w dokumentacji urządzenia węzła.
- Zaloguj się do QuWAN Orchestrator.
- Przejdź do QuWAN Topology > Route-Based VPN.
- Kliknij Create New Connection.
Pojawi się okno Create New Connection.
- Podaj nazwę połączenia o długości od 1 do 64 znaków.
- Wybierz Tunnel Mode jako tryb IPSec.
- Wybierz koncentrator (hub) do kierowania ruchem i centralnego zarządzania.
- Wybierz port interfejsu WAN.
- Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy.
- Kliknij Test Connection, aby przetestować połączenie ze zdalną bramą.
- Podaj klucz wstępny (pre-shared key).
uwaga
Upewnij się, że klucz wstępny na urządzeniu zdalnym jest identyczny z tym skonfigurowanym w QuWAN Orchestrator.
- Opcjonalnie: Kliknij Advanced Settings, aby wyświetlić dodatkowe opcje konfiguracji połączeń VPN opartych na trasach.
- Skonfiguruj ustawienia Internet Key Exchange (IKE):
- Wybierz wersję IKE.
- Wybierz algorytm uwierzytelniania.
- Wybierz odpowiednią metodę szyfrowania.
- Wybierz grupę Diffie-Hellmana (DH).
uwaga
Grupy DH definiują siłę kryptograficzną służącą do bezpiecznego ustanowienia klucza prywatnego podczas komunikacji początkowej.
- Zdefiniuj czas trwania skojarzenia zabezpieczeń (SA) IKE w celu ograniczenia ryzyka kryptograficznego związanego z ujawnieniem klucza.
- Opcjonalnie: Podaj lokalny identyfikator (nazwę domeny) do uwierzytelniania zdalnej witryny.
- Podaj lokalny identyfikator tylko wtedy, gdy dla połączenia VPN opartego na trasach skonfigurowano usługę DDNS.
- Skonfiguruj ustawienia Encapsulating Security Payload (ESP):
- Wybierz algorytm uwierzytelniania.
- Wybierz odpowiednią metodę szyfrowania.
- Wybierz Enable Perfect Forward Secrecy (PFS), aby wygenerować nowy klucz DH.
- Wybierz grupę DH.
- Zdefiniuj czas trwania SA ESP.
- Opcjonalnie: Wybierz Enable Dead Peer Detection (DPD), aby identyfikować przestoje urządzeń równorzędnych i reagować na nie.
- Podaj wartość limitu czasu DPD w sekundach.
- Opcjonalnie: Wybierz Enable NAT mode, aby zapewnić prawidłowe działanie połączenia VPN nawet w przypadku obecności urządzeń NAT w sieci.
- Podaj lokalny adres IP tunelu, aby ułatwić przechodzenie przez NAT (NAT traversal).
- Opcjonalnie: Skonfiguruj ustawienia podsieci witryny:
- W sekcji Site Subnets kliknij Add Subnet.
- Podaj podsieć witryny.
- Podaj opis.
- Kliknij
.
- Kliknij Create.
QuWAN Orchestrator tworzy połączenie VPN oparte na trasach. - Zidentyfikuj połączenie VPN oparte na trasach FortiGate® na stronie QuWAN Topology/Route-based VPN.
- Kliknij
, aby włączyć połączenie VPN oparte na trasach.
QuWAN Orchestrator ustanawia połączenie VPN między lokalizacjami (site-to-site) między routerem QNAP a urządzeniem Fortinet® FortiGate®.
Dalsza lektura
- Pomoc online QuWAN i QuWAN Orchestrator
- Pomoc online QuRouter dla routerów QHora
- Dokumentacja Fortinet®
- Jak skonfigurować sieć VPN między lokalizacjami (site-to-site) między urządzeniem QuWAN a Cisco® Meraki®?
- https://www.qnap.com/go/how-to/tutorial/con_show.php?cid=545"Jak skonfigurować sieć VPN między lokalizacjami (site-to-site) między urządzeniem QuWAN a UniFi®?
- https://www.qnap.com/go/how-to/tutorial/con_show.php?cid=545"Jak bezpiecznie przesyłać dane między siecią VPN IPSec między lokalizacjami (site-to-site) a siecią innej firmy przy użyciu sieci VPN opartej na trasach w QuWAN Orchestrator?
https://www.qnap.com/go/how-to/tutorial/con_show.php?cid=546"