Wiedza Jak skonfigurować sieć VPN typu site-to-site między urządzeniem QuWAN a usługą AWS VPC?

Sprzęt​

• QHora-301W
• QHora-321
• QHora-322
• QMiroPlus-201W
• QMiro-201W

Oprogramowanie​

• QuWAN Orchestrator
• QuRouter 2.4.0 i nowsze
• Konto Amazon Web Services (AWS)

---

Szczegóły​

Ten samouczek wyjaśnia, jak skonfigurować sieć VPN opartą na trasach między urządzeniem QuWAN SD-WAN a wirtualną chmurą prywatną (VPC) AWS. W sieci VPN opartej na trasach urządzenie QuWAN ustanawia tunel IPsec do wirtualnej bramy prywatnej AWS, a ruch jest kierowany między siecią lokalną a AWS VPC przy użyciu zdefiniowanych tabel tras. Do tej konfiguracji mogą być używane tylko routery QNAP dodane do QuWAN Orchestrator. QuWAN Orchestrator zarządza tunelem, obsługuje routing i utrzymuje łączność, podczas gdy AWS kieruje ruch przez wirtualną bramę prywatną, umożliwiając bezpieczną, ciągłą komunikację między siecią użytkownika a zasobami chmurowymi.

Kroki obejmują konfigurację komponentów AWS VPC, tworzenie i dołączanie bram VPN, pobieranie pliku konfiguracyjnego AWS VPN oraz stosowanie odpowiednich ustawień w QuWAN Orchestrator.
Ważne

• Sieć VPN typu site-to-site QuWAN obsługuje wyłącznie protokół IKEv2.
• Oba urządzenia (urządzenie QuWAN i AWS VPC) muszą używać tych samych ustawień konfiguracyjnych, aby sieć VPN działała poprawnie.
• Urządzenie QNAP musi zostać dodane do QuWAN Orchestrator przed skonfigurowaniem sieci VPN typu site-to-site. Aby dodać urządzenie QNAP do QuWAN Orchestrator, zapoznaj się z rozdziałem Konfiguracja w pomocy internetowej QuWAN i QuWAN Orchestrator.

Ostrzeżenie
Wdrożenie sieci VPN typu site-to-site zwiększa złożoność sieci. Przed jej włączeniem upewnij się, że rozumiesz implikacje dotyczące bezpieczeństwa.

---

Procedura​

uwaga
Ustawienia i interfejsy AWS mogą zmieniać się z czasem. Aby uzyskać najbardziej aktualne informacje, zapoznaj się z dokumentacją AWS.

Spoiler: Utwórz połączenie VPN typu site-to-site między routerem QNAP a wirtualną chmurą prywatną (VPC) AWS

Spoiler: A. Utwórz wirtualną chmurę prywatną

1. Zaloguj się do https://console.aws.amazon.com/vpc/.
   Zostanie wyświetlona strona pulpitu nawigacyjnego VPC.
2. Kliknij Create VPC.
   Zostanie wyświetlona strona Create VPC.
3. W sekcji VPC settings wybierz VPC only.
   
   
4. Opcjonalnie: Podaj tag nazwy dla VPC, na przykład: QNAP-RouteBasedVPN
5. W sekcji IPv4 CIDR block wybierz IPv4 CIDR manual input.
6. Podaj adres IPv4 w formacie CIDR (np. 10.20.10.0/24).
7. W sekcji IPv6 CIDR block wybierz No IPv6 CIDR block.
8. Opcjonalnie: Wybierz opcję dzierżawy.
   UwagaWybierz, czy instancje EC2 w tej VPC mają korzystać ze wspólnych serwerów (domyślnie), czy z serwerów dedykowanych wyłącznie dla Twojego konta.
9. Zdefiniuj jeden lub więcej tagów, aby ułatwić identyfikację zasobów, i przypisz wartość do każdego tagu.
10. Opcjonalnie: Kliknij Preview code, aby zwizualizować relacje między skonfigurowanymi zasobami VPC.
11. Kliknij Create VPC.
    AWS tworzy VPC.
    
    

Spoiler: B. Utwórz podsieć

1. Na bocznym panelu pulpitu nawigacyjnego VPC przejdź do Virtual private cloud > Subnets.
2. Kliknij Create subnet.
   
   
   
   Zostanie wyświetlona strona Create subnet.
3. Wybierz swoją VPC z menu rozwijanego.
4. Podaj tag nazwy dla podsieci.
5. Opcjonalnie: Wybierz strefę dostępności z menu rozwijanego lub pozostaw No Preference, aby AWS wybrało ją automatycznie.
6. Podaj blok CIDR podsieci IPv4.
7. Opcjonalnie: Zdefiniuj jeden lub więcej tagów, aby ułatwić identyfikację podsieci VPC, i przypisz wartość do każdego tagu.
8. Kliknij Create subnet.

Spoiler: C. Utwórz bramę internetową

1. Na bocznym panelu pulpitu nawigacyjnego VPC przejdź do Virtual private cloud > Internet gateways.
2. Kliknij Create internet gateway.
   
   
3. Opcjonalnie: Zdefiniuj jeden lub więcej tagów, aby ułatwić identyfikację bramy internetowej VPC, i przypisz wartość do każdego tagu.
4. Podaj tag nazwy dla bramy internetowej.
5. Kliknij Create internet gateway.
   AWS tworzy bramę internetową.
6. Kliknij Actions, a następnie kliknij Attach to VPC.
   
   
   
   Zostanie wyświetlona strona Attach to VPC.
7. Kliknij pasek wyszukiwania w sekcji Available VPCs, a następnie wybierz VPC QuWAN.
8. Kliknij Attach internet gateway.
   AWS dołącza skonfigurowaną bramę internetową do VPC QuWAN.

Spoiler: D. Dodaj bramę internetową do tabeli tras

1. Na bocznym panelu pulpitu nawigacyjnego VPC przejdź do Virtual private cloud > Route tables.
2. Zidentyfikuj tabelę tras powiązaną z VPC QuWAN.
3. Kliknij identyfikator tabeli tras.
   
   
   
   Zostanie wyświetlona strona tabeli tras.
4. Kliknij Edit routes.
   Zostanie wyświetlona strona Edit routes.
5. Kliknij Add route.
6. Wprowadź 0.0.0.0/0 jako miejsce docelowe.
7. Kliknij menu rozwijane w sekcji Target i wybierz Internet Gateway.
   Pod sekcją Internet Gateway pojawi się dodatkowe pole.
8. Wybierz wcześniej skonfigurowaną bramę internetową z menu rozwijanego.
   
   
9. Kliknij Save changes.
   AWS aktualizuje tabelę tras.

Spoiler: E. Skonfiguruj grupy zabezpieczeń dla VPC

1. Na bocznym panelu pulpitu nawigacyjnego VPC przejdź do Security > Security groups.
   
   
2. Zidentyfikuj grupę zabezpieczeń powiązaną z Twoją VPC.
3. Kliknij grupę zabezpieczeń.
   Zostanie wyświetlona strona grupy zabezpieczeń.
4. Kliknij Edit inbound rules.
   
   
   
   Zostanie wyświetlona strona Edit inbound rules.
5. Kliknij Add rule.
6. W sekcji Type wybierz All traffic.
7. W sekcji Source wybierz Anywhere-IPv4.
8. Kliknij Save rules.
   AWS dodaje grupę zabezpieczeń do VPC QuWAN.

Spoiler: F. Konfigurowanie ustawień wirtualnej sieci prywatnej (VPN)

1. W panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Virtual private gateways.
2. Kliknij Create virtual private gateway.
   
   
3. Podaj tag nazwy dla sieci VPN.
4. W sekcji Autonomous System Number (ASN) wybierz Amazon default ASN.
   
   uwaga
   Numer ASN (Autonomous System Number) identyfikuje AWS w połączeniu VPN. Wartość domyślna wynosi 64512, ale można ją zmienić w przypadku konfliktu z siecią.
   
5. Opcjonalnie: zdefiniuj jeden lub więcej tagów ułatwiających identyfikację podsieci VPC i przypisz wartość do każdego tagu.
6. Kliknij Create virtual private gateway.
   AWS tworzy wirtualną bramę prywatną.
7. Na stronie Virtual private gateways wybierz skonfigurowaną wirtualną bramę prywatną.
8. Kliknij Actions, a następnie kliknij Attach to VPC.
   
   
   
   Zostanie wyświetlona strona Attach to VPC.
9. Kliknij pasek wyszukiwania w sekcji Available VPCs, a następnie wybierz VPC sieci QuWAN.
10. Kliknij Attach to VPC.
    AWS dołącza skonfigurowaną wirtualną bramę prywatną do VPC sieci QuWAN.

Spoiler: G. Identyfikowanie adresów IP sieci LAN i WAN routera QNAP

1. Zaloguj się do QuRouter.
2. Przejdź do strony ustawień WAN:
   • Dla routerów QHora: Network > Physical Network Settings > WAN
   • Dla routerów QMiro: Network > WAN and LAN > WAN
3. Zidentyfikuj aktywny interfejs WAN.
4. Skopiuj adres IP przypisany do interfejsu WAN.
5. Przejdź do strony ustawień LAN:
   • Dla routerów QHora: Network > Physical Network Settings > LAN
   • Dla routerów QMiro: Network > WAN and LAN > LAN
6. Zidentyfikuj aktywny interfejs LAN.
7. Skopiuj adres IP przypisany do interfejsu LAN.

Spoiler: H. Dodawanie wirtualnej bramy prywatnej do tabeli routingu

1. W panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private cloud > Route tables.
2. Zidentyfikuj tabelę routingu powiązaną z VPC sieci QuWAN.
3. Kliknij identyfikator tabeli routingu.
   Zostanie wyświetlona strona tabeli routingu.
4. Kliknij Edit routes.
   Zostanie wyświetlona strona Edit routes.
   
   
5. Kliknij Add route.
6. Wprowadź skopiowany adres IP interfejsu LAN routera QuRouter wraz z jego podsiecią w notacji CIDR jako miejsce docelowe.
7. Kliknij menu rozwijane w sekcji Target i wybierz Virtual Private Gateway.
   Pod sekcją Internet Gateway zostanie wyświetlone dodatkowe pole.
8. Wybierz z menu rozwijanego wcześniej skonfigurowaną wirtualną bramę prywatną.
9. Kliknij Save changes.
   AWS aktualizuje tabelę routingu.

Spoiler: I. Tworzenie bramy klienta dla VPC

1. W panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Customer gateways.
2. Kliknij Create customer gateway.
   
   
3. Podaj tag nazwy dla bramy klienta.
4. Wprowadź skopiowany adres IP interfejsu WAN routera QuRouter w polu adresu IP.
5. Opcjonalnie: kliknij Add new tag, aby zdefiniować jeden lub więcej tagów ułatwiających identyfikację bramy klienta, i przypisz wartość do każdego tagu.
6. Kliknij Create customer gateway.

Spoiler: J. Tworzenie połączenia VPN między lokacjami

1. W panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Site-to-site VPN connections.
2. Kliknij Create VPN connection.
   
   
3. Podaj tag nazwy dla połączenia VPN.
4. W sekcji Target gateway type wybierz Virtual private gateway.
5. Wybierz wcześniej skonfigurowaną wirtualną bramę prywatną z menu rozwijanego.
6. W sekcji Customer gateway wybierz Existing.
7. Wybierz wcześniej skonfigurowaną bramę klienta z menu rozwijanego.
8. W sekcji Routing options wybierz Static.
9. Wprowadź adres IP interfejsu LAN routera QuRouter wraz z jego podsiecią w notacji CIDR w polu Add static IP prefix.
10. Opcjonalnie: skonfiguruj pola przechowywania klucza wstępnego, lokalnego CIDR sieci IPv4 i zdalnego CIDR sieci IPv4.
11. Opcjonalnie: skonfiguruj ustawienia tunelu podstawowego i zapasowego.
12. Opcjonalnie: kliknij Add new tag, aby zdefiniować jeden lub więcej tagów ułatwiających identyfikację bramy klienta, i przypisz wartość do każdego tagu.
    
    
    uwaga
    AWS tworzy połączenie VPN między lokacjami z routerem QNAP. Na stronie VPN Connections sprawdź, czy status połączenia zmienił się na Available.
    

Spoiler: K. Pobieranie pliku konfiguracji sieci VPN między lokacjami

1. W panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Site-to-site VPN connections.
2. Zidentyfikuj połączenie VPN między lokacjami utworzone w poprzednim kroku.
3. Wybierz połączenie VPN.
   
   
4. Kliknij Download configuration.
   Zostanie wyświetlone okno Download configuration.
5. W sekcji Vendor wybierz Strongswan.
6. W sekcji IKE version wybierz ikev2.
   
   
7. Kliknij Download.
   Plik konfiguracji zostanie pobrany w formacie TXT.
8. Kliknij X w oknie Download configuration.

Spoiler: Uruchamianie instancji EC2 (Elastic Cloud Compute) w AWS

1. Przejdź do https://console.aws.amazon.com/ec2/.
2. W panelu bocznym przejdź do Instances > Instances.
3. Znajdź sekcję Launch instances.
4. Kliknij Launch instance.
   Zostanie wyświetlona strona Launch an instance.
5. Podaj tag nazwy dla instancji.
6. W sekcji Application and OS Images (Amazon Machine Image) kliknij Ubuntu.
   
   
7. W sekcji Key pair (login) kliknij Create new key pair.
   Zostanie wyświetlone okno Create key pair.
   
   
8. Podaj nazwę dla pary kluczy.
9. W sekcji Key pair type wybierz RSA.
10. W sekcji Private key file format wybierz .pem.
11. Kliknij Create key pair.
    AWS pobiera plik konfiguracji pary kluczy w wybranym formacie.
12. Wybierz wcześniej skonfigurowaną parę kluczy z menu rozwijanego w sekcji Key pair (login).
13. Kliknij Edit w sekcji Network settings.
14. W sekcji VPC - required wybierz wcześniej skonfigurowane VPC.
15. W sekcji Auto-assign public IP wybierz Enable.
16. W sekcji Firewall (security groups) wybierz Select existing security group.
    
    
17. W sekcji Common security groups wybierz wcześniej skonfigurowaną grupę zabezpieczeń.
18. Opcjonalnie: skonfiguruj ustawienia pamięci masowej i ustawienia zaawansowane.
19. Kliknij Launch instance.
    AWS uruchamia instancję EC2.

Spoiler: Konfigurowanie ustawień sieci VPN między lokalizacjami w QuWAN Orchestrator

1. 1. Zaloguj się do QuWAN Orchestrator przy użyciu poświadczeń QNAP ID.
   2. Wybierz swoją organizację.
   3. Przejdź do QuWAN Topology > Route-Based VPN.
   4. Kliknij Create New Connection.
      Pojawi się okno Create New Connection.
   5. Skonfiguruj ustawienia połączenia VPN opartego na trasach.
      
      
      
      
      

      Ustawienie	Opis
      Nazwa połączenia	Przypisz opisową nazwę (np. AWS Site-to-Site VPN).
      Tryb IPsec	Wybierz Tunnel Mode.
      Urządzenie	Wyznacz odpowiedni hub dla połączenia.
      Interfejs WAN	Wprowadź żądany interfejs WAN.
      Zdalny adres IP lub ID	Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy.
      Test połączenia (opcjonalnie)	Kliknij, aby wykonać polecenie ping do urządzenia w celu potwierdzenia połączenia.
      Klucz wstępny	Ustaw silny klucz wstępny, zapewniając identyczną konfigurację na zdalnej bramie.

   6. Kliknij Advanced Settings , aby skonfigurować zaawansowane ustawienia połączenia VPN opartego na trasach.
      

      Ustawienie	Działanie użytkownika	Przykładowa wartość
      Internet Key Exchange (IKE)
      Wersja	Wybierz IKEv2.	-
      Algorytm uwierzytelniania	Wybierz niezawodny algorytm uwierzytelniania.	AES-128
      Szyfrowanie	Wybierz silną metodę szyfrowania.	AES-128
      Grupa DH	Wybierz rozmiar grupy DH, aby określić siłę klucza używanego podczas wymiany Diffie-Hellmana.	14
      Czas życia skojarzenia zabezpieczeń (SA)	Zdefiniuj czas trwania skojarzenia zabezpieczeń (SA) IKE, aby zmniejszyć ryzyko kryptograficzne związane z ujawnieniem klucza.	480
      Lokalny identyfikator (opcjonalnie)	Wprowadź lokalny identyfikator, jeśli korzystasz z usługi Dynamic DNS (DDNS) dla połączenia VPN opartego na trasach.	-
      Encapsulating Security Payload (ESP)
      Algorytm uwierzytelniania	Wybierz algorytm uwierzytelniania.	SHA-256
      Szyfrowanie	Wybierz metodę szyfrowania.	AES-128
      Włącz Perfect Forward Secrecy (PFS)	Włącz, aby generować nowy klucz Diffie-Hellmana (DH) dla każdej sesji, zapewniając większe bezpieczeństwo.	-
      Grupa DH	Wybierz rozmiar grupy DH, aby zdefiniować siłę klucza dla połączenia VPN.	14
      Czas życia skojarzenia zabezpieczeń (SA)	Zdefiniuj czas trwania SA, aby określić, jak długo skojarzenie zabezpieczeń pozostaje ważne przed ponownym generowaniem klucza.	60 minut
      Włącz Dead Peer Detection (DPD)	Włącz, aby wykrywać awarie urządzeń równorzędnych i reagować na nie.	-
      Limit czasu DPD	Ustaw limit czasu DPD, aby określić, jak długo urządzenie czeka przed uznaniem węzła równorzędnego za nieodpowiadający.	10 sekund

   7. Wybierz ustawienie lokalizacji, aby określić sposób ustalania pozycji urządzenia:
      • Lokalizuj według adresu IP: Automatycznie wykrywa lokalizację na podstawie adresu IP urządzenia.
      • Aktualizuj według współrzędnych GPS: Wymaga od użytkownika ręcznego podania wartości szerokości i długości geograficznej.
   8. Włącz Enable NAT mode, aby zapewnić prawidłowe działanie połączenia VPN nawet w przypadku obecności urządzeń NAT w sieci.
   9. Podaj lokalny adres IP tunelu w celu ułatwienia przechodzenia przez NAT.
   10. W sekcji Destination Configuration kliknij Add Subnet.
   11. Podaj wewnętrzną podsieć zdalnej sieci, do której chcesz uzyskać dostęp.
   12. Kliknij
       
       
       
       .
   13. Kliknij Create.
       
       uwaga
       Jeśli połączenie VPN oparte na trasach zostanie nawiązane pomyślnie, w polu Status wyświetlony zostanie stan Connected.
       
       

       

       
       

---

Dodatkowe zasoby​

• Dokumentacja AWS
• Pomoc online QuWAN i QuWAN Orchestrator
• Pomoc online QuRouter dla routerów QHora
• Pomoc online QuRouter dla routerów QMiro