FAQ Jak skonfigurować site-to-site VPN między urządzeniem QuWAN a AWS VPC?

[QNAP]

Produkty objęte zastosowaniem

Sprzęt

• QHora-301W
• QHora-321
• QHora-322
• QMiroPlus-201W
• QMiro-201W

Oprogramowanie

• QuWAN Orchestrator
• QuRouter 2.4.0 i nowsze
• Konto Amazon Web Services (AWS)

---

Szczegóły
Ten samouczek wyjaśnia, jak skonfigurować sieć VPN opartą na trasach między urządzeniem QuWAN SD-WAN a wirtualną chmurą prywatną (VPC) AWS. W sieci VPN opartej na trasach urządzenie QuWAN ustanawia tunel IPsec do wirtualnej bramy prywatnej AWS, a ruch jest kierowany między siecią lokalną a VPC AWS przy użyciu zdefiniowanych tabel tras. Tylko routery QNAP dodane do QuWAN Orchestrator mogą być używane do tej konfiguracji. QuWAN Orchestrator zarządza tunelem, obsługuje routing i utrzymuje łączność, podczas gdy AWS kieruje ruch przez wirtualną bramę prywatną, umożliwiając bezpieczną, ciągłą komunikację między siecią a zasobami chmury.

Kroki obejmują konfigurację komponentów VPC AWS, tworzenie i dołączanie bram VPN, pobieranie pliku konfiguracji VPN AWS i stosowanie odpowiednich ustawień w QuWAN Orchestrator.

Ważne

• QuWAN site-to-site VPN obsługuje tylko IKEv2.
• Oba urządzenia (urządzenie QuWAN i VPC AWS) muszą używać tych samych ustawień konfiguracji, aby sieć VPN działała prawidłowo.
• Urządzenie QNAP musi zostać dodane do QuWAN Orchestrator przed skonfigurowaniem sieci VPN site-to-site. Aby dodać urządzenie QNAP do QuWAN Orchestrator, zobacz rozdział Konfiguracja w Pomocy internetowej QuWAN i QuWAN Orchestrator.

OstrzeżenieWdrożenie sieci VPN site-to-site wprowadza dodatkową złożoność do sieci. Upewnij się, że rozumiesz konsekwencje bezpieczeństwa przed jej włączeniem.

---

Procedura
UwagaUstawienia i interfejsy AWS mogą zmieniać się w czasie. Aby uzyskać najbardziej aktualne informacje, zapoznaj się z dokumentacją AWS.
Utwórz sieć VPN typu site-to-site między routerem QNAP a wirtualną chmurą prywatną (VPC) AWS

A. Utwórz wirtualną chmurę prywatną

1. Zaloguj się do https://console.aws.amazon.com/vpc/.
   Pojawi się strona panelu VPC.
2. Kliknij Create VPC.
   Pojawi się strona Create VPC.
3. W sekcji VPC settings, wybierz VPC only.
   
   
4. Opcjonalnie: Określ znacznik nazwy dla VPC, na przykład: `QNAP-RouteBasedVPN`
5. W sekcji IPv4 CIDR block, wybierz IPv4 CIDR manual input.
6. Określ adres IPv4 w formacie CIDR (np. `10.20.10.0/24`).
7. W sekcji IPv6 CIDR block, wybierz No IPv6 CIDR block.
8. Opcjonalnie: Wybierz opcję dzierżawy.
   UwagaWybierz, czy instancje EC2 w tej VPC powinny używać serwerów współdzielonych (domyślnie) czy serwerów dedykowanych tylko dla Twojego konta.
9. Zdefiniuj jeden lub więcej tagów, aby pomóc zidentyfikować zasoby, i przypisz wartość do każdego tagu.
10. Opcjonalnie: Kliknij Preview code, aby zwizualizować relacje między skonfigurowanymi zasobami VPC.
11. Kliknij Create VPC.
    AWS tworzy VPC.
    
    

B. Utwórz podsieć

1. W panelu bocznym pulpitu nawigacyjnego VPC, przejdź do Virtual private cloud > Subnets.
2. Kliknij Create subnet.
   
   
   
   Pojawi się strona Create subnet.
3. Wybierz swoją VPC z menu rozwijanego.
4. Określ znacznik nazwy dla podsieci.
5. Opcjonalnie: Wybierz strefę dostępności z menu rozwijanego, lub pozostaw No Preference, aby AWS wybrał jedną.
6. Określ blok CIDR podsieci IPv4.
7. Opcjonalnie: Zdefiniuj jeden lub więcej tagów, aby pomóc zidentyfikować podsieć VPC, i przypisz wartość do każdego tagu.
8. Kliknij Create subnet.

C. Utwórz bramę internetową

1. W panelu bocznym pulpitu nawigacyjnego VPC, przejdź do Virtual private cloud > Internet gateways.
2. Kliknij Create internet gateway.
   
   
3. Opcjonalnie: Zdefiniuj jeden lub więcej tagów, aby pomóc zidentyfikować bramę internetową VPC, i przypisz wartość do każdego tagu.
4. Określ znacznik nazwy dla bramy internetowej.
5. Kliknij Create internet gateway.
   AWS tworzy bramę internetową.
6. Kliknij Actions, a następnie kliknij Attach to VPC.
   
   
   
   Pojawi się strona Attach to VPC.
7. Kliknij pasek wyszukiwania w sekcji Available VPCs, a następnie wybierz VPC QuWAN.
8. Kliknij Attach internet gateway.
   AWS dołącza skonfigurowaną bramę internetową do VPC QuWAN.

D. Dodaj bramę internetową do tabeli tras

1. W panelu bocznym pulpitu nawigacyjnego VPC, przejdź do Virtual private cloud > Route tables.
2. Zidentyfikuj tabelę tras powiązaną z VPC QuWAN.
3. Kliknij identyfikator tabeli tras.
   
   
   
   Pojawi się strona tabeli tras.
4. Kliknij Edit routes.
   Pojawi się strona Edit routes.
5. Kliknij Add route.
6. Wprowadź `0.0.0.0/0` jako miejsce docelowe.
7. Kliknij menu rozwijane w sekcji Target, i wybierz Internet Gateway.
   Pojawi się dodatkowe pole w sekcji Internet Gateway.
8. Wybierz wcześniej skonfigurowaną bramę internetową z menu rozwijanego.
   
   
9. Kliknij Save changes.
   AWS aktualizuje tabelę tras.

E. Skonfiguruj grupy zabezpieczeń dla VPC

1. Na panelu bocznym pulpitu nawigacyjnego VPC przejdź do Security > Security groups.
   
   
2. Zidentyfikuj grupę zabezpieczeń powiązaną z Twoim VPC.
3. Kliknij grupę zabezpieczeń.
   Pojawi się strona grupy zabezpieczeń.
4. Kliknij Edit inbound rules.
   
   
   
   Pojawi się strona Edit inbound rules.
5. Kliknij Add rule.
6. W obszarze Type wybierz All traffic.
7. W obszarze Source wybierz Anywhere-IPv4.
8. Kliknij Save rules.
   AWS dodaje grupę zabezpieczeń do QuWAN VPC.

F. Skonfiguruj ustawienia wirtualnej sieci prywatnej (VPN)

1. Na panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Virtual private gateways.
2. Kliknij Create virtual private gateway.
   
   
3. Określ znacznik nazwy dla VPN.
4. W obszarze Autonomous System Number (ASN) wybierz Amazon default ASN.UwagaNumer ASN (Autonomous System Number) identyfikuje AWS w połączeniu VPN. Wartość domyślna to 64512, ale można ją zmienić, jeśli koliduje z Twoją siecią.
5. Opcjonalnie: Zdefiniuj jeden lub więcej znaczników, aby pomóc w identyfikacji podsieci VPC, i przypisz wartość do każdego znacznika.
6. Kliknij Create virtual private gateway.
   AWS tworzy wirtualną bramę prywatną.
7. Na stronie Virtual private gateways wybierz skonfigurowaną wirtualną bramę prywatną.
8. Kliknij Actions, a następnie kliknij Attach to VPC.
   
   
   
   Pojawi się strona Attach to VPC.
9. Kliknij pasek wyszukiwania w obszarze Available VPCs, a następnie wybierz QuWAN VPC.
10. Kliknij Attach to VPC.
    AWS dołącza skonfigurowaną wirtualną bramę prywatną do QuWAN VPC.

G. Zidentyfikuj adres IP LAN i WAN routera QNAP

1. Zaloguj się do QuRouter.
2. Przejdź do strony ustawień WAN:
   • Dla routerów QHora: Network > Physical Network Settings > WAN
   • Dla routerów QMiro: Network > WAN and LAN > WAN
3. Zidentyfikuj aktywny interfejs WAN.
4. Skopiuj adres IP podany dla interfejsu WAN.
5. Przejdź do strony ustawień LAN:
   • Dla routerów QHora: Network > Physical Network Settings > LAN
   • Dla routerów QMiro: Network > WAN and LAN > LAN
6. Zidentyfikuj aktywny interfejs LAN.
7. Skopiuj adres IP podany dla interfejsu LAN.

H. Dodaj wirtualną bramę prywatną do tabeli trasowania

1. Na panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private cloud > Route tables.
2. Zidentyfikuj tabelę trasowania powiązaną z QuWAN VPC.
3. Kliknij identyfikator tabeli trasowania.
   Pojawi się strona tabeli trasowania.
4. Kliknij Edit routes.
   Pojawi się strona Edit routes.
   
   
5. Kliknij Add route.
6. Wprowadź skopiowany adres IP interfejsu LAN QuRouter z jego podsiecią w notacji CIDR jako miejsce docelowe.
7. Kliknij menu rozwijane w obszarze Target i wybierz Virtual Private Gateway.
   Pojawi się dodatkowe pole w obszarze Internet Gateway.
8. Wybierz wcześniej skonfigurowaną wirtualną bramę prywatną z menu rozwijanego.
9. Kliknij Save changes.
   AWS aktualizuje tabelę trasowania.

I. Utwórz bramę klienta dla VPC

1. Na panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Customer gateways.
2. Kliknij Create customer gateway.
   
   
3. Określ znacznik nazwy dla bramy klienta.
4. Wprowadź skopiowany adres IP interfejsu WAN QuRouter w polu adresu IP.
5. Opcjonalnie: Kliknij Add new tag, aby zdefiniować jeden lub więcej znaczników, które pomogą zidentyfikować bramę klienta, i przypisz wartość do każdego znacznika.
6. Kliknij Create customer gateway.

J. Utwórz połączenie VPN typu site-to-site

1. Na panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Site-to-site VPN connections.
2. Kliknij Create VPN connection.
   
   
3. Określ znacznik nazwy dla połączenia VPN.
4. W obszarze Target gateway type wybierz Virtual private gateway.
5. Wybierz wstępnie skonfigurowaną wirtualną bramę prywatną z menu rozwijanego.
6. W obszarze Customer gateway wybierz Existing.
7. Wybierz wstępnie skonfigurowaną bramę klienta z menu rozwijanego.
8. W obszarze Routing options wybierz Static.
9. Wprowadź adres IP interfejsu LAN QuRouter z jego podsiecią w notacji CIDR w polu `Add static IP prefix`.
10. Opcjonalnie: Skonfiguruj pola pre-shared key storage, local IPv4 network CIDR, remote IPv4 network CIDR.
11. Opcjonalnie: Skonfiguruj ustawienia tunelu podstawowego i pomocniczego.
12. Opcjonalnie: Kliknij Add new tag, aby zdefiniować jeden lub więcej znaczników, które pomogą zidentyfikować bramę klienta, i przypisz wartość do każdego znacznika.
    UwagaAWS tworzy połączenie VPN typu Site-to-Site z routerem QNAP. Na stronie VPN Connections sprawdź, czy status połączenia zmienił się na `Available`.

K. Pobierz plik konfiguracji VPN typu site-to-site

1. W panelu bocznym pulpitu nawigacyjnego VPC przejdź do Virtual private network (VPN) > Site-to-site VPN connections.
2. Zidentyfikuj połączenie VPN typu site-to-site utworzone w poprzednim kroku.
3. Wybierz połączenie VPN.
   
   
4. Kliknij Download configuration.
   Pojawi się okno Download configuration.
5. W sekcji Vendor wybierz Strongswan.
6. W sekcji IKE version wybierz ikev2.
   
   
7. Kliknij Download.
   Plik konfiguracji zostanie pobrany w formacie TXT.
8. Kliknij X w oknie Download configuration.

Uruchom instancję EC2 (Elastic Cloud Compute) w AWS

1. Przejdź do https://console.aws.amazon.com/ec2/.
2. W panelu bocznym przejdź do Instances > Instances.
3. Znajdź sekcję Launch instances.
4. Kliknij Launch instance.
   Pojawi się strona Launch an instance.
5. Określ tag nazwy dla instancji.
6. W sekcji Application and OS Images (Amazon Machine Image) kliknij Ubuntu.
   
   
7. W sekcji Key pair (login) kliknij Create new key pair.
   Pojawi się okno Create key pair.
   
   
8. Określ nazwę dla pary kluczy.
9. W sekcji Key pair type wybierz RSA.
10. W sekcji Private key file format wybierz .pem.
11. Kliknij Create key pair.
    AWS pobiera plik konfiguracji pary kluczy w wybranym formacie.
12. Wybierz uprzednio skonfigurowaną parę kluczy z menu rozwijanego w sekcji Key pair (login).
13. Kliknij Edit w sekcji Network settings.
14. W sekcji VPC - required wybierz wstępnie skonfigurowaną VPC.
15. W sekcji Auto-assign public IP wybierz Enable.
16. W sekcji Firewall (security groups) wybierz Select existing security group.
    
    
17. W sekcji Common security groups wybierz uprzednio skonfigurowaną grupę zabezpieczeń.
18. Opcjonalnie: Skonfiguruj pamięć masową i ustawienia zaawansowane.
19. Kliknij Launch instance.
    AWS uruchamia instancję EC2.

Skonfiguruj ustawienia VPN typu site-to-site w QuWAN Orchestrator

---

Dalsze informacje

• Dokumentacja AWS
• Pomoc internetowa QuWAN i QuWAN Orchestrator
• Pomoc internetowa QuRouter dla routerów QHora
• Pomoc internetowa QuRouter dla routerów QMiro