Szczegóły
Niniejszy przewodnik szczegółowo opisuje kroki potrzebne do nawiązania połączenia site-to-site VPN między urządzeniem QuWAN a UniFi® Dream Machine (UDM) Pro. Mimo że ekosystem UniFi® oferuje różne urządzenia z funkcją site-to-site VPN, ten samouczek skupia się w celach demonstracyjnych konkretnie na UDM Pro.
Ważne
- Site-to-site VPN w QuWAN obsługuje wyłącznie IKEv2.
- Oba urządzenia (QuWAN i UniFi®) muszą używać tych samych ustawień konfiguracyjnych, aby VPN działał poprawnie.
- Twoje urządzenie QNAP musi zostać dodane do QuWAN Orchestrator przed skonfigurowaniem site-to-site VPN. Informacje na temat dodawania urządzenia znajdziesz w pomocy QuWAN i QuWAN Orchestrator: Konfiguracja | Pomoc QuWAN i QuWAN Orchestrator (qnap.com)
Wdrożenie site-to-site VPN wprowadza dodatkową złożoność do sieci. Przed włączeniem upewnij się, że rozumiesz implikacje związane z bezpieczeństwem.
Procedura
Konfiguracja site-to-site VPN na urządzeniu UniFi®
- Zaloguj się do interfejsu webowego UDM Pro.
- Przejdź do Settings > VPN > Site-to-Site VPN.
- Skonfiguruj ustawienia połączenia VPN.
Ustawienie Działanie użytkownika VPN Type Wybierz IPsec. Name Przypisz opisową nazwę, aby łatwo zidentyfikować to połączenie VPN (np. QuWAN Site-to-Site VPN). Pre-Shared Key Ustaw silny, unikalny klucz współdzielony. Local IP Wprowadź lokalny adres IP urządzenia UDM Pro. Remote IP/Host Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy, z którym chcesz się połączyć. VPN Type Wybierz Route Based, aby ustanowić połączenie VPN dla określonych podsieci. Remote Network(s) Określ podsieć (podsieci) zdalnej sieci, do której chcesz uzyskać dostęp, używając notacji CIDR (np. 192.168.150.0/24).
- Obok pozycji Advanced Configuration wybierz Manual.
- Jako wersję wymiany kluczy wybierz IPsec.
- Skonfiguruj ustawienia IKEv2 zgodnie z poniższym przykładem.WażneZdalne urządzenie musi przyjąć takie same ustawienia.
Ustawienie Działanie użytkownika Przykładowa wartość Encryption Wybierz algorytm IKE. AES-128 Hash Wybierz bezpieczną funkcję skrótu IKE. SHA256 DH Group Wybierz grupę Diffiego-Hellmana (DH). 14 IKE Lifetime Ustaw czas życia IKE SA. 28800 - Skonfiguruj ustawienia ESP zgodnie z poniższym przykładem.
Ustawienie Działanie użytkownika Przykładowa wartość Encryption Wybierz algorytm ESP. AES-128 Hash Wybierz bezpieczną funkcję skrótu ESP. SHA256 DH Group Wybierz grupę Diffiego-Hellmana (DH). 14 ESP Lifetime Ustaw czas życia ESP SA. 3600
- Kliknij Add.
UDM Pro zastosuje konfigurację.
Konfiguracja site-to-site VPN w QuWAN Orchestrator
- Zaloguj się do QuWAN Orchestrator przy użyciu poświadczeń QNAP ID.
- Wybierz swoją organizację.
- Przejdź do QuWAN Topology > Route-Based VPN.
- Kliknij Create New Connection.
Pojawi się okno Create New Connection. - Skonfiguruj ustawienia połączenia VPN opartego na trasie.
Ustawienie Opis Connection name Przypisz opisową nazwę (np. UniFi Site-to-Site VPN). IPsec mode Wybierz Tunnel Mode. Hub Wskaż odpowiedni hub dla tego połączenia. WAN interface Wprowadź żądany interfejs WAN. Remote IP or hostname Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy. Test Connection (opcjonalnie) Kliknij przycisk, aby wysłać ping do adresu IP/nazwy hosta i potwierdzić połączenie. Pre-shared key Ustaw silny klucz współdzielony, zapewniając identyczną konfigurację na zdalnej bramie. - Skonfiguruj zaawansowane ustawienia połączenia VPN opartego na trasie.
Ustawienie Działanie użytkownika Przykładowa wartość Internet Key Exchange (IKE) Version Wybierz IKEv2. - Authentication algorithm Wybierz solidny algorytm uwierzytelniania. AES-128 Encryption Wybierz silną metodę szyfrowania. AES-128 DH group Wybierz bezpieczną grupę DH. 14 Security Association (SA) lifetime Określ czas trwania asocjacji bezpieczeństwa (SA) IKE, aby zmniejszyć ryzyko kryptograficzne związane z ujawnieniem klucza. 480 Local ID (opcjonalnie) W przypadku, gdy do połączenia VPN opartego na trasie ma zostać wykorzystana usługa Dynamic DNS (DDNS), należy podać identyfikator lokalny. - Encapsulating Security Payload (ESP) Authentication algorithm Wybierz algorytm uwierzytelniania. SHA-256 Encryption Wybierz metodę szyfrowania. AES-128 Enable Perfect Forward Secrecy (PFS) Zaznacz pole, aby wygenerować nowy klucz DH. - DH Group Określ bezpieczną grupę DH. 14 Security Association (SA) lifetime Określ czas trwania SA. 60 minut Enable Dead Peer Detection (DPD) Zaznacz pole, aby identyfikować awarie urządzeń równorzędnych i reagować na nie. - DPD timeout Określ wartość limitu czasu DPD. 10 sekund - Zaznacz pole wyboru obok Enable NAT mode, aby zapewnić prawidłowe działanie połączenia VPN nawet w przypadku obecności urządzeń NAT w sieci.
- Podaj adres IP tunelu lokalnego, aby umożliwić NAT-traversal.
- W sekcji Site Subnets kliknij Add Subnet i zdefiniuj wewnętrzną podsieć zdalnej sieci, do której chcesz uzyskać dostęp.
- Kliknij Save.
Jeśli połączenie VPN oparte na trasie zostanie nawiązane pomyślnie, w polu Status zostanie wyświetlony status Connected.
Dalsza lektura
UniFi® Gateway — Site-to-Site IPsec VPN z bramami innych firm (zaawansowane)