FAQ Jak skonfigurować VPN typu site-to-site pomiędzy QuWAN a urządzeniem UniFi®?

[QNAP]

Produkty, których dotyczy

• QuWAN Orchestrator
• QuRouter 2.4.0 i nowsze wersje
• Urządzenie UniFi®

Szczegóły
Ten przewodnik szczegółowo opisuje kroki do nawiązania połączenia VPN typu site-to-site między urządzeniem QuWAN a UniFi® Dream Machine (UDM) Pro. Podczas gdy ekosystem UniFi® oferuje różne urządzenia z funkcjonalnością VPN typu site-to-site, ten samouczek skupi się konkretnie na UDM Pro w celach demonstracyjnych.

Ważne

• QuWAN site-to-site VPN obsługuje tylko IKEv2.
• Oba urządzenia (urządzenia QuWAN i UniFi®) muszą używać tych samych ustawień konfiguracyjnych, aby sieć VPN działała poprawnie.
• Twoje urządzenie QNAP musi zostać dodane do QuWAN Orchestrator przed skonfigurowaniem sieci VPN typu site-to-site. Zapoznaj się z Pomocą QuWAN i QuWAN Orchestrator, aby dodać swoje urządzenie: Configuration | QuWAN and QuWAN Orchestrator Help (qnap.com)

OstrzeżenieWdrożenie sieci VPN typu site-to-site wprowadza dodatkową złożoność do Twojej sieci. Upewnij się, że rozumiesz konsekwencje bezpieczeństwa przed jej włączeniem.

Procedura

Konfiguracja sieci VPN typu site-to-site na urządzeniu UniFi®

1. Zaloguj się do interfejsu internetowego UDM Pro.
2. Przejdź do Settings > VPN > Site-to-Site VPN.
3. Skonfiguruj ustawienia połączenia VPN.
   Ustawienie | Działanie użytkownika
   VPN Type | Wybierz IPsec.
   Name | Przypisz opisową nazwę, aby łatwo zidentyfikować to połączenie VPN (np. QuWAN Site-to-Site VPN).
   Pre-Shared Key | Ustanów silny, unikalny klucz wstępny (pre-shared key).
   Local IP | Wprowadź lokalny adres IP urządzenia UDM Pro.
   Remote IP/Host | Określ publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy, z którym chcesz się połączyć.
   VPN Type | Wybierz Route Based, aby nawiązać połączenie VPN dla określonych podsieci sieciowych.
   Remote Network(s) | Zdefiniuj podsieć(sieci) zdalnej sieci, do której chcesz uzyskać dostęp, używając notacji CIDR (np. 192.168.150.0/24).
   
   
   
4. Obok Advanced Configuration, wybierz Manual.
5. Wybierz IPsec jako wersję wymiany kluczy.
6. Skonfiguruj ustawienia IKEv2 na podstawie poniższego przykładu.WażneZdalne urządzenie musi przyjąć te same ustawienia.
   Ustawienie | Działanie użytkownika | Przykładowa wartość
   Encryption | Wybierz algorytm IKE. | AES-128
   Hash | Wybierz bezpieczną funkcję skrótu IKE. | SHA256
   DH Group | Wybierz grupę Diffie-Hellmana (DH). | 14
   IKE Lifetime | Ustaw czas życia IKE SA. | 28800
7. Skonfiguruj ustawienia ESP na podstawie poniższego przykładu.
   Ustawienie | Działanie użytkownika | Przykładowa wartość
   Encryption | Wybierz algorytm ESP. | AES-128
   Hash | Wybierz bezpieczną funkcję skrótu ESP. | SHA256
   DH Group | Wybierz grupę Diffie-Hellmana (DH). | 14
   ESP Lifetime | Ustaw czas życia ESP SA. | 3600
   
   
   
8. Kliknij Add.
   UDM Pro stosuje konfigurację.

Konfiguracja sieci VPN typu site-to-site w QuWAN Orchestrator

1. Zaloguj się do QuWAN Orchestrator używając poświadczeń QNAP ID.
2. Wybierz swoją organizację.
3. Przejdź do QuWAN Topology > Route-Based VPN.
4. Kliknij Create New Connection.
   Pojawi się okno Create New Connection.
5. Skonfiguruj ustawienia połączenia VPN opartego na trasach.
   Ustawienie | Opis
   Connection name | Przypisz opisową nazwę (np. UniFi Site-to-Site VPN).
   IPsec mode | Wybierz Tunnel Mode.
   Hub | Wskaż odpowiedni hub dla połączenia.
   WAN interface | Wprowadź żądany interfejs WAN.
   Remote IP or hostname | Określ publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy.
   Test Connection (Optional) | Kliknij przycisk, aby wysłać ping do adresu IP/nazwy hosta w celu potwierdzenia połączenia.
   Pre-shared key | Ustanów silny klucz wstępny (pre-shared key), zapewniając identyczną konfigurację na zdalnej bramie.
6. Skonfiguruj zaawansowane ustawienia połączenia VPN opartego na trasach.
   Ustawienie | Działanie użytkownika | Przykładowa wartość
   Internet Key Exchange (IKE)
   Version | Wybierz IKEv2. | -
   Authentication algorithm | Wybierz solidny algorytm uwierzytelniania. | AES-128
   Encryption | Wybierz silną metodę szyfrowania. | AES-128
   DH group | Wybierz bezpieczną grupę DH. | 14
   Security Association (SA) lifetime | Zdefiniuj czas trwania IKE Security Association (SA), aby zmniejszyć ryzyko kryptograficzne związane z ujawnieniem klucza. | 480
   Local ID (Optional) | W przypadku, gdy usługa Dynamic DNS (DDNS) ma być używana do połączenia VPN opartego na trasach, należy podać lokalny identyfikator. | -
   Encapsulating Security Payload (ESP)
   Authentication algorithm | Wybierz algorytm uwierzytelniania. | SHA-256
   Encryption | Wybierz metodę szyfrowania. | AES-128
   Enable Perfect Forward Secrecy (PFS) | Zaznacz pole, aby wygenerować nowy klucz DH. | -
   DH Group | Określ bezpieczną grupę DH. | 14
   Security Association (SA) lifetime | Zdefiniuj czas trwania SA. | 60 minutes
   Enable Dead Peer Detection (DPD) | Zaznacz pole, aby identyfikować i reagować na awarie urządzeń partnerskich. | -
   DPD timeout | Określ wartość limitu czasu DPD. | 10 seconds
7. Zaznacz pole wyboru obok Enable NAT mode, aby zapewnić prawidłowe działanie połączenia VPN nawet wtedy, gdy w sieci obecne są urządzenia NAT.
8. Określ lokalny adres IP tunelu, aby ułatwić NAT-traversal.
9. W sekcji Site Subnets, kliknij Add Subnet i zdefiniuj wewnętrzną podsieć zdalnej sieci, do której chcesz uzyskać dostęp.
10. Kliknij Save.

Jeśli połączenie VPN oparte na trasach zakończy się sukcesem, pole Status wyświetla status Connected.

Dalsza lektura
UniFi® Gateway - Site-to-Site IPsec VPN with Third-Party Gateways (Zaawansowane)