Applicable Products
- QuWAN Orchestrator
- QuRouter 2.4.4 and later versions
Details
To utilize QuWAN services, configure the necessary service ports on the third-party firewall device.
The network topology depicted in the image illustrates a hub-and-edge SD-WAN deployment leveraging QNAP's QuWAN infrastructure. The key components and their roles are as follows:
QuRouter (QNAP router): Positioned at the network perimeter, this device connects to a third-party firewall device and functions as either a hub for internal traffic or an edge device for external connectivity, depending on the deployment. Third-party firewall: Situated behind the QNAP router, this firewall enforces security policies, regulates network traffic, and manages access control.
Best Practices
To ensure seamless connectivity to QuWAN Orchestrator, configure the following firewall rules on all routers in your network topology before accessing Orchestrator from a client device (such as a browser). These settings enable secure VPN communication, proper traffic routing, and uninterrupted access to QuWAN services.
1. Configure Firewall Rules for QuWAN Orchestrator
- Source: Any
- Protocol: TCP
- Destination ports: 8883 (MQTT), 443 (HTTPS)
2. Configure Firewall Rules for QuWAN QBelt VPN Server
| Traffic Type | Source | Protocol | Source Ports | Destination | Destination Ports | Action |
|---|
| Outbound | Click Define to specify the source connection | UDP | 5533 (QuWAN QBelt VPN Server) | Any | - | Allow |
| Inbound | Click Define to specify the remote device details | UDP | Any | - | 5533 (QuWAN QBelt VPN Server) | Allow |
To add a new firewall rule in QuWAN Orchestrator, see the "Adding a device firewall rule" topic in the QuWAN and QuWAN Orchestrator Web Help.
Note
The default port for QuWAN QBelt VPN is 5533, but it can be changed. To check the router service ports in QuWAN Orchestrator, select your organization and device, and then go to Service Management.
3. Configure Firewall Rules for Mesh VPN Site-to-Site Traffic
When using QuRouter in a mesh VPN setup, you must configure firewall rules on a third-party firewall device to allow site-to-site VPN traffic. These rules ensure that IPSec communication between the hub and edge sites is not blocked, enabling secure VPN tunnel establishment.
On the third-party firewall device, allow inbound and outbound UDP traffic on the following ports:
- 500 (ISAKMP/IKE): Used for key exchange in IPSec VPN connections.
- 4500 (IPSec NAT Traversal): Used when VPN traffic traverses NAT devices.
- 61001-61999 (Dynamic high ports for IPSec NAT Traversal): Required for certain IPSec configurations.
Configure the firewall rules as follows:
- Inbound traffic: Allow VPN packets from remote sites to reach the firewall.
- Outbound traffic: Permit VPN packets to be sent to remote sites without interference.
Properly configuring these rules on the third-party firewall device ensures uninterrupted VPN connectivity between mesh sites.
| QuRouter Role | Hub | Edge |
|---|
| Protocol | UDP | UDP |
| Inbound traffic | - Source ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
| - Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
|
| Outbound traffic | - Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
| - Source ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
|
Note
- * The default port for hubs and edge devices is 4500.
- * The system selects a random port between 61001-61999. To check the router service ports, select your organization and device in QuWAN Orchestrator, and then go to Service Management and review the port details in IPSec NAT Traversal.
Important
To determine if additional IPSec NAT traversal ports are required, select your organization and device in QuWAN Orchestrator, and then go to Service Management.
4. Allow IP Ranges for QuWAN Communication
To ensure proper communication between QuWAN Orchestrator and your existing firewall services, it is essential to configure your firewall and router to allow specific IP ranges related to QuWAN. The router plays a crucial role by routing traffic between your local network and external networks, while the firewall filters and permits necessary QuWAN-related traffic to ensure secure and uninterrupted communication. Without proper configuration, you may encounter disruptions.
Follow the steps below to add the necessary QuWAN-related IP ranges to your firewall's allow list:
- QuWAN VPN tunnel
- Add
198.19.0.0/16 to your firewall's allow list to ensure that VPN tunnel connections established by QuWAN are not blocked:
- QuWAN LAN IP subnet
- Identify the LAN IP subnet of your QuWAN deployment and include it in your firewall's allow list.
- To locate the LAN IP subnet, navigate to QuWAN Device > System Status > Network > LAN Details in the QuWAN Orchestrator interface.
By configuring both your firewall and router with these settings, you can ensure proper traffic routing, secure filtering, and uninterrupted communication between QuWAN services and your network, minimizing potential disruptions caused by blocked traffic.
For further assistance, refer to the QuWAN Orchestrator documentation or contact QNAP Customer Service.
Additional Notes
To enable internet pings from LAN to WAN, add a firewall rule:
- Destination: Click Define to specify the internet gateway address
- Protocol: ICMP
- Source: Any (allows traffic from any device on your LAN)
- Destination: Your LAN subnet (e.g., 192.168.60.1/24)
- Action: Allow
If a device remains offline despite an active WAN connection, verify that ports 8883 (MQTT) and 443 (HTTPS) are not blocked by the firewall.
For detailed instructions on configuring firewall rules in QuWAN Orchestrator, see the Firewall and Traffic Mapping section in the QuWAN and QuWAN Orchestrator Web Help.
To modify service ports, perform the following actions:
Further Reading
Použitelné produkty
- QuWAN Orchestrator
- QuRouter 2.4.4 and later versions
Podrobnosti
Pro využití služeb QuWAN nakonfigurujte potřebné servisní porty na zařízení třetí strany Brána firewall.
Síťová topologie zobrazená na obrázku ilustruje nasazení SD-WAN typu hub-and-edge využívající infrastrukturu QuWAN od QNAP. Klíčové komponenty a jejich role jsou následující:
QuRouter (router QNAP): Umístěn na okraji sítě, toto zařízení se připojuje k zařízení třetí strany Brána firewall a funguje buď jako Centrum pro interní provoz nebo jako zařízení Edge pro externí konektivitu, v závislosti na nasazení. Třetí strana Brána firewall: Nachází se za routerem QNAP, tento Brána firewall prosazuje bezpečnostní politiky, reguluje síťový provoz a spravuje Řízení přístupu.
Nejlepší postupy
Pro zajištění bezproblémové konektivity k QuWAN Orchestrator nakonfigurujte následující pravidla Brána firewall na všech routerech ve vaší síťové topologii před přístupem k Orchestratoru z klientského zařízení (například z prohlížeče). Tato nastavení umožňují bezpečnou komunikaci VPN, správné směrování provozu a nepřerušovaný přístup ke službám QuWAN.
1. Nakonfigurujte pravidla Brána firewall pro QuWAN Orchestrator
- Zdroj: Jakýkoli
- Protokol: TCP
- Cílové porty: 8883 (MQTT), 443 (HTTPS)
2. Nakonfigurujte pravidla Brána firewall pro QuWAN QBelt VPN Server
| Typ provozu | Zdroj | Protokol | Zdrojové porty | Cíl | Cílové porty | Akce |
|---|
| Odchozí | KlikněteDefinovatpro určení zdrojového připojení | UDP | 5533 (QuWAN QBelt VPN Server) | Jakýkoli | - | Povolit |
| Příchozí | KlikněteDefinovatpro určení podrobností vzdáleného zařízení | UDP | Jakýkoli | - | 5533 (QuWAN QBelt VPN Server) | Povolit |
Pro přidání nového pravidla Brána firewall v QuWAN Orchestrator viz téma "Přidání pravidla zařízení Brána firewall" v QuWAN a QuWAN Orchestrator Web Help.
Poznámka
Výchozí port pro QuWAN QBelt VPN je 5533, ale může být změněn. Pro kontrolu servisních portů routeru v QuWAN Orchestrator vyberte svou organizaci a zařízení, a poté přejděte naSpráva služeb.
3. Nakonfigurujte pravidla Brána firewall pro Mesh VPN Site-to-Site Traffic
Při použití QuRouteru v nastavení mesh VPN musíte nakonfigurovat pravidla Brána firewall na zařízení třetí strany Brána firewall pro povolení provozu VPN mezi lokalitami. Tato pravidla zajišťují, že komunikace IPSec mezi lokalitami Centrum a Edge není blokována, což umožňuje bezpečné vytvoření VPN tunelu.
Na zařízení třetí strany Brána firewall povolte příchozí a odchozí UDP provoz na následujících portech:
- 500 (ISAKMP/IKE):Používá se pro výměnu klíčů v IPSec VPN připojeních.
- 4500 (IPSec NAT Traversal):Používá se, když VPN provoz prochází NAT zařízeními.
- 61001-61999 (Dynamické vysoké porty pro IPSec NAT Traversal):Vyžadováno pro určité konfigurace IPSec.
Nakonfigurujte pravidla Brána firewall následovně:
- Příchozí provoz:Povolte VPN pakety z vzdálených lokalit, aby dosáhly Brána firewall.
- Odchozí provoz:Povolte odesílání VPN paketů na vzdálené lokality bez interference.
Správná konfigurace těchto pravidel na zařízení třetí strany Brána firewall zajišťuje nepřerušovanou VPN konektivitu mezi mesh lokalitami.
| Role QuRouteru | Centrum | Edge |
|---|
| Protokol | UDP | UDP |
| Příchozí provoz | - Zdrojové porty: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
- Cílové porty: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
| - Zdrojové porty: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- Cílové porty: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
|
| Odchozí provoz | - Zdrojové porty: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- Cílové porty: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
| - Zdrojové porty: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
- Cílové porty: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
|
Poznámka
- * Výchozí port pro zařízení Centrum a Edge je 4500.
- * Systém vybírá náhodný port mezi 61001-61999. Pro kontrolu servisních portů routeru vyberte svou organizaci a zařízení v QuWAN Orchestrator, a poté přejděte na Správa služeb a zkontrolujte podrobnosti portu v IPSec NAT Traversal.
Důležité
Pro určení, zda jsou vyžadovány další porty IPSec NAT traversal, vyberte svou organizaci a zařízení v QuWAN Orchestrator, a poté přejděte naSpráva služeb.
4. Povolit IP rozsahy pro komunikaci QuWAN
Pro zajištění správné komunikace mezi QuWAN Orchestrator a vašimi stávajícími službami Brána firewall je nezbytné nakonfigurovat váš Brána firewall a router tak, aby povolily specifické IP rozsahy související s QuWAN. Router hraje klíčovou roli při směrování provozu mezi vaší lokální sítí a externími sítěmi, zatímco Brána firewall filtruje a povoluje potřebný provoz související s QuWAN, aby zajistil bezpečnou a nepřerušovanou komunikaci. Bez správné konfigurace můžete narazit na přerušení.
Postupujte podle níže uvedených kroků pro přidání potřebných IP rozsahů souvisejících s QuWAN do seznamu povolených položek vašeho Brána firewall:
- QuWAN VPN tunel
- Přidat
198.19.0.0/16do seznamu povolených položek vašeho Brána firewall pro zajištění, že připojení VPN tunelu vytvořená QuWAN nejsou blokována:
- QuWAN LAN IP podsíť
- Identifikujte LAN IP podsíť vašeho nasazení QuWAN a zahrňte ji do seznamu povolených položek vašeho Brána firewall.
- Pro nalezení LAN IP podsítě přejděte naZařízení QuWAN>Stav systému>Síť>Podrobnosti LANv rozhraní QuWAN Orchestrator.
Konfigurací vašeho Brána firewall a routeru s těmito nastaveními můžete zajistit správné směrování provozu, bezpečné filtrování a nepřerušovanou komunikaci mezi službami QuWAN a vaší sítí, minimalizovat potenciální přerušení způsobená blokovaným provozem.
Pro další pomoc se obraťte na dokumentaci QuWAN Orchestrator nebo kontaktujte Zákaznický servis QNAP.
Další poznámky
Pro povolení internetových pingů z LAN do WAN přidejte pravidlo Brána firewall:
- Cíl: KlikněteDefinovatpro určení adresy internetové brány
- Protokol: ICMP
- Zdroj: Jakýkoli (povoluje provoz z jakéhokoli zařízení na vaší LAN)
- Cíl: Vaše LAN podsíť (např. 192.168.60.1/24)
- Akce: Povolit
Pokud zařízení zůstává offline i přes aktivní WAN připojení, ověřte, že porty 8883 (MQTT) a 443 (HTTPS) nejsou blokovány Brána firewall.
Pro podrobné pokyny k konfiguraci pravidel Brána firewall v QuWAN Orchestrator viz sekce Firewall a mapování provozu v QuWAN a QuWAN Orchestrator Web Help.
Pro úpravu servisních portů proveďte následující kroky:
Další čtení
