Wie richte ich ein Site-to-Site-VPN zwischen einem QuWAN- und einem UniFi-Gerät ein?

Betroffene Produkte

• QuWAN Orchestrator
• QuRouter 2.4.0 und neuere Versionen
• UniFi-Gerät

Informationen

Diese Anleitung beschreibt die Schritte zum Aufbau einer Site-to-Site-VPN-Verbindung zwischen einem QuWAN-Gerät und einer UniFi Dream Machine (UDM) Pro. Obwohl das UniFi-Ökosystem verschiedene Geräte mit Site-to-Site-VPN-Funktionalität bietet, konzentriert sich dieses Tutorial zu Demonstrationszwecken speziell auf das UDM Pro.

Verfahren

Site-to-Site-VPN-Konfiguration auf dem UniFi-Gerät

1. Melden Sie sich an der UDM Pro-Webschnittstelle an.
2. Wechseln Sie zu Einstellungen > VPN > Site-to-Site-VPN.
3. Konfigurieren Sie die VPN-Verbindungseinstellungen.

   Einstellung	Benutzeraktion
   VPN-Typ	Wählen Sie IPsec.
   Name	Vergeben Sie einen beschreibenden Namen, um diese VPN-Verbindung leicht zu identifizieren (z. B. QuWAN-Site-to-Site-VPN).
   Pre-Shared Key	Erstellen Sie einen starken, eindeutigen Pre-Shared Key.
   Lokale IP	Geben Sie die lokale IP-Adresse Ihres UDM Pro-Geräts ein.
   Remote-IP/Host	Geben Sie die öffentliche IP-Adresse oder den Hostnamen des entfernten Gateway-Geräts an, zu dem Sie eine Verbindung herstellen möchten.
   VPN-Typ	Wählen Sie Routenbasiert, um eine VPN-Verbindung für spezifische Netzwerksubnetze herzustellen.
   Remote-Netzwerk(e)	Definieren Sie das/die Subnetz(e) des Remote-Netzwerks, auf das Sie zugreifen möchten, unter Verwendung der CIDR-Notation (z. B. 192.168.150.0/24).

   
4. Wählen Sie neben Erweiterte Konfiguration die Option Manuell.
5. Wählen Sie IPsec als Version für den Schlüsselaustausch.
6. Konfigurieren Sie die IKEv2-Einstellungen anhand des unten aufgeführten Beispiels.
   Wichtig

   Das Remote-Gerät muss die gleichen Einstellungen übernehmen.

   Einstellung	Benutzeraktion	Beispielwert
   Verschlüsselung	Wählen Sie einen IKE-Algorithmus.	AES-128
   Hash	Wählen Sie eine sichere IKE-Hash-Funktion.	SHA256
   DH-Gruppe	Wählen Sie eine Diffie-Hellman (DH)-Gruppe.	14
   IKE-Lebensdauer	Legen Sie die IKE-SA-Lebensdauer fest.	28800

7. Konfigurieren Sie die ESP-Einstellungen anhand des unten aufgeführten Beispiels.

   Einstellung	Benutzeraktion	Beispielwert
   Verschlüsselung	Wählen Sie einen ESP-Algorithmus.	AES-128
   Hash	Wählen Sie eine sichere ESP-Hash-Funktion.	SHA256
   DH-Gruppe	Wählen Sie eine Diffie-Hellman (DH)-Gruppe.	14
   ESP-Lebensdauer	Legen Sie die ESP-SA-Lebensdauer fest.	3600

   
8. Klicken Sie auf Hinzufügen.
   UDM Pro übernimmt die Konfiguration.

Site-to-Site-VPN-Konfiguration in QuWAN Orchestrator

1. Melden Sie sich mit Ihren QNAP ID-Anmeldedaten bei QuWAN Orchestrator an.
2. Wählen Sie Ihre Organisation.
3. Wechseln Sie zu QuWAN-Topologie > Routenbasiertes VPN.
4. Klicken Sie auf Neue Verbindung erstellen.
   Das Fenster Neue Verbindung erstellen wird angezeigt.
5. Konfigurieren Sie die Einstellungen für die routenbasierte VPN-Verbindung.

   Einstellung	Beschreibung
   Verbindungsname	Vergeben Sie einen beschreibenden Namen (z. B. UniFi-Site-to-Site-VPN).
   IPSec-Modus	Wählen Sie Tunnel-Modus.
   Hub	Bestimmen Sie den entsprechenden Hub für die Verbindung.
   WAN-Schnittstelle	Geben Sie die gewünschte WAN-Schnittstelle ein.
   Remote-IP oder -Hostname	Geben Sie die öffentliche IP-Adresse oder den Hostnamen des Remote-Gateway-Geräts an.
   Verbindung testen (optional)	Klicken Sie auf die Schaltfläche zum Pingen der IP/des Hostnamens, um die Verbindung zu bestätigen.
   Pre-Shared Key	Erstellen Sie einen starken Pre-Shared Key, der eine identische Konfiguration auf dem Remote-Gateway sicherstellt.

6. Konfigurieren Sie die erweiterten Einstellungen für die routenbasierte VPN-Verbindung.

   Einstellung	Benutzeraktion	Beispielwert
   Internet Key Exchange (IKE)
   Version	Wählen Sie IKEv2.	-
   Authentifizierungsalgorithmus	Wählen Sie einen robusten Authentifizierungsalgorithmus.	AES-128
   Verschlüsselung	Wählen Sie eine starke Verschlüsselungsmethode.	AES-128
   DH-Gruppe	Wählen Sie eine sichere DH-Gruppe.	14
   Lebensdauer der Security Association (SA)	Definieren Sie die Dauer der IKE Security Association (SA), um kryptografische Risiken im Zusammenhang mit der Offenlegung von Schlüsseln zu verringern.	480
   Lokale ID (optional)	Falls ein dynamischer DNS-Dienst (DDNS) für die routenbasierte VPN-Verbindung verwendet werden soll, muss die lokale ID angegeben werden.	-
   Encapsulating Security Payload (ESP)
   Authentifizierungsalgorithmus	Wählen Sie einen Authentifizierungsalgorithmus.	SHA-256
   Verschlüsselung	Wählen Sie eine Verschlüsselungsmethode.	AES-128
   Perfect Forward Secrecy (PFS) aktivieren	Aktivieren Sie das Kontrollkästchen, um einen neuen DH-Schlüssel zu generieren.	-
   DH-Gruppe	Geben Sie eine sichere DH-Gruppe an.	14
   Lebensdauer der Security Association (SA)	Definieren Sie die SA-Lebensdauer.	60 Minuten
   Dead Peer Detection (DPD) aktivieren	Aktivieren Sie das Kontrollkästchen, um Ausfälle von Peer-Geräten zu erkennen und darauf zu reagieren.	-
   DPD-Zeitüberschreitung	Geben Sie den DPD-Zeitüberschreitungswert an.	10 Sekunden

7. Wählen Sie das Kontrollkästchen NAT-Modus aktivieren, um sicherzustellen, dass die VPN-Verbindung auch dann ordnungsgemäß funktioniert, wenn NAT-Geräte im Netzwerk vorhanden sind.
8. Geben Sie die lokale Tunnel-IP-Adresse an, um NAT-Traversal zu erleichtern.
9. Klicken Sie unter Standort-Subnetze auf Subnetz hinzufügen und definieren Sie das interne Subnetz des Remote-Netzwerks, auf das Sie zugreifen möchten.
10. Klicken Sie auf Speichern.

Wenn die routenbasierte VPN-Verbindung erfolgreich ist, wird im Feld Status der Status Verbunden angezeigt.

Weitere Informationen

UniFi-Gateway – Site-to-Site-IPsec-VPN mit Drittanbieter-Gateways (Erweitert)