Wie richte ich ein Site-to-Site-VPN zwischen einem QuWAN- und einem Cisco Meraki-Gerät ein?
Zuletzt geändertes Datum
2025-02-18
Betroffene Produkte
- QuWAN Orchestrator
- QuRouter 2.4.0 und neuere Versionen
- Cisco Meraki-Gerät
Informationen
Diese Anleitung beschreibt die Schritte zum Aufbau einer Site-to-Site-VPN-Verbindung zwischen einem QuWAN-Gerät und einer Meraki MX64 Security Appliance. Obwohl das Cisco-Ökosystem verschiedene Geräte mit Site-to-Site-VPN-Funktionalität bietet, konzentriert sich dieses Tutorial zu Demonstrationszwecken speziell auf das Meraki MX64.
Wichtig
- QuWAN-Site-to-Site-VPN unterstützt nur IKEv2.
- Beide Geräte (QuWAN- und Cisco-Geräte) müssen die gleichen Konfigurationseinstellungen verwenden, damit das VPN korrekt funktioniert.
- Ihr QNAP-Gerät muss zu QuWAN Orchestrator hinzugefügt werden, bevor Sie das Site-to-Site-VPN konfigurieren. Weitere Informationen zum Hinzufügen Ihres Geräts finden Sie in der QuWAN- und QuWAN Orchestrator-Hilfe: Konfiguration | QuWAN-uand QuWAN Orchestrator-Hilfe (qnap.com)
Warnung
Die Implementierung eines Site-to-Site-VPN bringt zusätzliche Komplexität in Ihr Netzwerk. Vergewissern Sie sich, dass Sie die Auswirkungen auf die Sicherheit verstehen, bevor Sie es aktivieren.
Verfahren
Site-to-Site-VPN-Konfiguration auf dem Cisco Meraki-Gerät
- Melden Sie sich bei der Konfigurationsoberfläche des Meraki MX64 an.
- Navigieren Sie zu Sicherheit & SD-WAN > Konfigurieren > Site-to-Site-VPN.
- Klicken Sie unter Nicht-Meraki-VPN-Peers auf Peer hinzufügen und geben Sie die folgenden Informationen ein:
- Geben Sie einen beschreibenden Namen ein (z. B. QuWAN-Site-to-Site-VPN)
- Wählen Sie IKEv2 als IKE-Version.
- Klicken Sie unter IPsec-Richtlinien auf Standard und konfigurieren Sie Folgendes:
Einstellung Benutzeraktion Beispielwert Phase 1 Verschlüsselung Wählen Sie eine Verschlüsselungsmethode. AES-128 Authentifizierung Wählen Sie die Hash-Funktion. SHA-256 Pseudo-Random-Funktion (PRF) Wählen Sie den Hash PRF. SHA-256 Diffie-Hellman-Gruppe Geben Sie die DH-Gruppe an. 14 Lebensdauer Geben Sie die Lebensdauer (Sekunden) der Verbindung an. 28800 Phase 2 Verschlüsselung Wählen Sie die Verschlüsselungsmethode. AES-128 Authentifizierung Wählen Sie die Hash-Funktion. SHA-256 PFS-Gruppe Geben Sie die PFS-Gruppe an. 14 Lebensdauer (Sekunden) Geben Sie die Lebensdauer (Sekunden) der Datenübertragung an. 3600 
- Geben Sie die folgenden Informationen für das Remote-Gateway ein.
- Öffentliche IP-Adresse oder Hostname des Remote-QuWAN-Geräts.
- Geben Sie das/die interne(n) Teilnetz(e) des Remote-Standorts an.
- Geben Sie einen starken, geheimen Pre-Shared Key ein und konfigurieren Sie denselben Schlüssel auf dem Remote-Gateway.
- Klicken Sie auf Speichern.
MX64 übernimmt die Konfiguration.
Site-to-Site-VPN-Konfiguration in QuWAN Orchestrator
- Melden Sie sich mit Ihren QNAP ID-Anmeldedaten bei QuWAN Orchestrator an.
- Wählen Sie Ihre Organisation.
- Wechseln Sie zu QuWAN-Topologie > Routenbasiertes VPN.
- Klicken Sie auf Neue Verbindung erstellen.
Das Fenster Neue Verbindung erstellen wird angezeigt. - Konfigurieren Sie die Einstellungen für die routenbasierte VPN-Verbindung.
Einstellung Beschreibung Verbindungsname Vergeben Sie einen beschreibenden Namen (z. B. Meraki-Site-to-Site-VPN). IPSec-Modus Wählen Sie Tunnel-Modus. Hub Bestimmen Sie den entsprechenden Hub für die Verbindung. WAN-Schnittstelle Geben Sie die gewünschte WAN-Schnittstelle ein. Remote-IP oder -Hostname Geben Sie die öffentliche IP-Adresse oder den Hostnamen des Remote-Gateway-Geräts an. Verbindung testen (optional) Klicken Sie auf die Schaltfläche zum Pingen der IP/des Hostnamens, um die Verbindung zu bestätigen. Pre-Shared Key Erstellen Sie einen starken Pre-Shared Key, der eine identische Konfiguration auf dem Remote-Gateway sicherstellt. - Konfigurieren Sie die erweiterten Einstellungen für die routenbasierte VPN-Verbindung.
Einstellung Benutzeraktion Beispielwert Internet Key Exchange (IKE) Version Wählen Sie IKEv2. - Authentifizierungsalgorithmus Wählen Sie einen robusten Authentifizierungsalgorithmus. AES-128 Verschlüsselung Wählen Sie eine starke Verschlüsselungsmethode. AES-128 DH-Gruppe Wählen Sie eine sichere DH-Gruppe. 14 Lebensdauer der Security Association (SA) Definieren Sie die Dauer der IKE Security Association (SA), um kryptografische Risiken im Zusammenhang mit der Offenlegung von Schlüsseln zu verringern. 480 Lokale ID (optional) Falls ein dynamischer DNS-Dienst (DDNS) für die routenbasierte VPN-Verbindung verwendet werden soll, muss die lokale ID angegeben werden. - Encapsulating Security Payload (ESP) Authentifizierungsalgorithmus Wählen Sie einen Authentifizierungsalgorithmus. SHA-256 Verschlüsselung Wählen Sie eine Verschlüsselungsmethode. AES-128 Perfect Forward Secrecy (PFS) aktivieren Aktivieren Sie das Kontrollkästchen, um einen neuen DH-Schlüssel zu generieren. - DH-Gruppe Geben Sie eine sichere DH-Gruppe an. 14 Lebensdauer der Security Association (SA) Definieren Sie die SA-Lebensdauer. 60 Minuten Dead Peer Detection (DPD) aktivieren Aktivieren Sie das Kontrollkästchen, um Ausfälle von Peer-Geräten zu erkennen und darauf zu reagieren. - DPD-Zeitüberschreitung Geben Sie den DPD-Zeitüberschreitungswert an. 10 Sekunden - Aktivieren Sie das Kontrollkästchen neben NAT-Modus aktivieren, um sicherzustellen, dass die VPN-Verbindung auch dann ordnungsgemäß funktioniert, wenn NAT-Geräte im Netzwerk vorhanden sind.
- Geben Sie die lokale Tunnel-IP-Adresse an, um NAT-Traversal zu erleichtern.
- Klicken Sie unter Standort-Subnetze auf Subnetz hinzufügen und definieren Sie das interne Subnetz des Remote-Netzwerks, auf das Sie zugreifen möchten.
- Klicken Sie auf Speichern.
Wenn die routenbasierte VPN-Verbindung erfolgreich ist, wird im Feld Status der Status Verbunden angezeigt.
