Wie richte ich ein Site-to-Site-VPN zwischen einem QuWAN- und einem UniFi-Gerät ein?

Zuletzt geändertes Datum 2025-02-18

Betroffene Produkte

QuWAN Orchestrator
QuRouter 2.4.0 und neuere Versionen
UniFi-Gerät

Informationen

Diese Anleitung beschreibt die Schritte zum Aufbau einer Site-to-Site-VPN-Verbindung zwischen einem QuWAN-Gerät und einer UniFi Dream Machine (UDM) Pro. Obwohl das UniFi-Ökosystem verschiedene Geräte mit Site-to-Site-VPN-Funktionalität bietet, konzentriert sich dieses Tutorial zu Demonstrationszwecken speziell auf das UDM Pro.

Wichtig

QuWAN-Site-to-Site-VPN unterstützt nur IKEv2.
Beide Geräte (QuWAN- und UniFi-Geräte) müssen die gleichen Konfigurationseinstellungen verwenden, damit das VPN korrekt funktioniert.
Ihr QNAP-Gerät muss zu QuWAN Orchestrator hinzugefügt werden, bevor Sie das Site-to-Site-VPN konfigurieren. Weitere Informationen zum Hinzufügen Ihres Geräts finden Sie in der QuWAN- und QuWAN Orchestrator-Hilfe: Konfiguration | QuWAN-uand QuWAN Orchestrator-Hilfe (qnap.com)

Warnung

Die Implementierung eines Site-to-Site-VPN bringt zusätzliche Komplexität in Ihr Netzwerk. Vergewissern Sie sich, dass Sie die Auswirkungen auf die Sicherheit verstehen, bevor Sie es aktivieren.

Verfahren

Site-to-Site-VPN-Konfiguration auf dem UniFi-Gerät

Melden Sie sich an der UDM Pro-Webschnittstelle an.
Wechseln Sie zu Einstellungen > VPN > Site-to-Site-VPN.

Konfigurieren Sie die VPN-Verbindungseinstellungen.

Einstellung	Benutzeraktion
VPN-Typ	Wählen Sie IPsec.
Name	Vergeben Sie einen beschreibenden Namen, um diese VPN-Verbindung leicht zu identifizieren (z. B. QuWAN-Site-to-Site-VPN).
Pre-Shared Key	Erstellen Sie einen starken, eindeutigen Pre-Shared Key.
Lokale IP	Geben Sie die lokale IP-Adresse Ihres UDM Pro-Geräts ein.
Remote-IP/Host	Geben Sie die öffentliche IP-Adresse oder den Hostnamen des entfernten Gateway-Geräts an, zu dem Sie eine Verbindung herstellen möchten.
VPN-Typ	Wählen Sie Routenbasiert, um eine VPN-Verbindung für spezifische Netzwerksubnetze herzustellen.
Remote-Netzwerk(e)	Definieren Sie das/die Subnetz(e) des Remote-Netzwerks, auf das Sie zugreifen möchten, unter Verwendung der CIDR-Notation (z. B. 192.168.150.0/24).

Wählen Sie neben Erweiterte Konfiguration die Option Manuell.
Wählen Sie IPsec als Version für den Schlüsselaustausch.

Konfigurieren Sie die IKEv2-Einstellungen anhand des unten aufgeführten Beispiels.

Wichtig

Das Remote-Gerät muss die gleichen Einstellungen übernehmen.

Einstellung	Benutzeraktion	Beispielwert
Verschlüsselung	Wählen Sie einen IKE-Algorithmus.	AES-128
Hash	Wählen Sie eine sichere IKE-Hash-Funktion.	SHA256
DH-Gruppe	Wählen Sie eine Diffie-Hellman (DH)-Gruppe.	14
IKE-Lebensdauer	Legen Sie die IKE-SA-Lebensdauer fest.	28800

Konfigurieren Sie die ESP-Einstellungen anhand des unten aufgeführten Beispiels.

Einstellung	Benutzeraktion	Beispielwert
Verschlüsselung	Wählen Sie einen ESP-Algorithmus.	AES-128
Hash	Wählen Sie eine sichere ESP-Hash-Funktion.	SHA256
DH-Gruppe	Wählen Sie eine Diffie-Hellman (DH)-Gruppe.	14
ESP-Lebensdauer	Legen Sie die ESP-SA-Lebensdauer fest.	3600

Klicken Sie auf Hinzufügen.
UDM Pro übernimmt die Konfiguration.

Site-to-Site-VPN-Konfiguration in QuWAN Orchestrator

Melden Sie sich mit Ihren QNAP ID-Anmeldedaten bei QuWAN Orchestrator an.
Wählen Sie Ihre Organisation.
Wechseln Sie zu QuWAN-Topologie > Routenbasiertes VPN.
Klicken Sie auf Neue Verbindung erstellen.
Das Fenster Neue Verbindung erstellen wird angezeigt.

Konfigurieren Sie die Einstellungen für die routenbasierte VPN-Verbindung.

Einstellung	Beschreibung
Verbindungsname	Vergeben Sie einen beschreibenden Namen (z. B. UniFi-Site-to-Site-VPN).
IPSec-Modus	Wählen Sie Tunnel-Modus.
Hub	Bestimmen Sie den entsprechenden Hub für die Verbindung.
WAN-Schnittstelle	Geben Sie die gewünschte WAN-Schnittstelle ein.
Remote-IP oder -Hostname	Geben Sie die öffentliche IP-Adresse oder den Hostnamen des Remote-Gateway-Geräts an.
Verbindung testen (optional)	Klicken Sie auf die Schaltfläche zum Pingen der IP/des Hostnamens, um die Verbindung zu bestätigen.
Pre-Shared Key	Erstellen Sie einen starken Pre-Shared Key, der eine identische Konfiguration auf dem Remote-Gateway sicherstellt.

Konfigurieren Sie die erweiterten Einstellungen für die routenbasierte VPN-Verbindung.

Einstellung	Benutzeraktion	Beispielwert
Internet Key Exchange (IKE)
Version	Wählen Sie IKEv2.	-
Authentifizierungsalgorithmus	Wählen Sie einen robusten Authentifizierungsalgorithmus.	AES-128
Verschlüsselung	Wählen Sie eine starke Verschlüsselungsmethode.	AES-128
DH-Gruppe	Wählen Sie eine sichere DH-Gruppe.	14
Lebensdauer der Security Association (SA)	Definieren Sie die Dauer der IKE Security Association (SA), um kryptografische Risiken im Zusammenhang mit der Offenlegung von Schlüsseln zu verringern.	480
Lokale ID (optional)	Falls ein dynamischer DNS-Dienst (DDNS) für die routenbasierte VPN-Verbindung verwendet werden soll, muss die lokale ID angegeben werden.	-
Encapsulating Security Payload (ESP)
Authentifizierungsalgorithmus	Wählen Sie einen Authentifizierungsalgorithmus.	SHA-256
Verschlüsselung	Wählen Sie eine Verschlüsselungsmethode.	AES-128
Perfect Forward Secrecy (PFS) aktivieren	Aktivieren Sie das Kontrollkästchen, um einen neuen DH-Schlüssel zu generieren.	-
DH-Gruppe	Geben Sie eine sichere DH-Gruppe an.	14
Lebensdauer der Security Association (SA)	Definieren Sie die SA-Lebensdauer.	60 Minuten
Dead Peer Detection (DPD) aktivieren	Aktivieren Sie das Kontrollkästchen, um Ausfälle von Peer-Geräten zu erkennen und darauf zu reagieren.	-
DPD-Zeitüberschreitung	Geben Sie den DPD-Zeitüberschreitungswert an.	10 Sekunden

Wählen Sie das Kontrollkästchen NAT-Modus aktivieren, um sicherzustellen, dass die VPN-Verbindung auch dann ordnungsgemäß funktioniert, wenn NAT-Geräte im Netzwerk vorhanden sind.
Geben Sie die lokale Tunnel-IP-Adresse an, um NAT-Traversal zu erleichtern.
Klicken Sie unter Standort-Subnetze auf Subnetz hinzufügen und definieren Sie das interne Subnetz des Remote-Netzwerks, auf das Sie zugreifen möchten.
Klicken Sie auf Speichern.