Comment mettre en place un VPN inter-site entre un QuWAN et un appareil Cisco® Meraki® ?
Date de la dernière modification :
2025-02-18
Produits applicables
- QuWAN Orchestrator
- QuRouter 2.4.0 et versions ultérieures
- Appareil Cisco® Meraki
Détails
Ce guide détaille les étapes à suivre pour établir une connexion VPN inter-site entre un appareil QuWAN et une appliance de sécurité Meraki® MX64. Bien que l'écosystème Cisco® propose divers appareils dotés d'une fonctionnalité VPN inter-site, ce tutoriel se concentre spécifiquement sur le Meraki® MX64 à des fins de démonstration.
Important
- Le VPN inter-site QuWAN ne prend en charge qu'IKEv2.
- Les deux appareils (QuWAN et Cisco®) doivent utiliser les mêmes paramètres de configuration pour que le VPN fonctionne correctement.
- Votre appareil QNAP doit être ajouté à QuWAN Orchestrator avant de configurer le VPN inter-site. Reportez-vous à l'aide de QuWAN et QuWAN Orchestrator pour ajouter votre appareil : Configuration | Aide QuWAN et QuWAN Orchestrator (qnap.com)
Avertissement
La mise en œuvre d'un VPN inter-site introduit une complexité supplémentaire dans votre réseau. Assurez-vous de bien comprendre les implications en matière de sécurité avant de l'activer.
Procédure
Configuration du VPN inter-site sur l'appareil Cisco® Meraki®.
- Connectez-vous à l'interface de configuration du Meraki® MX64.
- Allez dans la page Sécurité et SD-WAN > Configurer > Site-to-site VPN.
- Sous Pairs VPN non-Meraki, cliquez sur Ajouter un pair et saisissez les informations suivantes :
- Saisissez un nom descriptif (par exemple, QuWAN Site-to-Site VPN).
- Sélectionnez IKEv2 comme version d'IKE.
- Cliquez sur Par défaut sous Stratégies IPsec et configurez les éléments suivants :
Paramètre Action utilisateur Exemple de valeur Phase 1 Chiffrement Sélectionnez une méthode de chiffrement. AES-128 Authentification Sélectionnez la fonction de hachage. SHA-256 Fonction pseudo-aléatoire (PRF) Sélectionnez la PRF de hachage. SHA-256 Groupe de Diffie-Hellman Spécifiez le groupe DH. 14 Durée de vie Spécifiez la durée de vie de la connexion (en secondes). 28800 Phase 2 Chiffrement Sélectionnez la méthode de chiffrement. AES-128 Authentification Sélectionnez la fonction de hachage. SHA-256 Groupe PFS Spécifiez le groupe PFS. 14 Durée de vie (secondes) Spécifiez la durée de vie du transfert de données (secondes). 3600 
- Saisissez les informations suivantes pour la passerelle distante :
- Adresse IP publique ou nom d'hôte de l'appareil QuWAN distant.
- Indiquez le ou les sous-réseaux internes du site distant.
- Saisissez une clé secrète prépartagée forte et configurez la même clé sur la passerelle distante.
- Cliquez sur Enregistrer.
MX64 applique la configuration.
Configuration du VPN inter-site dans QuWAN Orchestrator
- Connectez-vous à QuWAN Orchestrator avec les informations d'identification de QNAP ID.
- Sélectionnez votre organisation.
- Allez dans Topologie QuWAN > VPN basé sur les routes.
- Cliquez sur Créer une nouvelle connexion.
La fenêtre Créer une nouvelle connexion s'affiche. - Configurez la connexion VPN basée sur les routes.
Paramètre Description Nom de la connexion Attribuez un nom descriptif (par exemple, Meraki Site-to-Site VPN). Mode IPSec Sélectionnez Mode tunnel. Hub Désignez le hub approprié pour la connexion. Interface WAN Accédez à l'interface WAN souhaitée. IP distante ou nom d'hôte Spécifiez l'adresse IP publique ou le nom d'hôte de l'appareil de la passerelle distante. Tester la connexion (en option) Cliquez sur le bouton pour envoyer un ping à l'IP/au nom d'hôte afin de confirmer la connexion. Clé prépartagée Établissez une clé prépartagée solide, en veillant à ce que la configuration soit identique sur la passerelle distante. - Configurez les paramètres avancés de la connexion VPN basée sur les routes.
Paramètre Action utilisateur Exemple de valeur Internet Key Exchange (IKE) Version Sélectionnez IKEv2. - Algorithme d'authentification Sélectionnez un algorithme d'authentification robuste. AES-128 Chiffrement Sélectionnez une méthode de chiffrement robuste. AES-128 Groupe DH Sélectionnez un groupe DH sécurisé. 14 Durée de vie de l'association de sécurité (SA, Security Association) Définissez la durée de l'association de sécurité IKE (SA) pour réduire les risques cryptographiques associés à l'exposition des clés. 480 identifiant local (facultatif) Si un service DNS dynamique (DDNS) doit être utilisé pour la connexion VPN basée sur la route, l'identifiant local doit être fourni. - Encapsulation de la charge utile de sécurité (ESP, Encapsulating Security Payload) Algorithme d'authentification Sélectionnez un algorithme d'authentification. SHA-256 Chiffrement Sélectionnez une méthode de chiffrement. AES-128 Activer la confidentialité de transfert parfaite (PFS, Perfect Forward Secrecy) Cochez la case pour générer une nouvelle clé DH. - Groupe DH Spécifiez un groupe DH sécurisé. 14 Durée de vie de l'association de sécurité (SA, Security Association) Définissez la durée de vie de la SA. 60 minutes Activer la détection des pairs absents (DPD, Dead Peer Detection) Cochez la case pour identifier et répondre aux pannes des appareils pairs. - Délai d'expiration DPD Spécifiez la valeur du délai d'expiration DPD. 10 secondes - En regard de Activer le mode NAT, cochez la case pour garantir que la connexion VPN fonctionne correctement même lorsque des appareils NAT sont présents sur le réseau.
- Spécifiez l'adresse IP du tunnel local pour faciliter le parcours NAT.
- Sous Sous-réseaux du site, cliquez sur Ajouter un sous-réseau et définissez le sous-réseau interne du réseau distant auquel vous souhaitez accéder.
- Cliquez sur Enregistrer.
Si la connexion VPN basée sur les itinéraires est réussie, le champ État affiche l'état Connecté.
