Comment mettre en place un VPN inter-site entre un QuWAN et un appareil UniFi® ?

Date de la dernière modification : 2025-02-18

Produits applicables

QuWAN Orchestrator
QuRouter 2.4.0 et versions ultérieures
Appareil UniFi

Détails

Ce guide détaille les étapes pour établir une connexion VPN inter-site entre un appareil QuWAN et un UniFi® Dream Machine (UDM) Pro. Bien que l'écosystème UniFi® propose divers appareils dotés d'une fonctionnalité VPN inter-site, ce tutoriel se concentre spécifiquement sur l'UDM Pro à des fins de démonstration.

Important

Le VPN inter-site QuWAN ne prend en charge qu'IKEv2.
Les deux appareils (QuWAN et UniFi®) doivent utiliser les mêmes paramètres de configuration pour que le VPN fonctionne correctement.
Votre appareil QNAP doit être ajouté à QuWAN Orchestrator avant de configurer le VPN inter-site. Reportez-vous à l'aide de QuWAN et QuWAN Orchestrator pour ajouter votre appareil : Configuration | Aide QuWAN et QuWAN Orchestrator (qnap.com)

Avertissement

La mise en œuvre d'un VPN inter-site introduit une complexité supplémentaire dans votre réseau. Assurez-vous de bien comprendre les implications en matière de sécurité avant de l'activer.

Procédure

Configuration du VPN inter-site sur l'appareil UniFi®.

Connectez-vous à l'interface Web UDM Pro.
Allez dans Paramètres > VPN > Site-to-Site VPN.

Configurez les paramètres de connexion VPN.

Paramètre	Action utilisateur
Type de VPN	Sélectionnez IPsec.
Nom	Attribuez un nom descriptif pour identifier facilement cette connexion VPN (par exemple, QuWAN Site-to-Site VPN).
Clé prépartagée	Établissez une clé prépartagée forte et unique.
IP locale	Entrez l'adresse IP locale de votre appareil UDM Pro.
IP/Hôte distant	Spécifiez l'adresse IP publique ou le nom d'hôte de l'appareil de la passerelle distante auquel vous souhaitez vous connecter.
Type de VPN	Sélectionnez Basé sur les routes pour établir une connexion VPN pour des sous-réseaux spécifiques.
Réseau(x) distant(s)	Définissez le ou les sous-réseaux du réseau distant auquel vous souhaitez accéder, en utilisant la notation CIDR (par exemple, 192.168.150.0/24).

En regard de Configuration avancée, sélectionnez Manuel.
Sélectionnez IPsec comme version d'échange de clés.

Configurez les paramètres IKEv2 sur la base de l'exemple ci-dessous.

Important

L'appareil doit adopter les mêmes paramètres.

Paramètre	Action utilisateur	Exemple de valeur
Chiffrement	Sélectionnez un algorithme IKE.	AES-128
Hachage	Choisissez une fonction de hachage IKE sécurisée.	SHA256
Groupe DH	Sélectionnez un groupe Diffie-Hellman (DH).	14
Durée de vie IKE	Définissez la durée de vie de la SA IKE.	28800

Configurez les paramètres ESP sur la base de l'exemple ci-dessous.

Paramètre	Action utilisateur	Exemple de valeur
Chiffrement	Sélectionnez un algorithme ESP.	AES-128
Hachage	Choisissez une fonction de hachage ESP sécurisée.	SHA256
Groupe DH	Sélectionnez un groupe Diffie-Hellman (DH).	14
Durée de vie d'ESP	Définissez la durée de vie de Ila SA IKE.	3600

Cliquez sur Ajouter.
UDM Pro applique la configuration.

Configuration du VPN inter-site dans QuWAN Orchestrator

Connectez-vous à QuWAN Orchestrator avec les informations d'identification de QNAP ID.
Sélectionnez votre organisation.
Allez dans Topologie QuWAN > VPN basé sur les routes.
Cliquez sur Créer une nouvelle connexion.
La fenêtre Créer une nouvelle connexion s'affiche.

Configurez la connexion VPN basée sur les routes.

Paramètre	Description
Nom de la connexion	Attribuez un nom descriptif (par exemple, UniFi Site-to-Site VPN).
Mode IPSec	Sélectionnez Mode tunnel.
Hub	Désignez le hub approprié pour la connexion.
Interface WAN	Accédez à l'interface WAN souhaitée.
IP distante ou nom d'hôte	Spécifiez l'adresse IP publique ou le nom d'hôte de l'appareil de la passerelle distante.
Tester la connexion (en option)	Cliquez sur le bouton pour envoyer un ping à l'IP/au nom d'hôte afin de confirmer la connexion.
Clé prépartagée	Établissez une clé prépartagée solide, en veillant à ce que la configuration soit identique sur la passerelle distante.

Configurez les paramètres avancés de la connexion VPN basée sur les routes.

Paramètre	Action utilisateur	Exemple de valeur
Internet Key Exchange (IKE)
Version	Sélectionnez IKEv2.	-
Algorithme d'authentification	Sélectionnez un algorithme d'authentification robuste.	AES-128
Chiffrement	Sélectionnez une méthode de chiffrement robuste.	AES-128
Groupe DH	Sélectionnez un groupe DH sécurisé.	14
Durée de vie de l'association de sécurité (SA, Security Association)	Définissez la durée de l'association de sécurité IKE (SA) pour réduire les risques cryptographiques associés à l'exposition des clés.	480
identifiant local (facultatif)	Si un service DNS dynamique (DDNS) doit être utilisé pour la connexion VPN basée sur la route, l'identifiant local doit être fourni.	-
Encapsulation de la charge utile de sécurité (ESP, Encapsulating Security Payload)
Algorithme d'authentification	Sélectionnez un algorithme d'authentification.	SHA-256
Chiffrement	Sélectionnez une méthode de chiffrement.	AES-128
Activer la confidentialité de transfert parfaite (PFS, Perfect Forward Secrecy)	Cochez la case pour générer une nouvelle clé DH.	-
Groupe DH	Spécifiez un groupe DH sécurisé.	14
Durée de vie de l'association de sécurité (SA, Security Association)	Définissez la durée de vie de la SA.	60 minutes
Activer la détection des pairs absents (DPD, Dead Peer Detection)	Cochez la case pour identifier et répondre aux pannes des appareils pairs.	-
Délai d'expiration DPD	Spécifiez la valeur du délai d'expiration DPD.	10 secondes

Cochez la case en regard de Activer le mode NAT pour garantir que la connexion VPN fonctionne correctement même lorsque des appareils NAT sont présents sur le réseau.
Spécifiez l'adresse IP du tunnel local pour faciliter le parcours NAT.
Sous Sous-réseaux du site, cliquez sur Ajouter un sous-réseau et définissez le sous-réseau interne du réseau distant auquel vous souhaitez accéder.
Cliquez sur Enregistrer.