Ez a tartalom gépi fordításal készült. Kérjük, olvassa el a Gépi fordításról szóló jognyilatkozatot.

How to effectively connect a QuWAN device with third-party firewall solutions?

Hogyan lehet hatékonyan csatlakoztatni egy QuWAN eszközt harmadik fél Tűzfal megoldásaival?

Release date: 2025-04-10

Applicable Products

QuWAN Orchestrator
QuRouter 2.4.4 and later versions

Details

To utilize QuWAN services, configure the necessary service ports on the third-party firewall device.

The network topology depicted in the image illustrates a hub-and-edge SD-WAN deployment leveraging QNAP's QuWAN infrastructure. The key components and their roles are as follows:

QuRouter (QNAP router): Positioned at the network perimeter, this device connects to a third-party firewall device and functions as either a hub for internal traffic or an edge device for external connectivity, depending on the deployment. Third-party firewall: Situated behind the QNAP router, this firewall enforces security policies, regulates network traffic, and manages access control.

Best Practices

To ensure seamless connectivity to QuWAN Orchestrator, configure the following firewall rules on all routers in your network topology before accessing Orchestrator from a client device (such as a browser). These settings enable secure VPN communication, proper traffic routing, and uninterrupted access to QuWAN services.

1. Configure Firewall Rules for QuWAN Orchestrator

Source: Any
Protocol: TCP
Destination ports: 8883 (MQTT), 443 (HTTPS)

2. Configure Firewall Rules for QuWAN QBelt VPN Server

Traffic Type	Source	Protocol	Source Ports	Destination	Destination Ports	Action
Outbound	Click Define to specify the source connection	UDP	5533 (QuWAN QBelt VPN Server)	Any	-	Allow
Inbound	Click Define to specify the remote device details	UDP	Any	-	5533 (QuWAN QBelt VPN Server)	Allow

To add a new firewall rule in QuWAN Orchestrator, see the "Adding a device firewall rule" topic in the QuWAN and QuWAN Orchestrator Web Help.

Note

The default port for QuWAN QBelt VPN is 5533, but it can be changed. To check the router service ports in QuWAN Orchestrator, select your organization and device, and then go to Service Management.

3. Configure Firewall Rules for Mesh VPN Site-to-Site Traffic

When using QuRouter in a mesh VPN setup, you must configure firewall rules on a third-party firewall device to allow site-to-site VPN traffic. These rules ensure that IPSec communication between the hub and edge sites is not blocked, enabling secure VPN tunnel establishment.

On the third-party firewall device, allow inbound and outbound UDP traffic on the following ports:

500 (ISAKMP/IKE): Used for key exchange in IPSec VPN connections.
4500 (IPSec NAT Traversal): Used when VPN traffic traverses NAT devices.
61001-61999 (Dynamic high ports for IPSec NAT Traversal): Required for certain IPSec configurations.

Configure the firewall rules as follows:

Inbound traffic: Allow VPN packets from remote sites to reach the firewall.
Outbound traffic: Permit VPN packets to be sent to remote sites without interference.

Properly configuring these rules on the third-party firewall device ensures uninterrupted VPN connectivity between mesh sites.

QuRouter Role	Hub	Edge
Protocol	UDP	UDP
Inbound traffic	Source ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)	Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
Outbound traffic	Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)	Source ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)

Note

* The default port for hubs and edge devices is 4500.
* The system selects a random port between 61001-61999. To check the router service ports, select your organization and device in QuWAN Orchestrator, and then go to Service Management and review the port details in IPSec NAT Traversal.

Important

To determine if additional IPSec NAT traversal ports are required, select your organization and device in QuWAN Orchestrator, and then go to Service Management.

4. Allow IP Ranges for QuWAN Communication

To ensure proper communication between QuWAN Orchestrator and your existing firewall services, it is essential to configure your firewall and router to allow specific IP ranges related to QuWAN. The router plays a crucial role by routing traffic between your local network and external networks, while the firewall filters and permits necessary QuWAN-related traffic to ensure secure and uninterrupted communication. Without proper configuration, you may encounter disruptions.

Follow the steps below to add the necessary QuWAN-related IP ranges to your firewall's allow list:

QuWAN VPN tunnel
- Add 198.19.0.0/16 to your firewall's allow list to ensure that VPN tunnel connections established by QuWAN are not blocked:
QuWAN LAN IP subnet
- Identify the LAN IP subnet of your QuWAN deployment and include it in your firewall's allow list.
- To locate the LAN IP subnet, navigate to QuWAN Device > System Status > Network > LAN Details in the QuWAN Orchestrator interface.

By configuring both your firewall and router with these settings, you can ensure proper traffic routing, secure filtering, and uninterrupted communication between QuWAN services and your network, minimizing potential disruptions caused by blocked traffic.

For further assistance, refer to the QuWAN Orchestrator documentation or contact QNAP Customer Service.

Additional Notes

To enable internet pings from LAN to WAN, add a firewall rule:

Destination: Click Define to specify the internet gateway address
Protocol: ICMP
Source: Any (allows traffic from any device on your LAN)
Destination: Your LAN subnet (e.g., 192.168.60.1/24)
Action: Allow

If a device remains offline despite an active WAN connection, verify that ports 8883 (MQTT) and 443 (HTTPS) are not blocked by the firewall.

For detailed instructions on configuring firewall rules in QuWAN Orchestrator, see the Firewall and Traffic Mapping section in the QuWAN and QuWAN Orchestrator Web Help.

To modify service ports, perform the following actions:

For QuWAN vRouter, log in to QuWAN Orchestrator, select your organization and device, and then go to Service Management. For details, see the Service Management section in the QuWAN and QuWAN Orchestrator Web Help.
For QNAP routers, log in to QuRouter, and go to Service Port Management. For details, see the Service Port Management section in the QuRouter Web Help for QHora Routers or QuRouter Web Help for QHora Routers.

Alkalmazható termékek

QuWAN Orchestrator
QuRouter 2.4.4 and later versions

Részletek

A QuWAN szolgáltatások használatához konfigurálja a szükséges szolgáltatási portokat a harmadik fél Tűzfal eszközén.

A képen látható hálózati topológia egy hub-and-edge SD-WAN telepítést ábrázol, amely a QNAP QuWAN infrastruktúráját használja. A kulcsfontosságú elemek és szerepük a következők:

QuRouter (QNAP router): A hálózat peremén helyezkedik el, ez az eszköz csatlakozik egy harmadik fél Tűzfal eszközhöz, és a telepítéstől függően belső forgalom esetén Hub-ként vagy külső kapcsolódás esetén Szél eszközként működik. Harmadik fél Tűzfal: A QNAP router mögött helyezkedik el, ez a Tűzfal biztonsági szabályokat érvényesít, szabályozza a hálózati forgalmat, és kezeli a Hozzáférés-szabályozás.

Legjobb gyakorlatok

A QuWAN Orchestrator zökkenőmentes elérésének biztosítása érdekében konfigurálja a következő Tűzfal szabályokat a hálózati topológia összes routerén, mielőtt egy kliens eszközről (például böngészőből) elérné az Orchestrator-t. Ezek a beállítások lehetővé teszik a biztonságos VPN kommunikációt, a megfelelő forgalomirányítást és a QuWAN szolgáltatások zavartalan elérését.

1. Konfigurálja a Tűzfal szabályokat a QuWAN Orchestrator számára

Forrás: Bármely
Protokoll: TCP
Célportok: 8883 (MQTT), 443 (HTTPS)

2. Konfigurálja a Tűzfal szabályokat a QuWAN QBelt VPN szerver számára

Forgalom típusa	Forrás	Protokoll	Forrásportok	Cél	Célportok	Művelet
Kimenő	Kattintson Meghatároz a forráskapcsolat megadásához	UDP	5533 (QuWAN QBelt VPN szerver)	Bármely	-	Engedélyez
Bejövő	Kattintson Meghatároz a távoli eszköz részleteinek megadásához	UDP	Bármely	-	5533 (QuWAN QBelt VPN szerver)	Engedélyez

Új Tűzfal szabály hozzáadásához a QuWAN Orchestrator-ban, lásd a "Eszköz Tűzfal szabály hozzáadása" témakört a QuWAN és QuWAN Orchestrator webes segítség -ban.

Megjegyzés

A QuWAN QBelt VPN alapértelmezett portja 5533, de megváltoztatható. A router szolgáltatási portjainak ellenőrzéséhez a QuWAN Orchestrator-ban válassza ki a szervezetét és eszközét, majd lépjen a Szolgáltatáskezelés.

3. Konfigurálja a Tűzfal szabályokat a Mesh VPN helyek közötti forgalomhoz

Ha a QuRouter-t mesh VPN beállításban használja, konfigurálnia kell a Tűzfal szabályokat egy harmadik fél Tűzfal eszközén, hogy engedélyezze a helyek közötti VPN forgalmat. Ezek a szabályok biztosítják, hogy az IPSec kommunikáció a Hub és Szél helyek között ne legyen blokkolva, lehetővé téve a biztonságos VPN alagút létrehozását.

A harmadik fél Tűzfal eszközén engedélyezze a bejövő és kimenő UDP forgalmat a következő portokon:

500 (ISAKMP/IKE): Kulcscserére használják az IPSec VPN kapcsolatokban.
4500 (IPSec NAT Traversal): Akkor használják, amikor a VPN forgalom NAT eszközökön halad át.
61001-61999 (Dinamikus magas portok az IPSec NAT Traversal számára): Bizonyos IPSec konfigurációkhoz szükséges.

Konfigurálja a Tűzfal szabályokat a következőképpen:

Bejövő forgalom: Engedélyezze a VPN csomagokat a távoli helyekről a Tűzfal eléréséhez.
Kimenő forgalom: Engedélyezze a VPN csomagok küldését a távoli helyekre akadály nélkül.

A harmadik fél Tűzfal eszközén ezeknek a szabályoknak a megfelelő konfigurálása biztosítja a megszakítás nélküli VPN kapcsolatot a mesh helyek között.

QuRouter szerepe	Hub	Szél
Protokoll	UDP	UDP
Bejövő forgalom	Forrásportok: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal) Célportok: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)	Forrásportok: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal) Célportok: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
Kimenő forgalom	Forrásportok: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal) Célportok: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)	Forrásportok: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal) Célportok: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)

Megjegyzés

* Az alapértelmezett port a Hub és Szél eszközök számára 4500.
* A rendszer véletlenszerűen választ egy portot a 61001-61999 tartományból. A router szolgáltatási portjainak ellenőrzéséhez válassza ki a szervezetét és eszközét a QuWAN Orchestrator -ban, majd lépjen a Szolgáltatáskezelés -hez, és tekintse át a port részleteit a IPSec NAT Traversal -ban.

Fontos

Annak meghatározásához, hogy szükségesek-e további IPSec NAT traversal portok, válassza ki a szervezetét és eszközét a QuWAN Orchestrator-ban, majd lépjen a Szolgáltatáskezelés.

4. Engedélyezze az IP tartományokat a QuWAN kommunikációhoz

A QuWAN Orchestrator és a meglévő Tűzfal szolgáltatások közötti megfelelő kommunikáció biztosítása érdekében elengedhetetlen, hogy konfigurálja a Tűzfal-ját és a routerét, hogy engedélyezze a QuWAN-hoz kapcsolódó specifikus IP tartományokat. A router kulcsszerepet játszik azáltal, hogy irányítja a forgalmat a helyi hálózat és a külső hálózatok között, míg a Tűzfal szűri és engedélyezi a szükséges QuWAN-hoz kapcsolódó forgalmat a biztonságos és zavartalan kommunikáció biztosítása érdekében. Megfelelő konfiguráció nélkül megszakításokkal találkozhat.

Kövesse az alábbi lépéseket a szükséges QuWAN-hoz kapcsolódó IP tartományok hozzáadásához a Tűzfal engedélyezési listájához:

QuWAN VPN alagút
- Hozzáadás198.19.0.0/16a Tűzfal engedélyezési listájához, hogy biztosítsa, hogy a QuWAN által létrehozott VPN alagút kapcsolatok ne legyenek blokkolva:
QuWAN LAN IP alhálózat
- Azonosítsa a QuWAN telepítés LAN IP alhálózatát, és vegye fel a Tűzfal engedélyezési listájába.
- A LAN IP alhálózat megtalálásához navigáljon a QuWAN eszköz >Rendszerállapot >Hálózat >LAN részletek a QuWAN Orchestrator felületén.

A Tűzfal és a router megfelelő konfigurálásával ezekkel a beállításokkal biztosíthatja a megfelelő forgalomirányítást, a biztonságos szűrést és a zavartalan kommunikációt a QuWAN szolgáltatások és a hálózata között, minimalizálva a blokkolt forgalom okozta potenciális megszakításokat.

További segítségért tekintse meg a QuWAN Orchestrator dokumentációját vagy lépjen kapcsolatba a QNAP ügyfélszolgálat -val.

További megjegyzések

Az internetes pingek LAN-ról WAN-ra történő engedélyezéséhez adjon hozzá egy Tűzfal szabályt:

Cél: Kattintson Meghatároz az internetes átjáró címének megadásához
Protokoll: ICMP
Forrás: Bármely (lehetővé teszi a forgalmat bármely eszközről a LAN-on)
Cél: Az Ön LAN alhálózata (pl. 192.168.60.1/24)
Művelet: Engedélyez

Ha egy eszköz offline marad annak ellenére, hogy aktív WAN kapcsolat van, ellenőrizze, hogy a 8883 (MQTT) és 443 (HTTPS) portok nincsenek-e blokkolva a Tűzfal által.

A Tűzfal szabályok QuWAN Orchestrator-ban történő konfigurálásának részletes utasításaiért lásd a Tűzfal és forgalom leképezése szakaszt a QuWAN és QuWAN Orchestrator webes segítség -ban.

A szolgáltatási portok módosításához hajtsa végre a következő műveleteket:

A QuWAN vRouter esetében jelentkezzen be a QuWAN Orchestrator-ba, válassza ki a szervezetét és eszközét, majd lépjen a Szolgáltatáskezelés -hez. A részletekért lásd a Szolgáltatáskezelés szakaszt a QuWAN és QuWAN Orchestrator webes segítség -ban.
A QNAP routerek esetében jelentkezzen be a QuRouter-be, és lépjen a Szolgáltatási portkezelés -hez. A részletekért lásd a Szolgáltatási portkezelés szakaszt a QuRouter webes segítség a QHora routerekhez -ban vagy QuRouter webes segítség a QHora routerekhez -ban.

További olvasmányok

Was this article helpful?

Yes. No.

Please tell us how this article can be improved:

The article is missing important information
The article's solutions do not work
The article is too complicated
The article contains incorrect information
The article is out-of-date

If you want to provide additional feedback, please include it below.

NAS

Hálózati megoldások

Felügyelet