Come si configura una VPN da sito a sito tra un dispositivo QuWAN e UniFi®?
Ultima data di modifica
2025-02-18
Prodotti applicabili
- QuWAN Orchestrator
- Qurouter 2.4.0 e versioni successive
- Dispositivo UNIFI®
Dettagli
Questa guida descrive in dettaglio i passaggi per stabilire una connessione VPN da sito a sito tra un dispositivo QuWAN e un UniFi® Dream Machine (UDM) Pro. Sebbene l'ecosistema UniFi® offra vari dispositivi con funzionalità VPN da sito a sito, questo tutorial si concentrerà specificamente su UDM Pro a scopo dimostrativo.
Importante
- La VPN da sito a sito QuWAN supporta solo IKEv2.
- Entrambi i dispositivi (dispositivi QuWAN e UniFi®) devono utilizzare le stesse impostazioni di configurazione affinché la VPN funzioni correttamente.
- Il dispositivo QNAP deve essere aggiunto a QuWAN Orchestrator prima di configurare la VPN da sito a sito. Fare riferimento alla Guida di QuWAN e QuWAN Orchestrator per aggiungere il dispositivo: Configurazione | Guida di QuWAN e QuWAN Orchestrator (qnap.com)
Avviso
L'implementazione di una VPN da sito a sito comporta un'ulteriore complessità per la rete. Prima di attivarlo, assicurarsi di aver compreso le implicazioni per la sicurezza.
Procedura
Configurazione VPN da sito a sito sul dispositivo UniFi®
- Accedere all'interfaccia Web di UDM Pro.
- Accedere a Impostazioni > VPN > VPN da sito a sito.
- Configurare le impostazioni di connessione VPN.
Impostazione Azione utente Tipo VPN Selezionare IPsec. Nome Assegnare un nome descrittivo per identificare facilmente la connessione VPN (ad esempio, VPN da sito a sito QuWAN ). Chiave precondivisa Stabilire una chiave precondivisa solida e univoca. IP locale Immettere l'indirizzo IP locale del dispositivo UDM Pro. IP/host remoto Specificare l'indirizzo IP pubblico o il nome host del dispositivo gateway remoto a cui connettersi. Tipo VPN Selezionare Basato su percorso per stabilire una connessione VPN per sottoreti di rete specifiche. Reti remote Definire le subnet della rete remota a cui accedere, utilizzando la notazione CIDR (ad esempio, 192.168.150.0/24). 
- Accanto a Configurazione avanzata, selezionare Manuale.
- Selezionare IPsec come versione di scambio chiavi.
- Configurare le impostazioni IKEv2 in base all'esempio fornito di seguito.ImportanteIl dispositivo remoto deve adottare le stesse impostazioni.
Impostazione Azione utente Valore di esempio Crittografia Selezionare un algoritmo IKE. AES-128 Hash Scegliere una funzione di hash IKE protetta. SHA256 Gruppo DH Selezionare un gruppo Diffie-Hellman (DH). 14 Durata IKE Impostare durata IKE SA. 28800 - Configurare le impostazioni ESP in base all'esempio riportato di seguito.
Impostazione Azione utente Valore di esempio Crittografia Selezionare un algoritmo ESP. AES-128 Hash Scegliere una funzione di hash ESP protetta. SHA256 Gruppo DH Selezionare un gruppo Diffie-Hellman (DH). 14 Durata ESP Impostare durata ESP SA. 3600 
- Fare clic su Aggiungi.
UDM Pro applica la configurazione.
Configurazione VPN da sito a sito in QuWAN Orchestrator
- Accedere a QuWAN Orchestrator utilizzando le credenziali QNAP ID.
- Selezionare l'organizzazione.
- Accedere a Topologia QuWAN > VPN basata su Route.
- Fare clic su Crea nuova connessione.
Viene visualizzata la finestra Crea nuova connessione. - Configurare le impostazioni di connessione VPN basate sul routing.
Impostazione Descrizione Nome connessione Assegnare un nome descrittivo (ad esempio, VPN da sito a sito UniFi). Modalità IPsec Selezionare Modalità tunnel. Hub Designare l'hub appropriato per il collegamento. Interfaccia WAN Accedere all'interfaccia WAN desiderata. IP o hostname remoto Specificare l'indirizzo IP pubblico o il nome host del dispositivo gateway remoto. Test connessione (opzionale) Fare clic sul pulsante per eseguire il ping dell'IP/nome host e confermare la connessione. Chiave precondivisa Stabilire una chiave precondivisa solida, garantendo la stessa configurazione sul gateway remoto. - Configurare le impostazioni avanzate di connessione VPN basate sul routing.
Impostazione Azione utente Valore di esempio Internet Key Exchange (IKE) Versione Selezionare IKEv2. - Algoritmo di autenticazione Selezionare un algoritmo di autenticazione affidabile. AES-128 Crittografia Selezionare un metodo di crittografia avanzato. AES-128 Gruppo DH Selezionare un gruppo DH sicuro. 14 Durata di Security Association (SA) Definire la durata della SA (IKE Security Association) per ridurre i rischi crittografici associati all'esposizione delle chiavi. 480 ID locale (opzionale) Nel caso in cui venga utilizzato un servizio DDNS (Dynamic DNS) per la connessione VPN basata sul routing, è necessario fornire l'ID locale. - Encapsulating Security Payload (ESP) Algoritmo di autenticazione Selezionare un algoritmo di autenticazione. SHA-256 Crittografia Selezionare un metodo di crittografia. AES-128 Abilita Perfect Forward Secrecy (PFS) Selezionare la casella per generare una nuova chiave DH. - Gruppo DH Specificare un gruppo DH sicuro. 14 Durata di Security Association (SA) Definire la durata della SA. 60 minuti Abilita Dead Peer Detection (DPD) Selezionare la casella per identificare e rispondere alle interruzioni dei dispositivi peer. - Timeout DPD Specificare il valore di timeout DPD. 10 secondi - Selezionare la casella di controllo accanto a Abilita modalità NAT per garantire che la connessione VPN funzioni correttamente anche quando i dispositivi NAT sono presenti nella rete.
- Specificare l'indirizzo IP del tunnel locale per facilitare l'attraversamento NAT.
- In Subnet del sito, fare clic su Aggiungi subnet e definire la subnet interna della rete remota a cui accedere.
- Fare clic su Salva.
Se la connessione VPN basata sul routing viene stabilita correttamente, il campo Stato visualizza lo stato Connesso.
Ulteriori letture
Gateway UniFi® - VPN IPsec da sito a sito con gateway di terzi (avanzato)
