QuWAN と UniFi® デバイスの間でサイトツーサイト VPN を設定するには?
最終更新日:
2025-02-18
該当製品
- QuWAN Orchestrator
- QuRouter 2.4.0 以降のバージョン
- UniFi® デバイス
詳細
本ガイドでは、 QuWAN デバイスと UniFi® Dream Machine (UDM) Pro の間で、サイトツーサイト VPN 接続を確立させる手順をご説明します。UniFi® のエコシステムにおいては、 サイトツーサイト VPN 機能をもつデバイスが数多く提供されていますが、本チュートリアルでは、UDM Pro を例にとってご説明します。
重要
- QuWAN サイトツーサイト VPN は、IKEv2 のみをサポートします。
- 正しく機能させるためには、いずれのデバイス (QuWAN および UniFi® デバイス) も、同じ VPN 設定を用いる必要があります。
- お使いの QNAP デバイスは、サイトツーサイト VPN の設定を行う前に QuWAN Orchestrator に追加しておく必要があります。デバイスの追加については、QuWAN および QuWAN Orchestrator のヘルプをご参照ください。設定 | QuWAN および QuWAN Orchestrator のヘルプ (qnap.com)
警告
サイトツーサイト VPN の導入は、お客様のネットワークをより複雑にすることになります。これを有効にする前に、セキュリティへの影響についての理解を深めてください。
手順
UniFi® デバイスでのサイトツーサイト VPN の設定
- UDM Pro の Web インターフェイスにログインします。
- [設定] > [VPN] > [サイトツーサイト VPN]に進みます。
- VPN接続設定を接続します。
設定 ユーザー操作 VPN タイプ IPsecを選択します。 名前 この VPN 接続を簡単に見分けられるようにわかりやすい名前を割り当てます (QuWAN サイトツーサイト VPNなど)。 事前共有キー 高強度の他では使われていない事前共有キーを設定します。 ローカル IP UDM Pro デバイスのローカル IP アドレスを入力します。 リモート IP/ホスト 接続しようとするリモートゲートウェイデバイスのパブリック IP アドレスまたはホスト名を指定します。 VPN タイプ [ルートベース]を選択して、特定のネットワークサブネットに接続する VPN 接続を確立します。 リモートネットワーク CIDR 表記を用いて、アクセスしようとするリモートネットワークのサブネットを規定します (192.168.150.0/24 など)。 
- [高度な構成]のとなりで、[手動]を選択します。
- 鍵交換のバージョンとして、[IPsec]を選択します。
- 以下に示す例に沿って、IKEv2 を設定します。重要リモートデバイスも同じ設定である必要があります。
設定 ユーザー操作 値の例 暗号化 IKE アルゴリズムを選択します。 AES-128 ハッシュ セキュア IKE ハッシュ機能を選びます。 SHA256 DH グループ Diffie-Hellman (DH) グループを選択します。 14 IKE 有効期間 IKE SA 有効期間をセットします。 28800 - 以下に示す例に沿って、ESP を設定します。
設定 ユーザー操作 値の例 暗号化 ESP アルゴリズムを選択します。 AES-128 ハッシュ セキュア ESP ハッシュ機能を選びます。 SHA256 DH グループ Diffie-Hellman (DH) グループを選択します。 14 ESP 有効期間 ESP SA 有効期間をセットします。 3600 
- [追加]をクリックします。
UDM Pro が設定を適用します。
QuWAN Orchestrator でのサイトツーサイト VPN 設定
- ご自身の QNAP ID 資格情報で QuWAN Orchestrator にログインします。
- 組織を選択します。
- [QuWAN トポロジー] > [ルートベース VPN]に進みます。
- [新規接続の作成]をクリックします。
新規接続の作成ウィンドウが表示されます。 - ルートベース VPN の接続設定を行います。
設定 説明 接続名 わかりやすい名前を割り当てます (UniFi Site-to-Site VPN など)。 IPSec モード [トンネルモード]を選択します。 ハブ この接続用の適切なハブを指定します。 WAN インターフェイス 希望する WAN インターフェイスを入力します。 リモート IP またはホスト名 リモートゲートウェイデバイスのパブリック IP アドレスまたはホスト名を指定します。 テスト接続 (オプション) ボタンをクリックして IP/ホスト名に ping することで接続を確認します。 事前共有キー 高強度の事前共有キーを設定し、リモートゲートウェイでも同一の設定にします。 - アドバンス ルートベース VPN の接続設定を行います。
設定 ユーザー操作 値の例 インターネット鍵交換 (IKE) バージョン [IKEv2]を選択します。 - 認証アルゴリズム 堅牢な認証アルゴリズムを選択します。 AES-128 暗号化 強固な暗号化方式を選択します。 AES-128 DH グループ セキュアな DH グループを選択します。 14 セキュリティアソシエーション (SA) の有効期間 キー暴露による暗号化リスクを低減するために、IKE Security Association (SA) 期間を規定します。 480 ローカル ID (オプション) ルートベース VPN 接続用に動的 DNS (DDNS) サービスが採用される場合には、ローカル ID を設定する必要があります。 - カプセル化セキュリティーペイロード (ESP) 認証アルゴリズム 認証アルゴリズムを選択します。 SHA-256 暗号化 暗号化方式を選択します。 AES-128 完全前方秘匿性 (PFS) を有効にする ボックスにチェックを入れて、新しい DH キーを生成します。 - DH グループ セキュアな DH グループを指定します。 14 セキュリティアソシエーション (SA) の有効期間 SA 有効期間を規定します。 60分 デッドピア検出 (DPD) を有効にする ピアデバイス アウテージを識別し、応答するために、ボックスにチェックを入れます。 - DPD タイムアウト DPD タイムアウト値を指定します。 10 秒 - NAT デバイスがネットワークに存在する場合に、VPN 接続が正しく機能するよう、[NAT モードを有効にする]横にあるチェックボックスを選択します。
- NAT トラバーサルを有効活用するために、ローカルトンネル IP アドレスを指定します。
- [サイトサブネット]の下で、[サブネットの追加]をクリックし、アクセスしようとするリモートネットワークの内部サブネットを規定します。
- [保存]をクリックします。
ルートベース VPN 接続が成功すると、[状態]フィールドに[接続済み]状態が表示されます。
