Hoe kan ik een site-to-site VPN instellen tussen een QuWAN- en een UniFi®-apparaat?
Laatst gewijzigd op:
2025-02-18
Toepasselijke producten
- QuWAN Orchestrator
- QuRouter 2.4.0 en recentere versies
- UniFi®-apparaat
Details
Deze handleiding beschrijft de stappen om een site-to-site VPN-verbinding tot stand te brengen tussen een QuWAN-apparaat en een UniFi® Dream Machine (UDM) Pro. Het UniFi®-ecosysteem biedt verschillende apparaten met site-to-site VPN-functionaliteit, maar deze zelfstudie gaat specifiek over de UDM Pro en is bedoeld ter demonstratie.
Belangrijk
- QuWAN site-to-site VPN ondersteunt alleen IKEv2.
- Beide apparaten (QuWAN- en UniFi®-apparaten) moeten dezelfde configuratie-instellingen gebruiken om de VPN correct te laten functioneren.
- Uw QNAP-apparaat moet aan QuWAN Orchestrator worden toegevoegd voordat u de site-to-site VPN kunt configureren. Raadpleeg de helpinformatie voor QuWAN en QuWAN Orchestrator voor het toevoegen van uw apparaat: Configuratie | Hulp bij QuWAN en QuWAN Orchestrator (qnap.com)
Waarschuwing
De implementatie van een site-to-site VPN zorgt voor extra complexiteit in uw netwerk. Zorg ervoor dat u de beveiligingsimplicaties begrijpt voordat u deze optie inschakelt.
Procedure
Configuratie van site-to-site VPN op het UniFi®-apparaat
- Meld u aan bij de webinterface van UDM Pro.
- Ga naar Instellingen > VPN > Site-to-Site VPN.
- Configureer de instellingen voor de VPN-verbinding.
Instelling Gebruikersactie VPN-type Selecteer IPsec. Naam Wijs een beschrijvende naam toe, zodat u deze VPN-verbinding gemakkelijk kunt herkennen (bijv. QuWAN Site-to-Site VPN). Vooraf gedeelde sleutel Zorg voor een sterke, unieke vooraf gedeelde sleutel. Lokaal IP-adres Voer het lokale IP-adres van uw UDM Pro-apparaat in. Extern IP-adres/externe host Geef het openbare IP-adres of de hostnaam op van het externe gateway-apparaat waarmee u verbinding wilt maken. VPN-type Selecteer Op basis van route om een VPN-verbinding tot stand te brengen voor specifieke netwerksubnetten. Extern(e) netwerk(en) Definieer de subnet(s) van het externe netwerk waartoe u toegang wilt hebben. Gebruik daarbij de CIDR-indeling (bijv. 192.168.150.0/24). 
- Selecteer naast Uitgebreide configuratie de optie Handmatig.
- Selecteer IPsec als de versie voor sleuteluitwisseling.
- Configureer de IKEv2-instellingen op basis van het onderstaande voorbeeld.BelangrijkHet externe apparaat moet dezelfde instellingen aannemen.
Instelling Gebruikersactie Voorbeeldwaarde Versleuteling Selecteer een IKE-algoritme. AES-128 Hash Kies voor een veilige IKE hash-functie. SHA256 DH-groep Selecteer een Diffie-Hellman-groep (DH). 14 Levensduur van IKE Stel de levensduur van de IKE SA in. 28800 - Configureer de ESP-instellingen op basis van het onderstaande voorbeeld.
Instelling Gebruikersactie Voorbeeldwaarde Versleuteling Selecteer een ESP-algoritme. AES-128 Hash Kies voor een veilige ESP hash-functie. SHA256 DH-groep Selecteer een Diffie-Hellman-groep (DH). 14 Levensduur van ESP Stel de levensduur van de ESP SA in. 3600 
- Klik op Toevoegen.
UDM Pro past de configuratie toe.
Site-to-site VPN-configuratie in QuWAN Orchestrator
- Meld u aan bij QuWAN Orchestrator met uw QNAP-ID.
- Selecteer uw organisatie.
- Ga naar QuWAN-topologie > VPN op basis van route.
- Klik op Nieuwe verbinding maken.
Het venster Nieuwe verbinding maken wordt weergegeven. - Configureer de verbindingsinstellingen voor de VPN op basis van route.
Instelling Beschrijving Verbindingsnaam Wijs een beschrijvende naam toe (bijv. ‘UniFi Site-to-Site VPN’). IPsec-modus Selecteer Tunnelmodus. Hub Wijs de juiste hub aan voor de verbinding. WAN-interface Voer de gewenste WAN-interface in. IP-adres of hostnaam van externe bestemming Geef het openbare IP-adres of de hostnaam op van het externe gateway-apparaat. Verbinding testen (optioneel) Klik op de knop om het IP-adres/de hostnaam te pingen om de verbinding te bevestigen. Vooraf gedeelde sleutel Stel een sterke vooraf gedeelde sleutel in en zorg voor identieke configuratie op de externe gateway. - Configureer de uitgebreide verbindingsinstellingen voor de VPN op basis van route.
Instelling Gebruikersactie Voorbeeldwaarde 'Internet Key Exchange' (IKE) Versie Selecteer IKEv2. - Verificatie-algoritme Selecteer een robuust verificatie-algoritme. AES-128 Versleuteling Selecteer een sterke versleutelingsmethode. AES-128 DH-groep Selecteer een veilige DH-groep. 14 Levensduur van 'Security Association' (SA) Definieer de duur van de IKE Security Association (SA) om cryptografische risico's in verband met blootstelling aan sleutels te verminderen. 480 Lokale ID (optioneel) Als er een ‘Dynamic DNS’-service (DDNS) moet worden gebruikt voor de VPN-verbinding op basis van route, moet de lokale ID worden verstrekt. - 'Encapsulating Security Payload' (ESP) Verificatie-algoritme Selecteer een verificatie-algoritme. SHA-256 Versleuteling Selecteer een versleutelingsmethode. AES-128 'Perfect Forward Secrecy' (PFS) inschakelen Schakel het selectievakje in om een nieuwe DH-sleutel te genereren. - DH-groep Geef een veilige DH-groep op. 14 Levensduur van 'Security Association' (SA) Geef de levensduur van de SA op. 60 minuten 'Dead Peer Detection' (DPD) inschakelen Schakel het selectievakje in om peer-apparaten te identificeren en te reageren op storingen. - DPD-time-out Geef de waarde voor de DPD-time-out op. 10 seconden - Schakel het selectievakje naast NAT-modus inschakelen in om ervoor te zorgen dat de VPN-verbinding correct werkt, zelfs wanneer er NAT-apparaten in het netwerk aanwezig zijn.
- Geef het lokale IP-adres van de tunnel op om NAT-verkeer te ondersteunen.
- Klik onder Locatiesubnets op Subnet toevoegen en definieer het interne subnet van het externe netwerk waartoe u toegang wilt hebben.
- Klik op Opslaan.
Als de VPN-verbinding op basis van route is geslaagd, wordt in het veld Status de status Verbonden weergegeven.
Meer informatie
UniFi® Gateway - Site-to-Site IPsec-VPN met gateways van externe partijen (geavanceerd)
