Jak skonfigurować połączenie VPN typu lokacja-lokacja między urządzeniami QuWAN i UniFi®?
Data ostatniej modyfikacji:
2025-02-18
Dotyczy produktów
- QuWAN Orchestrator
- QuRouter 2.4.0 i nowsze wersje
- Urządzenie UniFi®
Informacje szczegółowe
W tym przewodniku opisano procedurę tworzenia połączenia VPN typu lokacja-lokacja między urządzeniem QuWAN a urządzeniem UniFi® Dream Machine (UDM) Pro. Różne urządzenia należące do ekosystemu UniFi® są wyposażone w funkcję połączenia VPN typu lokacja-lokacja, ale w celach demonstracyjnych w tym samouczku skupimy się na urządzeniach UDM Pro.
Ważne
- Na urządzeniach QuWAN połączenia VPN typu lokacja-lokacja obsługują tylko protokół IKEv2.
- Do prawidłowego działania połączenia VPN wymagane jest, aby na obu urządzeniach (QuWAN i UniFi®) były używane takie same ustawienia konfiguracji.
- Przed skonfigurowaniem połączenia VPN typu lokacja-lokacja należy dodać urządzenie QNAP do platformy QuWAN Orchestrator. Więcej informacji na ten temat można znaleźć w zasobach pomocy dotyczących urządzeń QuWAN i platformy QuWAN Orchestrator: Konfiguracja | Pomoc dotycząca rozwiązań QuWAN i QuWAN Orchestrator (qnap.com)
Ostrzeżenie
Wdrożenie połączenia VPN typu lokacja-lokacja wiąże się ze zwiększeniem złożoności struktury sieci. Przed włączeniem takiego połączenia należy zrozumieć implikacje w zakresie bezpieczeństwa.
Procedura
Konfiguracja połączenia VPN typu lokacja-lokacja na urządzeniu UniFi®
- Zaloguj się do interfejsu sieciowego urządzenia UDM Pro.
- Wybierz kolejno Settings (Ustawienia) > VPN > Site-to-Site VPN (VPN typu lokacja-lokacja).
- Skonfiguruj ustawienia połączenia VPN.
Ustawienie Działanie użytkownika Typ VPN Wybierz opcję IPsec. Nazwa Podaj opisową nazwę, umożliwiającą łatwą identyfikację połączenia VPN (np. QuWAN VPN typu lokacja-lokacja). Klucz wstępny Utwórz silny, unikatowy klucz wstępny. Lokalny adres IP Wprowadź lokalny adres IP urządzenia UDM Pro. Zdalny adres IP / host Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy, z którym chcesz nawiązać połączenie. Typ VPN Wybierz opcję Route Based (Trasowane), aby utworzyć połączenie VPN na potrzeby określonych podsieci. Sieci zdalne Zdefiniuj podsieci w sieci zdalnej, do których chcesz uzyskiwać dostęp, przy użyciu notacji CIDR (np. 192.168.150.0/24). 
- Obok opcji Advanced Configuration (Konfiguracja zaawansowana) wybierz opcję Manual (Ręcznie).
- Wybierz opcję IPsec jako wersję protokołu Key Exchange.
- Skonfiguruj ustawienia protokołu IKEv2 zgodnie z poniższym przykładem.WażneNa urządzeniu zdalnym należy skonfigurować te same ustawienia.
Ustawienie Działanie użytkownika Przykładowa wartość Szyfrowanie Wybierz algorytm IKE. AES-128 Skrót Wybierz bezpieczną funkcję haszującą IKE. SHA256 Grupa DH Wybierz grupę Diffie-Hellman (DH). 14 Okres istnienia IKE Ustaw okres istnienia IKE SA. 28800 - Skonfiguruj ustawienia protokołu ESP zgodnie z poniższym przykładem.
Ustawienie Działanie użytkownika Przykładowa wartość Szyfrowanie Wybierz algorytm ESP. AES-128 Skrót Wybierz bezpieczną funkcję haszującą ESP. SHA256 Grupa DH Wybierz grupę Diffie-Hellman (DH). 14 Okres istnienia ESP Ustaw okres istnienia ESP SA. 3600 
- Kliknij opcję Add (Dodaj).
Konfiguracja zostanie zastosowana na urządzeniu UDM Pro.
Konfiguracja połączenia VPN typu lokacja-lokacja na platformie QuWAN Orchestrator
- Zaloguj się na platformie QuWAN Orchestrator za pomocą poświadczeń przypisanych do identyfikatora QNAP ID.
- Wybierz organizację.
- Wybierz kolejno Topologia QuWAN > Połączenie trasowane VPN.
- Kliknij opcję Utwórz nowe połączenie.
Zostanie wyświetlone okno Utwórz nowe połączenie. - Skonfiguruj ustawienia połączenia trasowanego VPN.
Ustawienie Opis Nazwa połączenia Podaj opisową nazwę (np. UniFi VPN typu lokacja-lokacja). Tryb IPsec Wybierz opcję Tryb tunelu. Hub Wyznacz odpowiedni hub na potrzeby połączenia. Interfejs WAN Wprowadź odpowiedni interfejs WAN. Zdalny adres IP lub nazwa hosta Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy. Testuj połączenie (opcjonalnie) Kliknij przycisk, aby wysłać polecenie ping na adres IP lub do hosta w celu sprawdzenia połączenia. Klucz wstępny Utwórz silny klucz wstępny i zadbaj o to, aby konfiguracja na zdalnej bramie była identyczna. - Skonfiguruj zaawansowane ustawienia połączenia trasowanego VPN.
Ustawienie Działanie użytkownika Przykładowa wartość Internet Key Exchange (IKE) Wersja Wybierz opcję IKEv2. - Algorytm uwierzytelniania Wybierz niezawodny algorytm uwierzytelniania. AES-128 Szyfrowanie Wybierz metodę silnego szyfrowania. AES-128 Grupa DH Wybierz bezpieczną grupę DH. 14 Czas życia skojarzenia zabezpieczeń (SA) Określ czas życia skojarzenia zabezpieczeń (SA) IKE, aby zmniejszyć zagrożenie kryptograficzne związane z ujawnieniem klucza. 480 Identyfikator lokalny (opcjonalnie) Jeśli połączenie trasowane VPN będzie nawiązywane z użyciem usługi Dynamic DNS (DDNS), należy podać identyfikator lokalny. - Encapsulating Security Payload (ESP) Algorytm uwierzytelniania Wybierz algorytm uwierzytelniania. SHA-256 Szyfrowanie Wybierz metodę szyfrowania. AES-128 Włącz doskonałe utajnianie z wyprzedzeniem (PFS) Zaznacz pole, aby wygenerować nowy klucz DH. - Grupa DH Wskaż bezpieczną grupę DH. 14 Czas życia skojarzenia zabezpieczeń (SA) Podaj czas życia skojarzenia SA. 60 minut Włącz wykrywanie martwego elementu równorzędnego (DPD) Zaznacz to pole, aby wykrywać awarie urządzeń równorzędnych i reagować na nie. - Limit czasu DPD Podaj wartość limitu czasu DPD. 10 s - Zaznacz pole wyboru Włącz tryb NAT, aby zapewnić prawidłowe działanie połączenia VPN również wtedy, gdy w sieci znajdują się urządzenia NAT.
- Podaj adres IP tunelu lokalnego, aby ułatwić działanie przechodzenia NAT.
- W obszarze Podsieci lokacji kliknij opcję Dodaj podsieć i określ wewnętrzną podsieć sieci zdalnej, do której chcesz uzyskiwać dostęp.
- Kliknij przycisk Zapisz.
Jeśli uda się nawiązać połączenie trasowane VPN, w polu Status będzie wyświetlany status Połączono.
Dodatkowe informacje
Brama UniFi® — połączenie VPN IPsec typu lokacja-lokacja z bramami innych firm (zaawansowane)
