How to effectively connect a QuWAN device with third-party firewall solutions?

Como permitir tráfego específico através do serviço QuWAN Firewall ?

Applicable Products

• QuWAN Orchestrator
• QuRouter 2.4.4 and later versions

Details

To utilize QuWAN services, configure the necessary service ports on the third-party firewall device.

The network topology depicted in the image illustrates a hub-and-edge SD-WAN deployment leveraging QNAP's QuWAN infrastructure. The key components and their roles are as follows:

QuRouter (QNAP router): Positioned at the network perimeter, this device connects to a third-party firewall device and functions as either a hub for internal traffic or an edge device for external connectivity, depending on the deployment. Third-party firewall: Situated behind the QNAP router, this firewall enforces security policies, regulates network traffic, and manages access control.

Best Practices

To ensure seamless connectivity to QuWAN Orchestrator, configure the following firewall rules on all routers in your network topology before accessing Orchestrator from a client device (such as a browser). These settings enable secure VPN communication, proper traffic routing, and uninterrupted access to QuWAN services.

Additional Notes

To enable internet pings from LAN to WAN, add a firewall rule:

• Destination: Click Define to specify the internet gateway address
• Protocol: ICMP
• Source: Any (allows traffic from any device on your LAN)
• Destination: Your LAN subnet (e.g., 192.168.60.1/24)
• Action: Allow

If a device remains offline despite an active WAN connection, verify that ports 8883 (MQTT) and 443 (HTTPS) are not blocked by the firewall.

For detailed instructions on configuring firewall rules in QuWAN Orchestrator, see the Firewall and Traffic Mapping section in the QuWAN and QuWAN Orchestrator Web Help.

To modify service ports, perform the following actions:

• For QuWAN vRouter, log in to QuWAN Orchestrator, select your organization and device, and then go to Service Management. For details, see the Service Management section in the QuWAN and QuWAN Orchestrator Web Help.
  
• For QNAP routers, log in to QuRouter, and go to  Service Port Management. For details, see the Service Port Management section in the QuRouter Web Help for QHora Routers or QuRouter Web Help for QHora Routers.

Further Reading

• QuWAN Orchestrator Web Help 
• QuRouter Web Help for QHora Routers
• QuRouter Web Help for QHora Routers

Produtos Aplicáveis

QuWAN Orchestrator

Detalhes

Este FAQ aborda métodos comuns de configuração de Firewall para definições correspondentes quando a conexão VPN mesh falha:

Melhores Práticas

Para procedimento detalhado de criação ou modificação de uma regra de Firewall , consulte Configurações de Firewall no Ajuda online do QuWAN e QuWAN Orchestrator .

1. Desconectado de QuWAN Orchestrator

Problema: Você não pode conectar à interface de gestão do QuWAN Orchestrator .

Solução: Certifique-se de que o Firewall permite comunicação na porta 8883 (TCP) com o QuWAN Orchestrator usando a seguinte configuração.

• Fonte: Clique em Definir para especificar o endereço IP ou sub-rede do QuWAN Orchestrator
• Protocolo: TCP
• Portas de Origem: 8883
• Destino: Qualquer
• Ação: Permitir

2. Desconectado do servidor VPN QuWAN QBelt

Problema: Você não pode estabelecer uma conexão VPN com o servidor VPN QuWAN QBelt.

Solução: Certifique-se de que o Firewall permite comunicação com o QuWAN Orchestrator usando as regras configuradas a seguir.

1. Regra 1 (Tráfego de entrada):
   • Fonte: Clique em Definir para especificar a conexão de origem
   • Protocolo: UDP
   • Portas de Origem: 5533
   • Destino: Qualquer
   • Ação: Permitir
2. Regra 2 (Tráfego de saída):
   • Fonte: Clique em Definir para especificar os detalhes do dispositivo remoto
   • Protocolo: UDP
   • Portas de Origem: Qualquer
   • Destino: 5533
   • Ação: Permitir

3. Tráfego VPN Mesh Site-to-Site Bloqueado

Problema: A transferência de dados entre o VPN mesh site-to-site está bloqueada.

Solução: Para garantir que o tráfego utilizado pelo serviço Mesh VPN possa passar pelo Firewall , crie duas regras de Firewall permitindo as portas UDP necessárias.

1. Regra 1 (Tráfego de entrada):
   • Origem: Clique em Definir para especificar a conexão de origem
   • Protocolo: UDP
   • Portas de Origem: 500, 4500 (Vá à página de Gestão de Serviço para determinar se outras portas de Traversal NAT IPSec são necessárias), 5555, 7788
   • Destino: Qualquer
   • Ação: Permitir
2. Regra 2 (Tráfego de saída):
   • Origem: Qualquer
   • Protocolo: UDP
   • Portas de Origem: Qualquer
   • Destino: 500, 4500 (Vá à página de Gestão de Serviço para determinar se outras portas de Traversal NAT IPSec são necessárias), 5555, 7788
   • Ação: Permitir

4. Pedidos de Ping Falhados de Dispositivos LAN

Problema: Não consegue fazer ping à internet a partir dos seus dispositivos LAN. 

Solução: Garanta que a regra de Firewall permite tráfego ICMP da sua rede LAN para a internet.

• Destino: Clique em Definir para especificar o endereço do gateway de internet
• Protocolo: ICMP
• Origem: Qualquer (permite tráfego de qualquer dispositivo na sua LAN)
• Destino: A sua sub-rede LAN (ex., 192.168.60.1/24)
• Ação: Permitir

Notas Adicionais

• Substitua a sub-rede LAN 192.168.60.1/24 pelo endereço real da sua sub-rede LAN.
• A porta de Traversal NAT IPSec depende do papel do dispositivo QuWAN:
  • Hub : A porta padrão é 4500. Adicione esta porta à lista de portas de origem na regra 2 (saída) se aplicável.
  • Edge : Usa um número de porta aleatório entre 61001-61999. Permita todas as portas neste intervalo para tráfego de origem da interface WAN na regra 2 (saída) se necessário.