Como posso configurar uma VPN site-to-site entre os dispositivos QuWAN e UniFi®?
Data da última modificação:
2025-02-18
Produtos aplicáveis
- QuWAN Orchestrator
- QuRouter 2.4.0 e versões posteriores
- Dispositivo UniFi®
Detalhes
Este guia detalha as etapas para estabelecer uma ligação VPN site-to-site entre um dispositivo QuWAN e um UniFi® Dream Machine (UDM) Pro. Embora o ecossistema UniFi® ofereça vários dispositivos com funcionalidade de VPN site-to-site, este tutorial centrar-se-á especificamente no UDM Pro para efeitos de demonstração.
Importante
- A VPN QuWAN site-to-site apenas suporta IKEv2.
- Ambos os dispositivos (dispositivos QuWAN e UniFi®) devem utilizar as mesmas definições de configuração para a VPN funcionar corretamente.
- O seu dispositivo QNAP deve ser adicionado ao QuWAN Orchestrator antes de configurar a VPN site-to-site. Consulte a Ajuda do QuWAN e do QuWAN Orchestrator para adicionar o seu dispositivo: Configuração | Ajuda do QuWAN e do QuWAN Orchestrator (qnap.com)
Aviso
A implementação de uma VPN site-to-site introduz uma complexidade adicional na sua rede. Certifique-se de que compreende as implicações de segurança antes de o ativar.
Procedimento
Configuração da VPN site-to-site no dispositivo UniFi®
- Inicie sessão na interface de internet UDM Pro.
- Aceda a Definições > VPN > VPN Site-to-Site.
- Configure as definições da ligação VPN.
Definição Ação do utilizador Tipo de VPN Selecione IPsec. Nome Atribua um nome descritivo para identificar facilmente esta ligação VPN (por exemplo, VPN QuWAN Site-to-Site). Chave pré-partilhada Estabeleça uma chave pré-partilhada forte e única. IP local Introduza o endereço IP local do seu dispositivo UDM Pro. IP remoto/anfitrião Especifique o endereço IP público ou nome do anfitrião do dispositivo gateway remoto ao qual pretende ligar. Tipo de VPN Selecione Baseado em rotas para estabelecer uma ligação VPN para sub-redes de rede específicas. Rede(s) remota(s) Defina a(s) sub-rede(s) da rede remota a que pretende aceder, utilizando a notação CIDR (por exemplo, 192.168.150.0/24). 
- Junto a Configurações Avançadas, selecione Manual.
- Selecione IPsec como a versão de troca de chave.
- Configure as definições IKEv2 com base no exemplo fornecido abaixo.ImportanteO dispositivo remoto deve adotar as mesmas definições.
Definição Ação do utilizador Exemplo de valor Encriptação Selecione um algoritmo IKE. AES-128 Hash Escolha uma função IKE hash segura. SHA256 Grupo DH Selecione um grupo Diffie-Hellman (DH). 14 Tempo de vida do IKE Defina o tempo de vida de IKE SA. 28800 - Configure as definições ESP com base no exemplo fornecido abaixo.
Definição Ação do utilizador Exemplo de valor Encriptação Selecione um algoritmo ESP. AES-128 Hash Escolha uma função ESP hash segura. SHA256 Grupo DH Selecione um grupo Diffie-Hellman (DH). 14 Tempo de vida do ESP Defina o tempo de vida de ESP SA. 3600 
- Clique em Adicionar.
O UDM Pro aplica a configuração.
Configuração da VPN site-to-site no QuWAN Orchestrator
- Inicie sessão no QuWAN Orchestrator com as suas credenciais QNAP ID.
- Selecione a sua organização.
- Aceda a Topologia do QuWAN > VPN baseada em rotas.
- Clique em Criar Nova Ligação.
É exibida a janela Criar Nova Ligação. - Configure as definições da ligação VPN baseada em rotas.
Definição Descrição Nome da ligação Atribua um nome descritivo (por exemplo, VPN UniFi Site-to-Site) Modo IPsec Selecione Modo de Túnel. Hub Designe o hub adequado para a ligação. Interface da WAN Introduza a interface WAN pretendida. IP remoto ou nome do anfitrião Especifique o endereço IP público ou nome do anfitrião do dispositivo gateway remoto. Testar Ligação (Opcional) Clique no botão para fazer ping ao IP/nome do anfitrião para confirmar a ligação. Chave pré-partilhada Estabeleça uma chave pré-partilhada forte, garantindo uma configuração idêntica na gateway remota. - Configure as definições avançadas da ligação VPN baseada em rotas.
Definição Ação do utilizador Exemplo de valor Internet Key Exchange (IKE) Versão Selecione IKEv2. - Algoritmo de autenticação Selecione um algoritmo de autenticação robusto. AES-128 Encriptação Selecione um método de encriptação forte. AES-128 Grupo DH Selecione um grupo DH. 14 Tempo de vida de Security Association (SA) Defina a duração da IKE Security Association (SA) para reduzir os riscos criptográficos associados à exposição de chaves. 480 ID Local (Opcional) No caso de ser utilizado um serviço de DNS dinâmico (DDNS) para a ligação VPN baseada em rotas, deve ser fornecido o ID local. - Encapsulating Security Payload (ESP) Algoritmo de autenticação Selecione um algoritmo de autenticação. SHA-256 Encriptação Selecione um método de encriptação. AES-128 Ativar Perfect Forward Secrecy (PFS) Marque a caixa para gerar uma nova chave DH. - Grupo DH Especifique um grupo DH. 14 Tempo de vida de Security Association (SA) Defina a duração do tempo de vida da SA. 60 minutos Ativar Dead Peer Detection (DPD) Marque a caixa para identificar e responder a falhas de dispositivos de pares. - Tempo limite de DPD Especifique o valor do tempo limite DPD. 10 segundos - Selecione a caixa de verificação junto a Ativar o modo NAT, para garantir que a ligação VPN funciona corretamente mesmo quando estão presentes dispositivos NAT na rede.
- Especifique o endereço IP do túnel local para facilitar NAT Traversal.
- Em Sub-redes do local, clique em Adicionar Sub-rede e defina a sub-rede interna da rede remota a que pretende aceder.
- Clique em Guardar.
Se a ligação VPN baseada em rotas for bem sucedida, o campo Estado apresenta o estado Ligado.
Leitura adicional
Gateway UniFi® - VPN IPsec Site-to-Site com Gateways de terceiros (Avançado)
