Hur konfigurerar jag plats-till-plats-VPN mellan en QuWAN-enhet och en UniFi®-enhet?
Senaste ändringsdatum:
2025-02-18
Berörda produkter
- QuWAN Orchestrator
- QuRouter 2.4.0 och senare versioner
- UniFi®-enhet
Information
Den här vägledningen beskriver stegen för att upprätta en plats-till-plats-VPN-anslutning mellan en QuWAN-enhet och en UniFi® Dream Machine (UDM) Pro. Även om UniFi®-ekosystemet erbjuder olika enheter med plats-till-plats-VPN-funktioner fokuserar den här vägledningen specifikt på UDM Pro i syfte att demonstrera.
Viktigt!
- QuWAN har endast stöd för IKEv2 i sitt plats-till-plats-VPN.
- Båda enheterna (QuWAN-enheten och UniFi®-enheterna) måste använda samma konfigurationsinställningar för att VPN ska fungera korrekt.
- Din QNAP-enhet måste läggas till i QuWAN Orchestrator innan du konfigurerar plats-till-plats-VPN-tjänsten. I hjälpdokumentationen till QuWAN och QuWAN Orchestrator finns information om att lägga till din enhet: Konfiguration | Hjälpdokumentation för QuWAN och QuWAN Orchestrator (qnap.com)
Varning
Att implementera plats-till-plats-VPN lägger till ytterligare komplexitet i ditt nätverk. Var säker på att du förstår säkerhetskonsekvenserna innan du aktiverar det.
Procedur
Plats-till-plats-VPN-konfiguration på UniFi®-enheten
- Logga in på UDM Pro-webbgränssnittet.
- Gå till Inställningar > VPN > plats-till-plats-VPN.
- Konfigurera VPN-anslutningens inställningar.
Inställning Användaråtgärd VPN-typ Välj IPsec. Namn Tilldela ett beskrivande namn för att enkelt identifiera den här VPN-anslutningen (QuWAN plats-till-plats-VPN). I förväg delad nyckel Skapa en stark och unik i förväg delad nyckel. Lokal IP-adress Ange den lokala IP-adressen till din UDM Pro-enhet. Fjärransluten IP/värd Ange den publika IP-adressen eller värdnamnet för den fjärranslutna gatewayen som du vill ansluta till. VPN-typ Välj Vägbaserad för att upprätta en VPN-anslutning för specifika nätverks-subnät. Fjärranslutna nätverk Definiera subnät(en) för det fjärranslutna nätverk du vill komma åt, med CIDR-notation (t.ex. 192.168.150.0/24). 
- Bredvid Avancerad konfiguration; välj Manuellt.
- Välj IPsec som nyckelutbytesversion.
- Konfigurera IKEv2-inställningarna baserat på nedan exempel.Viktigt!Den fjärranslutna enheten måste använda samma inställningar.
Inställning Användaråtgärd Exempelvärde Kryptering Välj en IKE-algoritm. AES-128 Hash Välj en säker IKE-hashfunktion. SHA256 DH-grupp Välj en Diffie-Hellman-grupp (DH). 14 IKE-livslängd Ställ in IKE-sa-livslängd. 28800 - Konfigurera ESP-inställningarna baserat på nedan exempel.
Inställning Användaråtgärd Exempelvärde Kryptering Välj en ESP-algoritm. AES-128 Hash Välj en säker ESP-hashfunktion. SHA256 DH-grupp Välj en Diffie-Hellman-grupp (DH). 14 ESP-livslängd Ställ in ESP-sa-livslängd. 3600 
- Klicka på Lägg till.
UDM Pro tillämpar konfigurationen.
Plats-till-plats-VPN-konfiguration i QuWAN Orchestrator
- Logga in på QuWAN Orchestrator med dina QNAP ID-uppgifter.
- Välj din organisation.
- Gå till QuWAN-topologi > Vägbaserad VPN.
- Klicka på Skapa ny anslutning.
Fönstret Skapa ny anslutning visas. - Konfigurera inställningarna för den vägbaserade VPN-anslutningen.
Inställning Beskrivning Anslutningsnamn Tilldela ett beskrivande namn (t.ex. UniFi-plats-till-plats-VPN-tjänst). IPsec-läge Välj Tunnelläge. Hubb Utse lämplig hubb för anslutningen. WAN-gränssnitt Ange önskat WAN-gränssnitt. Fjärr-IP eller värdnamn Ange den publika IP-adressen eller värdnamnet för den fjärranslutna gatewayen. Testa anslutning (valfritt) Klicka på knappen för att pinga IP/värdnamnet och på så sätt bekräfta anslutningen. I förväg delad nyckel Upprätta en stark i förväg delad nyckel och säkerställ identisk konfiguration på den fjärranslutna gatewayen. - Konfigurera de avancerade inställningarna för den vägbaserade VPN-anslutningen.
Inställning Användaråtgärd Exempelvärde IKE (Internet Key Exchange) Version Välj IKEv2. - Autentiseringsalgoritm Välj en robust autentiseringsalgoritm. AES-128 Kryptering Välj en stark krypteringsmetod. AES-128 DH-grupp Välj en säker DH-grupp. 14 Säkerhetsassociationens (SA, Security Association) livslängd Definiera längden på IKE-säkerhetsassociationen (SA, Security Association) för att minska de kryptografiska risker som är förknippade med nyckelexponering. 480 Lokalt ID (valfritt) Om en DDNS-tjänst (Dynamic DNS) ska användas för den vägbaserade VPN-anslutningen måste det lokala ID-numret anges. - Inkapsling av säkerhetsnyttolast (ESP, Encapsulating Security Payload) Autentiseringsalgoritm Välj en autentiseringsalgoritm. SHA-256 Kryptering Välj en krypteringsmetod. AES-128 Aktivera perfekt sekretess vid vidarebefordran (PFS, Perfect Forward Secrecy) Markera rutan för att generera en ny DH-nyckel. - DH-grupp Ange en säker DH-grupp. 14 Säkerhetsassociationens (SA, Security Association) livslängd Definiera varaktigheten för SA-livslängd. 60 minuter Aktivera identifiering av icke aktiv peer (DPD, Dead Peer Detection) Markera rutan för identitet och svara på peer-enhetsavbrott. - DPD-timeout Ange värdet för DPD-timeout. 10 sekunder - Välj kryssrutan bredvid Aktivera NAT-läge för att säkerställa att VPN-anslutningen fungerar korrekt även när det finns NAT-enheter i nätverket.
- Ange den lokala tunnelns IP-adress för att underlätta NAT-traversering.
- Under Platsens subnät; klicka på Lägg till subnät och definiera det interna subnätet för det fjärrnätverk du vill komma åt.
- Klicka på Spara.
Om den vägbaserade VPN-anslutningen lyckas visar fältet Status statusen Ansluten.
Läs mer
UniFi®-gateway – IPsec-plats-till-plats-VPN gateways från tredje part (avancerat)
