Applicable Products
- QuWAN Orchestrator
- QuRouter 2.4.4 and later versions
Details
To utilize QuWAN services, configure the necessary service ports on the third-party firewall device.
The network topology depicted in the image illustrates a hub-and-edge SD-WAN deployment leveraging QNAP's QuWAN infrastructure. The key components and their roles are as follows:
QuRouter (QNAP router): Positioned at the network perimeter, this device connects to a third-party firewall device and functions as either a hub for internal traffic or an edge device for external connectivity, depending on the deployment. Third-party firewall: Situated behind the QNAP router, this firewall enforces security policies, regulates network traffic, and manages access control.
Best Practices
To ensure seamless connectivity to QuWAN Orchestrator, configure the following firewall rules on all routers in your network topology before accessing Orchestrator from a client device (such as a browser). These settings enable secure VPN communication, proper traffic routing, and uninterrupted access to QuWAN services.
1. Configure Firewall Rules for QuWAN Orchestrator
- Source: Any
- Protocol: TCP
- Destination ports: 8883 (MQTT), 443 (HTTPS)
2. Configure Firewall Rules for QuWAN QBelt VPN Server
| Traffic Type | Source | Protocol | Source Ports | Destination | Destination Ports | Action |
|---|
| Outbound | Click Define to specify the source connection | UDP | 5533 (QuWAN QBelt VPN Server) | Any | - | Allow |
| Inbound | Click Define to specify the remote device details | UDP | Any | - | 5533 (QuWAN QBelt VPN Server) | Allow |
To add a new firewall rule in QuWAN Orchestrator, see the "Adding a device firewall rule" topic in the QuWAN and QuWAN Orchestrator Web Help.
Note
The default port for QuWAN QBelt VPN is 5533, but it can be changed. To check the router service ports in QuWAN Orchestrator, select your organization and device, and then go to Service Management.
3. Configure Firewall Rules for Mesh VPN Site-to-Site Traffic
When using QuRouter in a mesh VPN setup, you must configure firewall rules on a third-party firewall device to allow site-to-site VPN traffic. These rules ensure that IPSec communication between the hub and edge sites is not blocked, enabling secure VPN tunnel establishment.
On the third-party firewall device, allow inbound and outbound UDP traffic on the following ports:
- 500 (ISAKMP/IKE): Used for key exchange in IPSec VPN connections.
- 4500 (IPSec NAT Traversal): Used when VPN traffic traverses NAT devices.
- 61001-61999 (Dynamic high ports for IPSec NAT Traversal): Required for certain IPSec configurations.
Configure the firewall rules as follows:
- Inbound traffic: Allow VPN packets from remote sites to reach the firewall.
- Outbound traffic: Permit VPN packets to be sent to remote sites without interference.
Properly configuring these rules on the third-party firewall device ensures uninterrupted VPN connectivity between mesh sites.
| QuRouter Role | Hub | Edge |
|---|
| Protocol | UDP | UDP |
| Inbound traffic | - Source ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
| - Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
|
| Outbound traffic | - Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
| - Source ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
- Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
|
Note
- * The default port for hubs and edge devices is 4500.
- * The system selects a random port between 61001-61999. To check the router service ports, select your organization and device in QuWAN Orchestrator, and then go to Service Management and review the port details in IPSec NAT Traversal.
Important
To determine if additional IPSec NAT traversal ports are required, select your organization and device in QuWAN Orchestrator, and then go to Service Management.
4. Allow IP Ranges for QuWAN Communication
To ensure proper communication between QuWAN Orchestrator and your existing firewall services, it is essential to configure your firewall and router to allow specific IP ranges related to QuWAN. The router plays a crucial role by routing traffic between your local network and external networks, while the firewall filters and permits necessary QuWAN-related traffic to ensure secure and uninterrupted communication. Without proper configuration, you may encounter disruptions.
Follow the steps below to add the necessary QuWAN-related IP ranges to your firewall's allow list:
- QuWAN VPN tunnel
- Add
198.19.0.0/16 to your firewall's allow list to ensure that VPN tunnel connections established by QuWAN are not blocked:
- QuWAN LAN IP subnet
- Identify the LAN IP subnet of your QuWAN deployment and include it in your firewall's allow list.
- To locate the LAN IP subnet, navigate to QuWAN Device > System Status > Network > LAN Details in the QuWAN Orchestrator interface.
By configuring both your firewall and router with these settings, you can ensure proper traffic routing, secure filtering, and uninterrupted communication between QuWAN services and your network, minimizing potential disruptions caused by blocked traffic.
For further assistance, refer to the QuWAN Orchestrator documentation or contact QNAP Customer Service.
Additional Notes
To enable internet pings from LAN to WAN, add a firewall rule:
- Destination: Click Define to specify the internet gateway address
- Protocol: ICMP
- Source: Any (allows traffic from any device on your LAN)
- Destination: Your LAN subnet (e.g., 192.168.60.1/24)
- Action: Allow
If a device remains offline despite an active WAN connection, verify that ports 8883 (MQTT) and 443 (HTTPS) are not blocked by the firewall.
For detailed instructions on configuring firewall rules in QuWAN Orchestrator, see the Firewall and Traffic Mapping section in the QuWAN and QuWAN Orchestrator Web Help.
To modify service ports, perform the following actions:
Further Reading
ผลิตภัณฑ์ที่ใช้ได้
- QuWAN Orchestrator
- QuRouter 2.4.4 and later versions
รายละเอียด
ในการใช้บริการ QuWAN ให้กำหนดค่า port บริการที่จำเป็นบนอุปกรณ์ ไฟร์วอลล์ ของบุคคลที่สาม
โครงสร้างเครือข่ายที่แสดงในภาพแสดงการปรับใช้ SD-WAN แบบ hub-and-edge โดยใช้โครงสร้างพื้นฐาน QuWAN ของ QNAP ส่วนประกอบหลักและบทบาทของพวกเขามีดังนี้:
QuRouter (เราเตอร์ QNAP): วางตำแหน่งที่ขอบเครือข่าย อุปกรณ์นี้เชื่อมต่อกับอุปกรณ์ ไฟร์วอลล์ ของบุคคลที่สามและทำหน้าที่เป็น ฮับ สำหรับการจราจรภายในหรืออุปกรณ์ อุปกรณ์ปลายทาง (Edge) สำหรับการเชื่อมต่อภายนอก ขึ้นอยู่กับการปรับใช้ อุปกรณ์ ไฟร์วอลล์ ของบุคคลที่สาม: ตั้งอยู่หลังเราเตอร์ QNAP, ไฟร์วอลล์ นี้บังคับใช้นโยบายความปลอดภัย, ควบคุมการจราจรเครือข่าย, และจัดการ การควบคุมการเข้าถึง.
แนวทางปฏิบัติที่ดีที่สุด
เพื่อให้แน่ใจว่าการเชื่อมต่อกับ QuWAN Orchestrator เป็นไปอย่างราบรื่น ให้กำหนดกฎ ไฟร์วอลล์ ต่อไปนี้บนเราเตอร์ทั้งหมดในโครงสร้างเครือข่ายของคุณก่อนที่จะเข้าถึง Orchestrator จากอุปกรณ์ลูกค้า (เช่น เบราว์เซอร์) การตั้งค่าเหล่านี้ช่วยให้การสื่อสาร VPN ปลอดภัย, การกำหนดเส้นทางการจราจรที่เหมาะสม, และการเข้าถึงบริการ QuWAN อย่างไม่ขาดตอน
1. กำหนดกฎ ไฟร์วอลล์ สำหรับ QuWAN Orchestrator
- แหล่งที่มา: ใดๆ
- โปรโตคอล: TCP
- พอร์ตปลายทาง: 8883 (MQTT), 443 (HTTPS)
2. กำหนดกฎ ไฟร์วอลล์ สำหรับ QuWAN QBelt VPN Server
| ประเภทการจราจร | แหล่งที่มา | โปรโตคอล | พอร์ตแหล่งที่มา | ปลายทาง | พอร์ตปลายทาง | การกระทำ |
|---|
| ขาออก | คลิกกำหนดเพื่อระบุการเชื่อมต่อแหล่งที่มา | UDP | 5533 (QuWAN QBelt VPN Server) | ใดๆ | - | อนุญาต |
| ขาเข้า | คลิกกำหนดเพื่อระบุรายละเอียดอุปกรณ์ระยะไกล | UDP | ใดๆ | - | 5533 (QuWAN QBelt VPN Server) | อนุญาต |
ในการเพิ่มกฎ ไฟร์วอลล์ ใหม่ใน QuWAN Orchestrator ดูหัวข้อ "การเพิ่มกฎอุปกรณ์ ไฟร์วอลล์" ใน QuWAN และ QuWAN Orchestrator Web Help
หมายเหตุ
พอร์ตเริ่มต้นสำหรับ QuWAN QBelt VPN คือ 5533 แต่สามารถเปลี่ยนได้ เพื่อตรวจสอบพอร์ตบริการของเราเตอร์ใน QuWAN Orchestrator ให้เลือกองค์กรและอุปกรณ์ของคุณ จากนั้นไปที่การจัดการบริการ.
3. กำหนดกฎ ไฟร์วอลล์ สำหรับการจราจร VPN แบบไซต์ต่อไซต์
เมื่อใช้ QuRouter ในการตั้งค่า VPN แบบ mesh คุณต้องกำหนดกฎ ไฟร์วอลล์ บนอุปกรณ์ ไฟร์วอลล์ ของบุคคลที่สามเพื่ออนุญาตการจราจร VPN แบบไซต์ต่อไซต์ กฎเหล่านี้ทำให้แน่ใจว่าการสื่อสาร IPSec ระหว่างไซต์ ฮับ และ อุปกรณ์ปลายทาง (Edge) ไม่ถูกบล็อก ทำให้สามารถสร้างช่องทาง VPN ที่ปลอดภัยได้
บนอุปกรณ์ ไฟร์วอลล์ ของบุคคลที่สาม อนุญาตการจราจร UDP ขาเข้าและขาออกบนพอร์ตต่อไปนี้:
- 500 (ISAKMP/IKE):ใช้สำหรับการแลกเปลี่ยนคีย์ในการเชื่อมต่อ VPN IPSec
- 4500 (IPSec NAT Traversal):ใช้เมื่อการจราจร VPN ผ่านอุปกรณ์ NAT
- 61001-61999 (พอร์ตสูงแบบไดนามิกสำหรับ IPSec NAT Traversal):จำเป็นสำหรับการกำหนดค่า IPSec บางอย่าง
กำหนดกฎ ไฟร์วอลล์ ดังนี้:
- การจราจรขาเข้า:อนุญาตแพ็กเก็ต VPN จากไซต์ระยะไกลให้ถึง ไฟร์วอลล์
- การจราจรขาออก:อนุญาตให้แพ็กเก็ต VPN ถูกส่งไปยังไซต์ระยะไกลโดยไม่มีการแทรกแซง
การกำหนดค่ากฎเหล่านี้อย่างถูกต้องบนอุปกรณ์ ไฟร์วอลล์ ของบุคคลที่สามทำให้แน่ใจว่าการเชื่อมต่อ VPN ระหว่างไซต์ mesh ไม่ถูกขัดจังหวะ
| บทบาทของ QuRouter | ฮับ | อุปกรณ์ปลายทาง (Edge) |
|---|
| โปรโตคอล | UDP | UDP |
| การจราจรขาเข้า | - พอร์ตแหล่งที่มา: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
- พอร์ตปลายทาง: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
| - พอร์ตแหล่งที่มา: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- พอร์ตปลายทาง: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
|
| การจราจรขาออก | - พอร์ตแหล่งที่มา: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
- พอร์ตปลายทาง: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)
| - พอร์ตแหล่งที่มา: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
- พอร์ตปลายทาง: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)
|
หมายเหตุ
- * พอร์ตเริ่มต้นสำหรับอุปกรณ์ ฮับ และ อุปกรณ์ปลายทาง (Edge) คือ 4500
- * ระบบจะเลือกพอร์ตแบบสุ่มระหว่าง 61001-61999 เพื่อตรวจสอบพอร์ตบริการของเราเตอร์ ให้เลือกองค์กรและอุปกรณ์ของคุณใน QuWAN Orchestrator จากนั้นไปที่ การจัดการบริการ และตรวจสอบรายละเอียดพอร์ตใน IPSec NAT Traversal.
สำคัญ
เพื่อตรวจสอบว่าจำเป็นต้องมีพอร์ตการเดินทาง NAT IPSec เพิ่มเติมหรือไม่ ให้เลือกองค์กรและอุปกรณ์ของคุณใน QuWAN Orchestrator จากนั้นไปที่การจัดการบริการ.
4. อนุญาตช่วง IP สำหรับการสื่อสาร QuWAN
เพื่อให้แน่ใจว่าการสื่อสารระหว่าง QuWAN Orchestrator และบริการ ไฟร์วอลล์ ที่มีอยู่ของคุณเป็นไปอย่างถูกต้อง จำเป็นต้องกำหนดค่า ไฟร์วอลล์ และเราเตอร์ของคุณเพื่ออนุญาตช่วง IP เฉพาะที่เกี่ยวข้องกับ QuWAN เราเตอร์มีบทบาทสำคัญโดยการกำหนดเส้นทางการจราจรระหว่างเครือข่ายท้องถิ่นของคุณและเครือข่ายภายนอก ในขณะที่ ไฟร์วอลล์ กรองและอนุญาตการจราจรที่เกี่ยวข้องกับ QuWAN ที่จำเป็นเพื่อให้แน่ใจว่าการสื่อสารที่ปลอดภัยและไม่ขาดตอน หากไม่มีการกำหนดค่าที่เหมาะสม คุณอาจพบการหยุดชะงัก
ทำตามขั้นตอนด้านล่างเพื่อเพิ่มช่วง IP ที่เกี่ยวข้องกับ QuWAN ที่จำเป็นในรายการอนุญาตของ ไฟร์วอลล์ ของคุณ:
- ช่องทาง VPN QuWAN
- เพิ่ม
198.19.0.0/16ในรายการอนุญาตของ ไฟร์วอลล์ ของคุณเพื่อให้แน่ใจว่าการเชื่อมต่อช่องทาง VPN ที่สร้างโดย QuWAN ไม่ถูกบล็อก:
- ซับเน็ต IP LAN ของ QuWAN
- ระบุซับเน็ต IP LAN ของการปรับใช้ QuWAN ของคุณและรวมไว้ในรายการอนุญาตของ ไฟร์วอลล์ ของคุณ
- เพื่อค้นหาซับเน็ต IP LAN ให้ไปที่อุปกรณ์ QuWAN>สถานะระบบ>เครือข่าย>รายละเอียด LANในอินเทอร์เฟซ QuWAN Orchestrator
โดยการกำหนดค่าทั้ง ไฟร์วอลล์ และเราเตอร์ของคุณด้วยการตั้งค่าเหล่านี้ คุณสามารถมั่นใจได้ว่าการกำหนดเส้นทางการจราจรที่เหมาะสม, การกรองที่ปลอดภัย, และการสื่อสารที่ไม่ขาดตอนระหว่างบริการ QuWAN และเครือข่ายของคุณ ลดการหยุดชะงักที่อาจเกิดจากการจราจรที่ถูกบล็อก
สำหรับความช่วยเหลือเพิ่มเติม โปรดดูเอกสาร QuWAN Orchestrator หรือติดต่อ บริการลูกค้า QNAP
หมายเหตุเพิ่มเติม
เพื่อเปิดใช้งานการ ping อินเทอร์เน็ตจาก LAN ไปยัง WAN ให้เพิ่มกฎ ไฟร์วอลล์:
- ปลายทาง: คลิกกำหนดเพื่อระบุที่อยู่เกตเวย์อินเทอร์เน็ต
- โปรโตคอล: ICMP
- แหล่งที่มา: ใดๆ (อนุญาตการจราจรจากอุปกรณ์ใดๆ บน LAN ของคุณ)
- ปลายทาง: ซับเน็ต LAN ของคุณ (เช่น 192.168.60.1/24)
- การกระทำ: อนุญาต
หากอุปกรณ์ยังคงออฟไลน์แม้ว่าจะมีการเชื่อมต่อ WAN ที่ใช้งานอยู่ ให้ตรวจสอบว่าพอร์ต 8883 (MQTT) และ 443 (HTTPS) ไม่ถูกบล็อกโดย ไฟร์วอลล์
สำหรับคำแนะนำโดยละเอียดเกี่ยวกับการกำหนดค่ากฎ ไฟร์วอลล์ ใน QuWAN Orchestrator ดูในส่วน ไฟร์วอลล์และการแมปการจราจร ใน QuWAN และ QuWAN Orchestrator Web Help
ในการแก้ไขพอร์ตบริการ ให้ดำเนินการดังต่อไปนี้:
การอ่านเพิ่มเติม
