Bu içerik makine çevirisidir. Lütfen Makine Çevirisi Sorumluluk Reddi metnine bakın.

How to effectively connect a QuWAN device with third-party firewall solutions?

QuWAN cihazını üçüncü taraf Güvenlik Duvarı çözümleriyle etkili bir şekilde nasıl bağlayabilirim?

Last modified date: 2025-04-10

Applicable Products

QuWAN Orchestrator
QuRouter 2.4.4 and later versions

Details

To utilize QuWAN services, configure the necessary service ports on the third-party firewall device.

The network topology depicted in the image illustrates a hub-and-edge SD-WAN deployment leveraging QNAP's QuWAN infrastructure. The key components and their roles are as follows:

QuRouter (QNAP router): Positioned at the network perimeter, this device connects to a third-party firewall device and functions as either a hub for internal traffic or an edge device for external connectivity, depending on the deployment. Third-party firewall: Situated behind the QNAP router, this firewall enforces security policies, regulates network traffic, and manages access control.

Best Practices

To ensure seamless connectivity to QuWAN Orchestrator, configure the following firewall rules on all routers in your network topology before accessing Orchestrator from a client device (such as a browser). These settings enable secure VPN communication, proper traffic routing, and uninterrupted access to QuWAN services.

1. Configure Firewall Rules for QuWAN Orchestrator

Source: Any
Protocol: TCP
Destination ports: 8883 (MQTT), 443 (HTTPS)

2. Configure Firewall Rules for QuWAN QBelt VPN Server

Traffic Type	Source	Protocol	Source Ports	Destination	Destination Ports	Action
Outbound	Click Define to specify the source connection	UDP	5533 (QuWAN QBelt VPN Server)	Any	-	Allow
Inbound	Click Define to specify the remote device details	UDP	Any	-	5533 (QuWAN QBelt VPN Server)	Allow

To add a new firewall rule in QuWAN Orchestrator, see the "Adding a device firewall rule" topic in the QuWAN and QuWAN Orchestrator Web Help.

Note

The default port for QuWAN QBelt VPN is 5533, but it can be changed. To check the router service ports in QuWAN Orchestrator, select your organization and device, and then go to Service Management.

3. Configure Firewall Rules for Mesh VPN Site-to-Site Traffic

When using QuRouter in a mesh VPN setup, you must configure firewall rules on a third-party firewall device to allow site-to-site VPN traffic. These rules ensure that IPSec communication between the hub and edge sites is not blocked, enabling secure VPN tunnel establishment.

On the third-party firewall device, allow inbound and outbound UDP traffic on the following ports:

500 (ISAKMP/IKE): Used for key exchange in IPSec VPN connections.
4500 (IPSec NAT Traversal): Used when VPN traffic traverses NAT devices.
61001-61999 (Dynamic high ports for IPSec NAT Traversal): Required for certain IPSec configurations.

Configure the firewall rules as follows:

Inbound traffic: Allow VPN packets from remote sites to reach the firewall.
Outbound traffic: Permit VPN packets to be sent to remote sites without interference.

Properly configuring these rules on the third-party firewall device ensures uninterrupted VPN connectivity between mesh sites.

QuRouter Role	Hub	Edge
Protocol	UDP	UDP
Inbound traffic	Source ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)	Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal)
Outbound traffic	Source ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Traversal)	Source ports: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Traversal) Destination ports: 500 (ISAKMP/IKE), 4500* (IPSec NAT Traversal)

Note

* The default port for hubs and edge devices is 4500.
* The system selects a random port between 61001-61999. To check the router service ports, select your organization and device in QuWAN Orchestrator, and then go to Service Management and review the port details in IPSec NAT Traversal.

Important

To determine if additional IPSec NAT traversal ports are required, select your organization and device in QuWAN Orchestrator, and then go to Service Management.

4. Allow IP Ranges for QuWAN Communication

To ensure proper communication between QuWAN Orchestrator and your existing firewall services, it is essential to configure your firewall and router to allow specific IP ranges related to QuWAN. The router plays a crucial role by routing traffic between your local network and external networks, while the firewall filters and permits necessary QuWAN-related traffic to ensure secure and uninterrupted communication. Without proper configuration, you may encounter disruptions.

Follow the steps below to add the necessary QuWAN-related IP ranges to your firewall's allow list:

QuWAN VPN tunnel
- Add 198.19.0.0/16 to your firewall's allow list to ensure that VPN tunnel connections established by QuWAN are not blocked:
QuWAN LAN IP subnet
- Identify the LAN IP subnet of your QuWAN deployment and include it in your firewall's allow list.
- To locate the LAN IP subnet, navigate to QuWAN Device > System Status > Network > LAN Details in the QuWAN Orchestrator interface.

By configuring both your firewall and router with these settings, you can ensure proper traffic routing, secure filtering, and uninterrupted communication between QuWAN services and your network, minimizing potential disruptions caused by blocked traffic.

For further assistance, refer to the QuWAN Orchestrator documentation or contact QNAP Customer Service.

Additional Notes

To enable internet pings from LAN to WAN, add a firewall rule:

Destination: Click Define to specify the internet gateway address
Protocol: ICMP
Source: Any (allows traffic from any device on your LAN)
Destination: Your LAN subnet (e.g., 192.168.60.1/24)
Action: Allow

If a device remains offline despite an active WAN connection, verify that ports 8883 (MQTT) and 443 (HTTPS) are not blocked by the firewall.

For detailed instructions on configuring firewall rules in QuWAN Orchestrator, see the Firewall and Traffic Mapping section in the QuWAN and QuWAN Orchestrator Web Help.

To modify service ports, perform the following actions:

For QuWAN vRouter, log in to QuWAN Orchestrator, select your organization and device, and then go to Service Management. For details, see the Service Management section in the QuWAN and QuWAN Orchestrator Web Help.
For QNAP routers, log in to QuRouter, and go to Service Port Management. For details, see the Service Port Management section in the QuRouter Web Help for QHora Routers or QuRouter Web Help for QHora Routers.

Uygulanabilir Ürünler

QuWAN Orchestrator
QuRouter 2.4.4 and later versions

Detaylar

QuWAN hizmetlerini kullanmak için, üçüncü taraf Güvenlik Duvarı cihazında gerekli hizmet portlarını yapılandırın.

Resimde gösterilen ağ topolojisi, QNAP'ın QuWAN altyapısını kullanan bir hub-ve-kenar SD-WAN dağıtımını göstermektedir. Ana bileşenler ve rolleri aşağıdaki gibidir:

QuRouter (QNAP yönlendirici): Ağ çevresinde konumlandırılmış bu cihaz, üçüncü taraf bir Güvenlik Duvarı cihazına bağlanır ve dağıtıma bağlı olarak iç trafik için bir Merkez veya dış bağlantı için bir Edge cihazı olarak işlev görür. Üçüncü taraf Güvenlik Duvarı: QNAP yönlendiricisinin arkasında yer alan bu Güvenlik Duvarı, güvenlik politikalarını uygular, ağ trafiğini düzenler ve Erişim Denetimi yönetir.

En İyi Uygulamalar

QuWAN Orchestrator ile sorunsuz bağlantı sağlamak için, istemci cihazdan (örneğin bir tarayıcı) Orchestrator'a erişmeden önce ağ topolojinizdeki tüm yönlendiricilerde aşağıdaki Güvenlik Duvarı kurallarını yapılandırın. Bu ayarlar, güvenli VPN iletişimi, doğru trafik yönlendirmesi ve QuWAN hizmetlerine kesintisiz erişim sağlar.

1. QuWAN Orchestrator için Güvenlik Duvarı Kurallarını Yapılandırın

Kaynak: Herhangi
Protokol: TCP
Hedef portlar: 8883 (MQTT), 443 (HTTPS)

2. QuWAN QBelt VPN Sunucusu için Güvenlik Duvarı Kurallarını Yapılandırın

Trafik Türü	Kaynak	Protokol	Kaynak Portlar	Hedef	Hedef Portlar	Eylem
Giden	TıklayınTanımlayınkaynak bağlantıyı belirtmek için	UDP	5533 (QuWAN QBelt VPN Sunucusu)	Herhangi	-	İzin Ver
Gelen	TıklayınTanımlayınuzaktaki cihaz detaylarını belirtmek için	UDP	Herhangi	-	5533 (QuWAN QBelt VPN Sunucusu)	İzin Ver

QuWAN Orchestrator'de yeni bir Güvenlik Duvarı kuralı eklemek için, QuWAN ve QuWAN Orchestrator Web Yardımı'deki "Cihaz Güvenlik Duvarı kuralı ekleme" konusuna bakın.

Not

QuWAN QBelt VPN için varsayılan port 5533'tür, ancak değiştirilebilir. QuWAN Orchestrator'de yönlendirici hizmet portlarını kontrol etmek için, organizasyonunuzu ve cihazınızı seçin, ardındanHizmet Yönetimi.

3. Mesh VPN Site-to-Site Trafiği için Güvenlik Duvarı Kurallarını Yapılandırın

Mesh VPN kurulumunda QuRouter kullanırken, site-to-site VPN trafiğine izin vermek için üçüncü taraf bir Güvenlik Duvarı cihazında Güvenlik Duvarı kurallarını yapılandırmalısınız. Bu kurallar, Merkez ve Edge siteleri arasındaki IPSec iletişiminin engellenmemesini sağlar, güvenli VPN tüneli kurulmasını mümkün kılar.

Üçüncü taraf Güvenlik Duvarı cihazında, aşağıdaki portlarda gelen ve giden UDP trafiğine izin verin:

500 (ISAKMP/IKE):IPSec VPN bağlantılarında anahtar değişimi için kullanılır.
4500 (IPSec NAT Geçişi):VPN trafiği NAT cihazlarından geçtiğinde kullanılır.
61001-61999 (IPSec NAT Geçişi için Dinamik yüksek portlar):Bazı IPSec yapılandırmaları için gereklidir.

Güvenlik Duvarı kurallarını şu şekilde yapılandırın:

Gelen trafik:Uzaktaki sitelerden gelen VPN paketlerinin Güvenlik Duvarı'ye ulaşmasına izin verin.
Giden trafik:VPN paketlerinin uzaktaki sitelere müdahale olmadan gönderilmesine izin verin.

Üçüncü taraf Güvenlik Duvarı cihazında bu kuralları doğru bir şekilde yapılandırmak, mesh siteleri arasında kesintisiz VPN bağlantısını sağlar.

QuRouter Rolü	Merkez	Edge
Protokol	UDP	UDP
Gelen trafik	Kaynak portlar: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Geçişi) Hedef portlar: 500 (ISAKMP/IKE), 4500* (IPSec NAT Geçişi)	Kaynak portlar: 500 (ISAKMP/IKE), 4500* (IPSec NAT Geçişi) Hedef portlar: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Geçişi)
Giden trafik	Kaynak portlar: 500 (ISAKMP/IKE), 4500* (IPSec NAT Geçişi) Hedef portlar: 500 (ISAKMP/IKE), 4500/61xxx* (IPSec NAT Geçişi)	Kaynak portlar: 500 (ISAKMP/IKE), 61xxx* (IPSec NAT Geçişi) Hedef portlar: 500 (ISAKMP/IKE), 4500* (IPSec NAT Geçişi)

Not

* Merkez ve Edge cihazları için varsayılan port 4500'dür.
* Sistem, 61001-61999 arasında rastgele bir port seçer. Yönlendirici hizmet portlarını kontrol etmek için, organizasyonunuzu ve cihazınızı seçin QuWAN Orchestrator'de, ardından Hizmet Yönetimi'ne gidin ve port detaylarını IPSec NAT Geçişi'nde inceleyin.

Önemli

Ek IPSec NAT geçiş portlarının gerekli olup olmadığını belirlemek için, organizasyonunuzu ve cihazınızı QuWAN Orchestrator'de seçin, ardındanHizmet Yönetimi.

4. QuWAN İletişimi için IP Aralıklarına İzin Verin

QuWAN Orchestrator ile mevcut Güvenlik Duvarı hizmetleriniz arasında doğru iletişimi sağlamak için, Güvenlik Duvarı ve yönlendiricinizi QuWAN ile ilgili belirli IP aralıklarına izin verecek şekilde yapılandırmanız önemlidir. Yönlendirici, yerel ağınız ile dış ağlar arasında trafiği yönlendirerek önemli bir rol oynar, Güvenlik Duvarı ise gerekli QuWAN ile ilgili trafiği filtreler ve izin verir, böylece güvenli ve kesintisiz iletişim sağlanır. Doğru yapılandırma olmadan kesintilerle karşılaşabilirsiniz.

Aşağıdaki adımları izleyerek gerekli QuWAN ile ilgili IP aralıklarını Güvenlik Duvarı'nizin izin listesine ekleyin:

QuWAN VPN tüneli
- Ekle198.19.0.0/16QuWAN tarafından kurulan VPN tünel bağlantılarının engellenmemesini sağlamak için Güvenlik Duvarı'nizin izin listesine ekleyin:
QuWAN LAN IP alt ağı
- QuWAN dağıtımınızın LAN IP alt ağını belirleyin ve Güvenlik Duvarı'nizin izin listesine ekleyin.
- LAN IP alt ağını bulmak için,QuWAN Cihazı>Sistem Durumu>Ağ>LAN DetaylarıQuWAN Orchestrator arayüzünde.

Bu ayarlarla hem Güvenlik Duvarı'nizi hem de yönlendiricinizi yapılandırarak, QuWAN hizmetleri ile ağınız arasında doğru trafik yönlendirmesi, güvenli filtreleme ve kesintisiz iletişim sağlayabilirsiniz, engellenen trafik nedeniyle oluşabilecek potansiyel kesintileri en aza indirebilirsiniz.

Daha fazla yardım için, QuWAN Orchestrator belgelerine bakın veya QNAP Müşteri Hizmetleri ile iletişime geçin.

Ek Notlar

LAN'dan WAN'a internet pinglerini etkinleştirmek için bir Güvenlik Duvarı kuralı ekleyin:

Hedef: TıklayınTanımlayıninternet geçidi adresini belirtmek için
Protokol: ICMP
Kaynak: Herhangi (LAN'ınızdaki herhangi bir cihazdan gelen trafiğe izin verir)
Hedef: LAN alt ağınız (örneğin, 192.168.60.1/24)
Eylem: İzin Ver

Bir cihaz aktif bir WAN bağlantısına rağmen çevrimdışı kalırsa, 8883 (MQTT) ve 443 (HTTPS) portlarının Güvenlik Duvarı tarafından engellenmediğinden emin olun.

QuWAN Orchestrator'de Güvenlik Duvarı kurallarını yapılandırma hakkında ayrıntılı talimatlar için, Güvenlik Duvarı ve Trafik Haritalama bölümüne bakın QuWAN ve QuWAN Orchestrator Web Yardımı.

Hizmet portlarını değiştirmek için aşağıdaki işlemleri gerçekleştirin:

QuWAN vRouter için, QuWAN Orchestrator'e giriş yapın, organizasyonunuzu ve cihazınızı seçin, ardından Hizmet Yönetimi'ne gidin. Detaylar için, QuWAN ve QuWAN Orchestrator Web Yardımı'deki Hizmet Yönetimi bölümüne bakın.
QNAP yönlendiriciler için, QuRouter'a giriş yapın ve Hizmet Port Yönetimi'ne gidin. Detaylar için, QHora Yönlendiriciler için QuRouter Web Yardımı veya QHora Yönlendiriciler için QuRouter Web Yardımı'deki Hizmet Port Yönetimi bölümüne bakın.

Daha Fazla Okuma

Was this article helpful?

Yes. No.

Please tell us how this article can be improved:

The article is missing important information
The article's solutions do not work
The article is too complicated
The article contains incorrect information
The article is out-of-date

If you want to provide additional feedback, please include it below.

Depolama

Ağ Oluşturma

Genişletme Aksesuarları

Gözetim

NAS