如何設置將特定流量通過 QuWAN 防火牆服務?
最後修訂日期:
2025-04-10
適用產品
QuWAN Orchestrator
詳細資訊
此常見問題解決當網狀 VPN 連線失敗時,對相應設定的常見防火牆設置方法:
最佳做法
如需建立或修改防火牆規則的詳細流程,請參閱:QuWAN 與 QuWAN Orchestrator 線上說明的防火牆設定。
1.中斷與 QuWAN Orchestrator 的連線
問題:您無法連線至 QuWAN Orchestrator 管理介面。
解決方案:確保防火牆允許透過下列配置於連接埠 8883 (TCP) 與 QuWAN Orchestrator 通訊。
- 來源:按一下[定義]來指定 QuWAN Orchestrator 的 IP 位址或子網路
- 通訊協定:TCP
- 來源通訊埠:8883
- 目的地:任何
- 動作:允許
2.中斷與 QuWAN QBelt VPN 伺服器的連線
問題:您無法透過 QuWAN QBelt VPN 伺服器建立 VPN 連線。
解決方案:確保防火牆允許透過下列配置規則與 QuWAN Orchestrator 通訊。
- 規則 1 (輸入流量):
- 來源:按一下[定義]來指定來源連線
- 通訊協定:UDP
- 來源通訊埠:5533
- 目的地:任何
- 動作:允許
- 規則 2 (輸出流量):
- 來源:按一下[定義]來指定遠端裝置的詳細資訊。
- 通訊協定:UDP
- 來源通訊埠:任何
- 目的地:5533
- 動作:允許
3.封鎖的網狀 VPN 站對站流量
問題:站對站網狀 VPN 之間的資料傳輸被封鎖。
解決方案:為了確保網狀 VPN 服務使用的流量可以通過防火牆,請建立兩個防火牆規則來允許必要的 UDP 連接埠。
- 規則 1 (輸入流量):
- 來源:按一下[定義]來指定來源連線
- 通訊協定:UDP
- 來源通訊埠:500、4500 (進入服務管理頁面確定是否需要其他 IPSec NAT Traversal 連接埠)、5555、7788
- 目的地:任何
- 動作:允許
- 規則 2 (輸出流量):
- 來源:任何
- 通訊協定:UDP
- 來源通訊埠:任何
- 目的地:500、4500 (進入服務管理頁面確定是否需要其他 IPSec NAT Traversal 連接埠)、5555、7788
- 動作:允許
4.LAN 裝置的 Ping 請求失敗
問題:您無法於 LAN 裝置測試網路連線
解決方案:確保防火牆規則允許從 LAN 網路至網路的 ICMP 流量。
- 目的地:按一下[定義]來指定網際網路閘道位址
- 通訊協定:ICMP
- 來源:任何 (允許來自 LAN 任何裝置的流量)
- 目的地:您的 LAN 子網路 (例如 192.168.60.1/24)
- 動作:允許
其他注意事項
- 透過實際 LAN 子網路位址替換 LAN 子網路 192.168.60.1/24。
- IPSec NAT Traversal 連接埠取決於 QuWAN 裝置角色:
- Hub:預設通訊埠為 4500。新增此連接埠至規則 2 (輸出) 的來源連接埠清單 (如果適用)。
- Edge:使用介於 61001 至 61999 之間的隨機連接埠碼。如有必要,允許在此範圍中規則 2 (輸出) 的 WAN 介面來源流量的所有連接埠。
