如何在 QuWAN 與 UniFi® 裝置之間設定站對站 VPN?
最後修訂日期:
2025-02-18
適用產品
- QuWAN Orchestrator
- QuRouter 2.4.0 (含) 以上版本
- UniFi® 裝置
詳細資訊
本指南詳述了在 QuWAN 裝置與 UniFi® Dream Machine (UDM) Pro 之間建立站對站 VPN 連線的步驟。雖然 UniFi® 生態系統提供具有站對站 VPN 功能的各種裝置,但本教學將特別著重於 UDM Pro 的示範。
重要事項
- QuWAN 站對站 VPN 僅支援 IKEv2。
- 兩台裝置 (QuWAN 與 UniFi® 裝置) 必須使用相同配置設定才能讓 VPN 正常運作。
- 您必須在配置站對站 VPN 之前,將 QNAP 裝置新增至 QuWAN Orchestrator。請參閱 QuWAN 與 QuWAN Orchestrator 說明來新增裝置:設置|QuWAN 與 QuWAN Orchestrator 說明 (qnap.com)
警告
執行站對站 VPN 會增加網路複雜度。在啟用之前,請確認其對安全性所產生的影響。
步驟
UniFi® 裝置的站對站 VPN 配置
- 登入 UDM Pro 網頁介面。
- 前往[Settings (設定)]>[VPN]>[Site-to-Site VPN (站對站 VPN)]。
- 編輯 VPN 連線設定。
設定 使用者動作 VPN 類型 選擇[IPsec]。 名稱 指派描述性名稱來輕鬆識別此 VPN 連線 (例如,QuWAN 站對站 VPN)。 預先共用金鑰 建立高強度、獨特的預先共用金鑰。 本機 IP 輸入 UDM Pro 裝置的本機 IP 位址。 遠端 IP/主機 指定您要連線遠端閘道裝置的公用 IP 位址或主機名稱。 VPN 類型 選擇[路由型]為特定網路子網路建立 VPN 連線。 遠端網路 使用 CIDR 標記法 (例:192.168.150.0/24) 來定義想要存取的遠端網路子網路。 
- 選擇[Advanced Configuration (進階設定)]旁的[Manual (手動)]。
- 選擇[IPsec]作為金鑰交換版本。
- 根據下面提供的範例配置 IKEv2 設定。重要事項遠端裝置必須採用相同的設定。
設定 使用者動作 範例值 加密 選擇 IKE 演算法。 AES-128 雜湊 選擇安全的 IKE 雜湊函數。 SHA256 DH 群組 選擇 Diffie-Hellman (DH) 群組。 14 IKE 壽命 設定 IKE SA 壽命。 28800 - 根據下面提供的範例配置 ESP 設定。
設定 使用者動作 範例值 加密 選擇 ESP 演算法。 AES-128 雜湊 選擇安全的 ESP 雜湊函數。 SHA256 DH 群組 選擇 Diffie-Hellman (DH) 群組。 14 ESP 壽命 設定 ESP SA 壽命 3600 
- 按一下[新增]。
UDM Pro 隨即套用此設置。
QuWAN Orchestrator 的站對站 VPN 設置
- 使用 QNAP ID 憑證登入[QuWAN Orchestrator]。
- 選擇組織。
- 前往[QuWAN 拓撲]>[路由型 VPN]。
- 按一下[建立新連線]。
[建立新連線]視窗隨即顯示。 - 配置路由型 VPN 連線設定。
設定 說明 連線名稱 指派描述性名稱 (例如,UniFi 站對站 VPN)。 IPsec 模式 選擇[通道模式]。 Hub 指定適合 Hub 的連線。 WAN 介面 輸入所需的 WAN 介面。 遠端 IP 或主機名稱 指定遠端閘道裝置的公用 IP 位址或主機名稱。 測試連線 (選擇性步驟) 按一下按鈕可 ping IP/主機名稱,以確認連線。 預先共用金鑰 建立高強度預先共用金鑰,確保遠端閘道的設置相同。 - 配置進階路由型 VPN 連線設定。
設定 使用者動作 範例值 網際網路金鑰交換 (IKE) 版本 選擇[IKEv2]。 - 驗證演算法 選擇強大驗證演算法。 AES-128 加密 選擇高強度加密方式。 AES-128 DH 群組 選擇安全的 DH 群組。 14 安全關聯 (SA) 壽命 定義 IKE 安全關聯 (SA) 持續時間,來降低與金鑰暴露相關的加密風險。 480 本機 ID (選擇性步驟) 如果路由型 VPN 連線採用動態 DNS (DDNS) 服務,必須提供本機 ID。 - 封裝安全負載 (ESP) 驗證演算法 選擇驗證演算法。 SHA-256 加密 選擇加密方式。 AES-128 啟用完全前向保密 (PFS) 選取方塊可產生新的 DH 金鑰。 - DH 群組 指定安全的 DH 群組。 14 安全關聯 (SA) 壽命 定義 SA 壽命期間。 60 分鐘 啟用失效對等方偵測 (DPD) 選取方塊可識別並回應對等裝置中斷。 - DPD 逾時 指定 DPD 逾時值。 10 秒 - 選擇[啟用 NAT 模式]旁的核取方塊,確保 VPN 連線運作正常,即使 NAT 裝置在網路上也能正常運作。
- 指定本機通道 IP 位址,以便進行 NAT-traversal。
- 按一下[站點子網路]下方的[新增子網路],並定義您想要存取的遠端網路內部子網路。
- 按一下[儲存]。
如果路由型 VPN 連線成功,[狀態]欄位會顯示[已連線]狀態。
