如何在 QuWAN 與 Fortinet® 裝置之間設定站對站 VPN？

在您的 FortiGate® 裝置配置以下設定，以便與 QuWAN 連接的路由器建立 IPsec 站對站 VPN 通道。定義身分驗證方法、加密演算法與金鑰交換設定，以確保安全連線。啟用 NAT traversal 與失效對等偵測等選項，來維持通道穩定性以及與 QuWAN VPN 框架的相容性。以下設定是基於 FortiGate® 300C 裝置的 FortiProxy 1.1.0 線上說明。

1. 登入 FortiGate® 使用者介面。
2. 前往［VPN］>［IPSec］>［Tunnels (通道)］。
3. 按一下［Create New (建立新通道)］。
4. 配置 IPSec VPN 設定。
   

   一般設定

   設定	使用者動作
   Name (名稱)	輸入 VPN 通道的唯一名稱。
   Comments (註解) (選填)	輸入此通道的說明。
   Enable IPsec Interface Mode (啟用 IPsec 介面模式)	為 VPN 通道選擇啟用 IPsec。

   網路設定

   設定	使用者動作
   IP Version (IP 版本)	選擇 IPv4 作為通訊協定版本。
   Remote Gateway (遠端閘道)	如果遠端對等方有固定 IP，請選擇［Static IP Address (靜態 IP 位址)］。
   IP Address (IP 位址)	輸入遠端對等 IP 位址。
   Interface (介面)	選擇 VPN 通道的網路介面。
   Mode Config (模式設定) (選擇性步驟)	啟用此設定可為 VPN 用戶端指派 IP 位址。
   NAT Traversal	如果 Peer 之間存在 NAT 裝置，則啟用 NAT Traversal。
   Keepalive Frequency (保持連線頻率)	設定發送保持連線封包的頻率。
   Dead Peer Detection (失效對等方偵測)	啟用「失效對等方偵測」來偵測並移除無回應的 VPN 對等方。

   

   驗證設定

   設定	使用者動作
   Method (方法)	選擇［Pre-shared Key (預先共用金鑰)］進行驗證。
   Pre-shared Key (預先共用金鑰)	從 QuWAN Orchestrator 路由型 VPN 連線設定視窗，複製預先共用金鑰，並將其貼至預先共用金鑰欄位。
   IKE Version (IKE 版本)	選擇［2］作為 IKE 版本。
   Mode (模式)	選擇［Main (ID Protection) (主要 (ID 保護))］來進行安全身分處理。

   

   階段一提案設定

   備註

   確保兩個裝置具有匹配的加密與驗證設定。

   設定	使用者動作
   Encryption (加密)	選擇加密演算法［AES256］。
   Authentication (驗證)	選擇［SHA256］以進行驗證。
   Diffie-Hellman Groups (Diffie-Hellman 群組)	選擇金鑰交換群組，例如 2、5、14、15、16、19、20 或 21。
   Key Lifetime (seconds) (金鑰壽命 (秒))	設定加密金鑰的有效期限 (預設值：86400 秒)。
   Local ID (本機 ID)	依照需求，輸入本機 ID。 如果您使用動態 DNS (DDNS) 服務進行路由型 IPsec VPN 連線，則必須以 FQDN 格式設定本機 ID。

   

   XAUTH 設定

   設定	使用者動作
   Type (類型)	除非需要擴充身分驗證，否則請選擇［Disabled (停用)］。

   階段二選取器

   設定	使用者動作
   Local Address (本機位址)	定義區域網路 (預設：0.0.0.0/0)。
   Remote Address (遠端位址)	定義遠端網路 (預設：0.0.0.0/0)。

   

   階段二設定

   設定	使用者動作
   Name (名稱)	保留與階段一相同的名稱或根據需要進行修改。
   Comments (註解) (選填)	新增描述。
   Local Address (本機位址)	選擇［Subnet (子網路)］並設置本機網路範圍。
   Remote Address (遠端位址)	選擇［Subnet (子網路)］並設置遠端網路範圍。

5. 按一下［OK (確定)］。

FortiGate® 裝置隨即建立 IPSec VPN 通道。

若要將 QuWAN 連線的路由器連線至 FortiGate® 裝置，您必須設置路由型 VPN。此方法會建立加密通道，根據路由原則引導兩個網路之間的流量。路由型 VPN與原則型 VPN 不同，其支援動態路由與多個子網路，確保連接站點之間的精確流量控制與高效資料交換。

在 QuWAN Orchestrator 設定路由型 VPN 連線之前，必須確保對等裝置設置正確。也就是 VPN 通道另一端的裝置，例如其他路由器或防火牆。

1. 登入［QuWAN Orchestrator］。
2. 前往［QuWAN 拓撲］>［路由型 VPN］。
3. 按一下［建立新連線］。
   ［建立新連線］視窗隨即顯示。
4. 輸入長度介於 1 至 64 個字元之間的連線名稱。
5. 選擇［通道模式］作為 IPSec 模式。
6. 選擇 Hub 來進行路由流量並集中管理。
7. 選擇 WAN 介面連接埠。
8. 指定遠端閘道裝置的公用 IP 位址或主機名稱。
9. 按一下［測試連線］來測試遠端閘道連線情況。
10. 輸入預先共用金鑰。
    備註

    確保遠端裝置的預先共用金鑰與在 QuWAN Orchestrator 設定的金鑰相同。
11. 選擇性步驟：按一下［進階設定］，即可顯示路由型 VPN 連線的其他設置選項。
12. 設置網際網路金鑰交換 (IKE) 設定：
    1. 選擇 IKE 版本。
    2. 選擇認證演算法。
    3. 選擇合適的加密方式。
    4. 選擇 Diffie-Hellman (DH) 群組。
       備註

       DH 群組會定義加密強度，以便在初始通訊期間安全建立私密金鑰。
    5. 定義 IKE 安全關聯 (SA) 持續時間，來降低與金鑰曝光相關的加密風險。
    6. 選擇性步驟：指定遠端站點驗證的本機 ID (網域名稱)。
    7. 只有為路由型 VPN 連線設定 DDNS 時，才提供本機 ID。
13. 設置封裝安全負載 (ESP) 設定：
    1. 選擇認證演算法。
    2. 選擇合適的加密方式。
    3. 選擇［啟用完全前向保密 (PFS)］來產生新的 DH 金鑰。
    4. 選擇 DH 群組。
    5. 定義 ESP SA 持續時間。
    6. 選擇性步驟：選擇［啟用失效對等方偵測 (DPD)］來識別並回應對等裝置中斷。
    7. 指定 DPD 逾時 (以秒為單位)。
14. 選擇性步驟：選擇［啟用 NAT 模式］來確保 VPN 連線運作正常，即使 NAT 裝置處於網路狀態也能正常運作。
    1. 指定本機通道 IP 位址，以便進行 NAT Traversal。
15. 選擇性步驟：配置站點子網路設定：
    1. 在［站點子網路］項下，按一下［新增子網路］。
    2. 指定站點子網路。
    3. 輸入說明。
    4. 按一下 。
16. 按一下［建立］。
    QuWAN Orchestrator 隨即建立路由型 VPN 連線。
17. 在［QuWAN 拓撲／路由型 VPN］頁面識別 FortiGate® 路由型 VPN 連線。
18. 按一下 可啟用路由型 VPN 連線。

QuWAN Orchestrator 會在 QNAP 路由器與 Fortinet® FortiGate® 裝置之間建立站對站的 VPN 連線。