Search
此頁面為機器翻譯版本,請參閱機器翻譯免責聲明
切換為English

How do I set up a site-to-site VPN between a QuWAN device and an AWS VPC?
如何在 QuWAN 裝置與 AWS VPC 之間設定站點到站點 VPN?

最後修訂日期: 2025-09-22

適用產品

硬體

  • QHora-301W
  • QHora-321
  • QHora-322
  • QMiroPlus-201W
  • QMiro-201W

軟體

  • QuWAN Orchestrator
  • QuRouter 2.4.0 及更新版本
  • Amazon Web Services (AWS) 帳戶

詳細資訊

本教學說明如何在 QuWAN SD-WAN 裝置和 AWS 虛擬私有雲 (VPC) 之間設定基於路由的 VPN。在基於路由的 VPN 中,QuWAN 裝置會建立 IPsec 隧道至 AWS 虛擬私有閘道,並透過定義的路由表在本地網路和 AWS VPC 之間路由流量。只有已加入 QuWAN Orchestrator 的 QNAP 路由器才能用於此設定。QuWAN Orchestrator 管理隧道、處理路由並維持連接,而 AWS 則透過虛擬私有閘道路由流量,允許您的網路和雲端資源之間進行安全、持續的通信。

步驟涵蓋設定 AWS VPC 元件、建立和附加 VPN 閘道、下載 AWS VPN 設定檔案,以及在 QuWAN Orchestrator 中應用相應的設定。

重要
  • QuWAN 站點到站點 VPN 僅支援 IKEv2。
  • 兩個裝置(QuWAN 裝置和 AWS VPC)必須使用相同的設定才能使 VPN 正常運作。
  • 在設定站點到站點 VPN 之前,您的 QNAP 裝置必須已加入 QuWAN Orchestrator。要將您的 QNAP 裝置加入 QuWAN Orchestrator,請參見配置章節中的QuWAN 和 QuWAN Orchestrator 網頁說明
警告

實施站點到站點 VPN 會增加網路的複雜性。在啟用之前,請確保您瞭解其安全性影響。

程式

AWS 設定和介面可能會隨時間變化。欲獲取最新資訊,請參考AWS 文件

在您的 QNAP 路由器和 AWS 虛擬私有雲 (VPC) 之間建立站點到站點連線 VPN

A. 建立虛擬私有雲

  1. 登入https://console.aws.amazon.com/vpc/
    VPC 儀表板頁面顯示。
  2. 按一下建立 VPC
    建立 VPC頁面顯示。
  3. VPC 設定,選擇僅限 VPC。
  4. 選填:指定 VPC 的名稱標籤,例如:QNAP-RouteBasedVPN
  5. IPv4 CIDR 區塊,選擇IPv4 CIDR 手動輸入。
  6. 指定 IPv4 地址的 CIDR 格式(例如,10.20.10.0/24)。
  7. IPv6 CIDR 區塊,選擇無 IPv6 CIDR 區塊。
  8. 選填:選擇租賃選項。
    注意
    選擇此 VPC 中的 EC2 實例是否應使用共用伺服器(預設)或僅限於您的帳戶的伺服器。
  9. 定義一個或多個標籤以幫助識別您的資源,並為每個標籤分配一個值。
  10. 選填:按一下預覽程式碼以視覺化配置的 VPC 資源之間的關係。
  11. 按一下建立 VPC
    AWS 建立 VPC。

B. 建立子網

  1. 在 VPC 儀表板側邊面板,前往虛擬私有雲>子網。
  2. 按一下建立子網。建立子網頁面顯示。
  3. 從下拉選單中選擇您的 VPC。
  4. 指定子網的名稱標籤。
  5. 選填:從下拉選單中選擇可用區域,或保持無偏好以讓 AWS 選擇一個。
  6. 指定 IPv4 子網 CIDR 區塊。
  7. 選填:定義一個或多個標籤以幫助識別 VPC 子網,並為每個標籤分配一個值。
  8. 按一下建立子網。

C. 建立網路閘道

  1. 在 VPC 儀表板側邊面板,前往虛擬私有雲>網路閘道。
  2. 按一下建立網路閘道.
  3. 選擇性:定義一個或多個標籤以幫助識別 VPC 網際網路閘道,並為每個標籤分配一個值。
  4. 為網際網路閘道指定一個名稱標籤。
  5. 按一下建立網際網路閘道
    AWS 會建立網際網路閘道。
  6. 按一下操作,然後按一下附加到 VPC。附加到 VPC頁面隨即顯示。
  7. 按一下搜尋欄位下的可用的 VPC,然後選擇 QuWAN VPC。
  8. 按一下附加網際網路閘道
    AWS 會將配置的網際網路閘道附加到 QuWAN VPC。

D. 將網際網路閘道新增到路由表

  1. 在 VPC 儀表板側邊面板,前往虛擬私有雲>路由表。
  2. 識別與 QuWAN VPC 關聯的路由表。
  3. 按一下路由表 ID。路由表頁面隨即顯示。
  4. 按一下編輯路由
    編輯路由頁面隨即顯示。
  5. 按一下新增路由。
  6. 輸入0.0.0.0/0作為目的地。
  7. 按一下目標下拉選單,然後選擇網際網路閘道
    網際網路閘道下方出現一個次要欄位。
  8. 從下拉選單中選擇先前配置的網際網路閘道。
  9. 按一下儲存變更
    AWS 更新路由表。

E. 為 VPC 配置安全群組

  1. 在 VPC 儀表板側邊面板,前往安全性>安全群組。
  2. 識別與您的 VPC 關聯的安全群組。
  3. 按一下安全群組。
    安全群組頁面隨即顯示。
  4. 按一下編輯入站規則。編輯入站規則頁面隨即顯示。
  5. 按一下新增規則。
  6. 型別,選擇所有流量。
  7. 來源,選擇任何地方 -IPv4。
  8. 按一下儲存規則
    AWS 將安全群組新增至 QuWAN VPC。

F. 設定虛擬私人網路 (VPN) 設定

  1. 在 VPC 儀表板側邊面板,前往虛擬私人網路 (VPN)>虛擬私人閘道。
  2. 按一下建立虛擬私人閘道。
  3. 指定 VPN 的名稱標籤。
  4. 自主系統號碼 (ASN),選擇Amazon 預設 ASN。
    注意
    ASN (自主系統號碼) 在 VPN 連線中識別 AWS。預設值為 64512,但如果與您的網路衝突,可以更改。
  5. 選擇性:定義一個或多個標籤以協助識別 VPC 子網路,並為每個標籤分配一個值。
  6. 按一下建立虛擬私人閘道
    AWS 建立虛擬私人閘道。
  7. 虛擬私人閘道頁面,選擇您配置的虛擬私人閘道。
  8. 按一下操作,然後按一下附加到 VPC。附加到 VPC頁面隨即顯示。
  9. 可用的 VPC下方的搜尋列中,然後選擇 QuWAN VPC。
  10. 按一下附加到 VPC
    AWS 將配置的虛擬私人閘道附加到 QuWAN VPC。

G. 識別 QNAP 路由器的 LAN 和 WAN IP 位址

  1. 登入 QuRouter。
  2. 前往 WAN 設定頁面:
    • 對於 QHora 路由器:網路>實體網路設定>WAN
    • 對於 QMiro 路由器:網路>WAN 和 LAN>WAN
  3. 識別活動的 WAN 介面。
  4. 複製提供的 WAN 介面的 IP 位址。
  5. 前往 LAN 設定頁面:
    • 對於 QHora 路由器:網路>實體網路設定>LAN
    • 對於 QMiro 路由器:網路>WAN 和 LAN>LAN
  6. 識別活動的 LAN 介面。
  7. 複製提供的 LAN 介面的 IP 位址。

H. 將虛擬私人閘道新增至路由表

  1. 在 VPC 儀表板側邊面板,前往虛擬私人雲>路由表。
  2. 識別與 QuWAN VPC 關聯的路由表。
  3. 按一下路由表 ID。
    路由表頁面顯示。
  4. 按一下編輯路由
    顯示編輯路由頁面。
  5. 按一下新增路由。
  6. 輸入複製的 QuRouter LAN 介面 IP 位址及其子網路(CIDR 表示法)作為目的地。
  7. 按一下目標下拉選單,選擇虛擬私人閘道
    網際網路閘道下方出現次要欄位。
  8. 從下拉選單中選擇先前配置的虛擬私人閘道。
  9. 按一下儲存變更
    AWS 更新路由表。

I. 為 VPC 建立客戶閘道

  1. 在 VPC 儀表板側邊面板,前往虛擬私人網路 (VPN)>客戶閘道。
  2. 按一下建立客戶閘道。
  3. 為客戶閘道指定名稱標籤。
  4. 在 IP 位址欄位中輸入複製的 QuRouter WAN 介面 IP 位址。
  5. 選擇性:按一下新增標籤以定義一個或多個標籤來幫助識別客戶閘道,並為每個標籤分配一個值。
  6. 按一下建立客戶閘道。

J. 建立站點到站點 VPN 連線

  1. 在 VPC 儀表板側邊面板,前往虛擬私人網路 (VPN)>站點到站點 VPN 連線。
  2. 按一下建立 VPN 連線。
  3. 為 VPN 連線指定名稱標籤。
  4. 目標閘道型別下,選擇虛擬私人閘道。
  5. 從下拉選單中選擇預先配置的虛擬私人閘道。
  6. 客戶閘道下,選擇現有的。
  7. 從下拉選單中選擇預先配置的客戶閘道。
  8. 路由選項下,選擇靜態。
  9. 新增靜態 IP 字首欄位中輸入 QuRouter LAN 介面 IP 位址及其子網路(CIDR 表示法)。
  10. 選擇性:配置預共享金鑰儲存空間、本地 IPv4 網路 CIDR、遠端 IPv4 網路 CIDR 欄位。
  11. 選擇性:配置主要和次要隧道設定。
  12. 選擇性:按一下新增標籤以定義一個或多個標籤來幫助識別客戶閘道,並為每個標籤分配一個值。
    注意
    AWS 與 QNAP 路由器建立站點到站點 VPN 連線。在VPN 連線頁面上,確認連線狀態變更為可用

K. 下載站對站 VPN 設定檔

  1. 在 VPC 儀表板側邊面板,前往虛擬私人網路 (VPN)>站對站 VPN 連線。
  2. 識別您在前一步驟中建立的站對站 VPN 連線。
  3. 選擇 VPN 連線。
  4. 按一下下載設定
    下載設定視窗隨即顯示。
  5. 供應商中,選擇Strongswan。
  6. IKE 版本中,選擇ikev2。
  7. 按一下下載
    設定檔將以 TXT 格式下載。
  8. 按一下X下載設定視窗上。

在 AWS 中啟動一個 EC2 (Elastic Cloud Compute) 執行個體

  1. 前往https://console.aws.amazon.com/ec2/
  2. 在側邊面板,前往執行個體>執行個體。
  3. 找到啟動執行個體區段。
  4. 按一下啟動執行個體
    啟動執行個體頁面隨即顯示。
  5. 為執行個體指定一個名稱標籤。
  6. 應用程式和作業系統映像 (Amazon Machine Image)中,按一下Ubuntu。
  7. 金鑰對 (登入)中,按一下建立新金鑰對
    建立金鑰對視窗隨即顯示。
  8. 為金鑰對指定一個名稱。
  9. 金鑰對型別中,選擇RSA。
  10. 私密金鑰檔案格式中,選擇.pem。
  11. 按一下建立金鑰對
    AWS 會下載金鑰對設定檔,格式為所選格式。
  12. 從下拉選單中選擇先前配置的金鑰對於金鑰對 (登入)區段。
  13. 按一下編輯網路設定區段。
  14. VPC - 必需中,選擇預先配置的 VPC。
  15. 自動分配公共 IP中,選擇啟用。
  16. 防火牆 (安全群組)中,選擇選擇現有的安全群組。
  17. 常見安全群組中,選擇先前配置的安全群組。
  18. 選擇性:配置儲存空間和進階設定。
  19. 按一下啟動執行個體
    AWS 啟動 EC2 執行個體。

在 QuWAN Orchestrator 中配置站對站 VPN 設定

    1. 使用您的 QNAP ID 憑證登入QuWAN Orchestrator
    2. 選擇您的組織。
    3. 前往QuWAN 拓撲>路由式 VPN。
    4. 按一下建立新連線
      建立新連線視窗隨即顯示。
    5. 配置路由式 VPN 連線設定。
      設定說明
      連線名稱指定一個描述性名稱(例如,AWS Site-to-Site VPN)。
      IPsec 模式選擇隧道模式。
      裝置指定適當的 Hub 以進行連線。
      WAN 介面輸入所需的 WAN 介面。
      遠端 IP 或 ID指定遠端閘道裝置的公用 IP 位址或主機名稱。
      測試連線(可選)點選以 ping 裝置以確認連線。
      預共享金鑰建立一個強大的預共享金鑰,確保遠端閘道的配置相同。
    6. 點選進階設定  以配置進階的基於路由的 VPN 連線設定。
      設定使用者操作範例值
      網際網路金鑰交換 (IKE)
      版本選擇IKEv2。-
      驗證演演算法選擇一個強大的驗證演演算法。AES-128
      加密選擇一個強大的加密方法。AES-128
      DH 群組選擇 DH 群組大小以決定在 Diffie-Hellman 交換期間使用的金鑰強度。14
      安全關聯 (SA) 生命週期定義 IKE 安全關聯 (SA) 的持續時間,以降低與金鑰暴露相關的加密風險。480
      本地 ID(可選)如果您使用動態 DNS (DDNS) 服務進行基於路由的 VPN 連線,請輸入本地 ID。-
      封裝安全負載 (ESP)
      驗證演演算法選擇一個驗證演演算法。SHA-256
      加密選擇一個加密方法。AES-128
      啟用完美前向保密 (PFS)啟用以為每個會話生成新的 Diffie-Hellman (DH) 金鑰,確保更強的安全性。-
      DH 群組選擇 DH 群組大小以定義 VPN 連線的金鑰強度。14
      安全關聯 (SA) 生命週期定義 SA 生命週期的持續時間,以指定安全關聯在重新金鑰前保持有效的時間。60 分鐘
      啟用死對等偵測 (DPD)啟用以識別和回應對等裝置故障。-
      DPD 超時設定 DPD 超時以定義裝置在認為對等方無回應前等待的時間。10 秒
    7. 選擇一個位置設定以指定如何確定裝置的位置:
      • 透過 IP 位址定位:自動根據裝置的 IP 位址檢測位置。
      • 透過 GPS 座標更新:需要使用者手動提供緯度和經度值。
    8. 啟用啟用 NAT 模式以確保即使在網路中存在 NAT 裝置時,VPN 連線也能正常運作。
    9. 指定本地隧道 IP 位址以促進 NAT 穿透。
    10. 目的地配置,點選新增子網。
    11. 指定您想要訪問的遠端網路的內部子網。
    12. 點選。
    13. 點選建立。
      注意
      如果基於路由的 VPN 連線成功,狀態欄位將顯示已連線狀態。

進一步閱讀

這篇文章有幫助嗎?

謝謝您,我們已經收到您的意見。

請告訴我們如何改進這篇文章:

如果您想提供其他意見,請於下方輸入。

選擇規格

      顯示更多 隱藏更多

      選擇其他偏好的語言:

      open menu
      back to top