如何允许特定流量通过 QuWAN 防火墙服务?
最后修订日期:
2025-04-10
适用产品
QuWAN Orchestrator
详细信息
此常见问题解决了当网状 VPN 连接失败时相应设置的常见防火墙配置方法。
最佳实践
有关创建或修改防火墙规则的详细步骤,请参见 QuWAN 和 QuWAN Orchestrator Web 帮助中的“防火墙设置”。
1.与 QuWAN Orchestrator 断开连接
问题:无法连接到 QuWAN Orchestrator 管理界面。
解决方案:确保防火墙允许端口 8883 (TCP) 使用以下配置与 QuWAN Orchestrator 通信。
- 源:单击定义以指定 QuWAN Orchestrator 的 IP 地址或子网。
- 协议:TCP
- 源端口:8883
- 目标:任何
- 操作:允许
2.与 QuWAN QBelt VPN 服务器断开连接
问题:无法与 QuWAN QBelt VPN 服务器建立 VPN 连接。
解决方案:确保防火墙允许使用以下配置的规则与 QuWAN Orchestrator 通信。
- 规则 1(入站流量):
- 源:单击定义以指定源连接
- 协议:UDP
- 源端口:5533
- 目标:任何
- 操作:允许
- 规则 2(出站流量)
- 源:单击定义以指定远程设备的详细信息
- 协议:UDP
- 源端口:任何
- 目标:5533
- 操作:允许
3.阻止的网状 VPN 站点到站点流量
问题:站点到站点网状 VPN 之间的数据传输被阻止。
解决方案:为确保网状 VPN 服务使用的流量可以通过防火墙,请创建两个允许必需 UDP 端口的防火墙规则。
- 规则 1(入站流量):
- 源:单击定义以指定源连接
- 协议:UDP
- 源端口:500、4500(转到“服务管理”页面以确定是否需要其他 IPSec NAT 遍历端口)、5555、7788
- 目标:任何
- 操作:允许
- 规则 2(出站流量)
- 源:任何
- 协议:UDP
- 源端口:任何
- 目标:500、4500(转到“服务管理”页面以确定是否需要其他 IPSec NAT 遍历端口)、5555、7788
- 操作:允许
4.来自 LAN 设备的 Ping 请求失败
问题:无法从 LAN 设备向 Internet 执行 ping 操作。
解决方案:确保防火墙规则允许 ICMP 流量从 LAN 网络流向 Internet。
- 目标:单击定义以指定 Internet 网关地址
- 协议:ICMP
- 源:任意(允许来自 LAN 上的任意设备的流量)
- 目标:LAN 子网(例如 192.168.60.1/24)
- 操作:允许
其他注意事项
- 将 LAN 子网 192.168.60.1/24 替换为实际 LAN 子网地址。
- IPSec NAT 遍历端口取决于 QuWAN 设备角色:
- 中心:默认端口为 4500。根据需要将此端口添加到规则 2(出站)中的源端口列表。
- 端点:使用一个介于 61001 和 61999 之间的随机端口号。根据需要,允许来自规则 2(出站)的 WAN 接口的源流量流经此范围的所有端口。
