如何在 QuWAN 和 UniFi® 设备之间设置站点到站点 VPN?
最后修订日期:
2025-02-18
适用产品
- QuWAN Orchestrator
- QuRouter 2.4.0 及更高版本
- UniFi® 设备
详细信息
本指南详细介绍了在 QuWAN 设备和 UniFi® Dream Machine (UDM) Pro 之间建立站点到站点 VPN 连接的步骤。由于 UniFi® 生态系统为各种设备提供站点到站点 VPN 功能,因此本教程将专门介绍 UDM Pro,以供演示。
重要
- QuWAN 站点到站点 VPN 仅支持 IKEv2。
- 两种设备(QuWAN 和 UniFi® 设备)都必须使用相同配置设置,VPN 才能正常运行。
- 在配置站点到站点 VPN 之前,必须先将 QNAP 设备添加到 QuWAN Orchestrator。有关添加设备的信息,请参见《QuWAN 和 QuWAN Orchestrator 帮助》:配置 | QuWAN 和 QuWAN Orchestrator 帮助 (qnap.com)
警告
实施站点到站点 VPN 会使您的网络更复杂。在启用之前,请确保您了解对安全的影响。
步骤
UniFi® 设备上的站点到站点 VPN 配置
- 登录 UDM Pro Web 界面。
- 转到设置 > VPN > 站点到站点 VPN。
- 配置 VPN 连接设置。
设置 用户操作 VPN Type(VPN 类型) 选择 IPsec。 Name(名称) 指定描述性名称以轻松识别此 VPN 连接(例如 QuWAN 站点到站点 VPN)。 Pre-Shared Key(预共享密钥) 建立唯一的强预共享密钥。 Local IP(本地 IP) 输入 UDM Pro 设备的本地 IP 地址。 Remote IP/Host(远程 IP/主机) 指定要连接的远程网关设备的公共 IP 地址或主机名。 VPN Type(VPN 类型) 选择“Route Based”(基于路由)以便为特定网络子网建立 VPN 连接。 Remote Network(s)(远程网络) 使用 CIDR 记法(例如 192.168.150.0/24)定义要访问的远程网络的子网。 
- 在“Advanced Configuration”(高级配置)旁边,选择“Manual”(手动)。
- 选择 IPsec 作为密钥交换版本。
- 基于提供的以下示例配置 IKEv2 设置。重要远程设备必须采用相同设置。
设置 用户操作 示例值 Encryption(加密) 选择 IKE 算法。 AES-128 Hash(哈希) 选择安全的 IKE 哈希函数。 SHA256 DH Group(DH 组) 选择 Diffie-Hellman (DH) 组。 14 IKE Lifetime(IKE 使用寿命) 设置 IKE SA 使用寿命。 28800 - 基于提供的以下示例配置 ESP 设置。
设置 用户操作 示例值 Encryption(加密) 选择 ESP 算法。 AES-128 Hash(哈希) 选择安全的 ESP 哈希函数。 SHA256 DH Group(DH 组) 选择 Diffie-Hellman (DH) 组。 14 ESP Lifetime(ESP 使用寿命) 设置 ESP SA 使用寿命。 3600 
- 单击添加。
此时 UDM Pro 即会应用此配置。
QuWAN Orchestrator 中的站点到站点 VPN 配置
- 使用您的 QNAP ID 凭据登录 QuWAN Orchestrator。
- 选择您的组织。
- 转到 QuWAN 拓扑 > 基于路由的 VPN。
- 单击创建新连接。
此时会出现创建新连接窗口。 - 配置基于路由的 VPN 连接设置。
设置 描述 连接名称 指定描述性名称(例如 UniFi 站点到站点 VPN)。 IPSec 模式 选择隧道模式。 中心 为连接指定合适的中心。 WAN 接口 输入所需的 WAN 接口。 远程 IP 或主机名 指定远程网关设备的公共 IP 地址或主机名。 测试连接(可选) 单击此按钮以向 IP/主机名执行 ping 操作,确认是否已连接。 预共享密钥 建立一个强预共享密钥,确保远程网关上使用相同配置。 - 配置基于路由的高级 VPN 连接设置。
设置 用户操作 示例值 Internet 密钥交换协议 (IKE) 版本 选择 IKEv2。 - 身份验证算法 选择一种可靠的身份验证算法。 AES-128 加密 选择一种强加密方法。 AES-128 DH 组 选择安全的 DH 组。 14 安全关联 (SA) 使用寿命 定义 IKE 安全关联 (SA) 持续时间以减少与密钥暴露相关的加密风险。 480 本地 ID(可选) 如果要使用动态 DNS (DDNS) 服务建立基于路由的 VPN 连接,则必须提供本地 ID。 - 封装安全有效载荷(ESP) 身份验证算法 选择一种身份验证算法。 SHA-256 加密 选择一种加密方法。 AES-128 启用完全前向保密(PFS) 选中此复选框可生成新 DH 密钥。 - DH 组 指定安全 DH 组。 14 安全关联 (SA) 使用寿命 定义 SA 使用寿命持续时间。 60 分钟 启用失效对端检测(DPD) 选中此复选框可确定对等设备中断并对其作出响应。 - DPD 超时 指定 DPD 超时值。 10 秒 - 选中启用 NAT 模式旁边的复选框以确保 VPN 连接正常工作,即使网络中存在 NAT 设备也是如此。
- 指定本地隧道 IP 地址以便于 NAT 遍历。
- 在站点子网下,单击添加子网,并定义要访问的远程网络的内部子网。
- 单击保存。
如果基于路由的 VPN 连接成功,则“Status”(状态)字段将显示“Connected”(已连接)状态。
