如何在 QuWAN 和 Fortinet® 设备之间设置站点到站点 VPN？

在 FortiGate® 设备上配置以下设置，以便与 QuWAN 连接的路由器建立 IPsec 站点到站点 VPN 隧道。定义身份验证方法、加密算法和密钥交换设置，确保连接安全。启用 NAT 遍历和失效对端检测等选项，以保持隧道的稳定性并与 QuWAN VPN 框架兼容。以下设置基于 FortiGate® 300C 设备的《FortiProxy 1.1.0 联机帮助》。

1. 登录到 FortiGate® 用户界面。
2. 转到 VPN > IPSec > Tunnels（隧道）。
3. 单击“Create New”（新建）。
4. 配置 IPSec VPN 设置。
   

   常规设置

   设置	用户操作
   Name（名称）	输入 VPN 隧道的唯一名称。
   Comments（说明）（选填）	为隧道添加描述。
   Enable IPsec Interface Mode（启用 IPsec 接口模式）	选择此项可为 VPN 隧道启用 IPsec。

   网络设置

   设置	用户操作
   IP Version（IP 版本）	选择 IPv4 作为协议版本。
   Remote Gateway（远程网关）	如果远程对端具有固定 IP，请选择“Static IP Address”（静态 IP 地址）。
   IP Address（IP 地址）	输入远程对端的 IP 地址。
   Interface（接口）	选择 VPN 隧道的网络接口。
   Mode Config（模式配置）（选填）	启用此项可为 VPN 客户端分配 IP 地址。
   NAT Traversal（NAT 遍历）	如果 NAT 设备介于对端之间，请启用“NAT 遍历”。
   Keepalive Frequency（有效频率）	设置有效包的发送频率。
   Dead Peer Detection（失效对端检测）	启用失效对端检测可检测和移除无响应的 VPN 对端。

   

   身份验证设置

   设置	用户操作
   Method（方法）	选择“Pre-shared Key”（预共享密钥）进行身份验证。
   Pre-shared Key（预共享密钥）	从 QuWAN Orchestrator 的基于路由的 VPN 连接配置窗口中复制预共享密钥，然后将其粘贴到预共享密钥字段中。
   IKE Version（IKE 版本）	为 IKE 版本选择 2。
   Mode（模式）	选择“Main (ID Protection)”（主(ID 保护)）进行安全身份处理。

   

   第 1 阶段提议设置

   注意

   确保两个设备的加密和身份验证设置匹配。

   设置	用户操作
   Encryption（加密）	选择加密算法 AES256。
   Authentication（身份验证）	选择 SHA256 进行身份验证。
   Diffie-Hellman Groups（Diffie-Hellman 组）	选择密钥交换组，例如 2、5、14、15、16、19、20 或 21。
   Key Lifetime (seconds)（密钥有效期(秒)）	选择加密密钥的有效时长（默认值：86400 秒）。
   Local ID（本地 ID）	根据需要输入本地 ID。 如果针对基于路由的 IPsec VPN 连接使用动态 DNS (DDNS) 服务，则必须以 FQDN 格式设置本地 ID。

   

   XAUTH 设置

   设置	用户操作
   Type（类型）	除非需要扩展身份验证，否则选择“Disabled”（已禁用）。

   第 2 阶段选择器

   设置	用户操作
   Local Address（本地地址）	定义本地网络（默认值：0.0.0.0/0）。
   Remote Address（远程地址）	定义远程网络（默认值：0.0.0.0/0）。

   

   第 2 阶段设置

   设置	用户操作
   Name（名称）	保持与第 1 阶段相同的名称，或者根据需要修改名称。
   Comments（说明）（选填）	添加描述。
   Local Address（本地地址）	选择“Subnet”（子网）并配置本地网络范围。
   Remote Address（远程地址）	选择“Subnet”（子网）并配置远程网络范围。

5. 单击“OK”（确定）。

FortiGate® 设备即会创建 IPSec VPN 隧道。

要将 QuWAN 连接的路由器连接到 FortiGate® 设备，必须配置基于路由的 VPN。此方法将建立一个加密隧道，用于根据路由策略定向两个网络间的流量。与基于策略的 VPN 不同，基于路由的 VPN 支持动态路由和多个子网，确保相连站点之间的精确流量控制和高效数据交换。

在 QuWAN Orchestrator 中配置基于路由的 VPN 连接之前，请确保对等设备上的配置正确。这是指 VPN 隧道另一端的设备，例如另一个路由器或防火墙。

1. 登录 QuWAN Orchestrator。
2. 转到 QuWAN 拓扑 > 基于路由的 VPN。
3. 单击创建新连接。
   此时会出现创建新连接窗口。
4. 指定介于 1 和 64 个字符之间的连接名称。
5. 选择隧道模式作为 IPSec 模式。
6. 选择一个中心来路由流量和进行中央管理。
7. 选择 WAN 接口端口。
8. 指定远程网关设备的公共 IP 地址或主机名。
9. 单击测试连接以测试远程网关连接。
10. 指定一个预共享密钥。
    注意

    确保远程设备上的预共享密钥与在 QuWAN Orchestrator 中配置的密钥相同。
11. 可选：单击高级设置可显示基于路由的 VPN 连接的其他配置选项。
12. 配置 Internet 密钥交换协议 (IKE) 设置：
    1. 选择 IKE 版本。
    2. 选择身份验证算法。
    3. 选择合适的加密方法。
    4. 选择 Diffie-Hellman (DH) 组。
       注意

       DH 组定义加密强度以在初始通信期间安全地建立私钥。
    5. 定义 IKE 安全关联 (SA) 持续时间以减少与密钥暴露相关的加密风险。
    6. 可选：指定用于远程站点身份验证的本地 ID（域名）。
    7. 仅当为基于路由的 VPN 连接配置 DDNS 时，才提供本地 ID。
13. 配置封装安全有效载荷 (ESP) 设置：
    1. 选择身份验证算法。
    2. 选择合适的加密方法。
    3. 选择启用完全前向保密(PFS) 以生成新的 DH 密钥。
    4. 选择 DH 组。
    5. 定义 ESP SA 持续时间。
    6. 可选：选择启用失效对端检测(DPD) 以确定对等设备中断并对其作出响应。
    7. 指定 DPD 超时值（以秒为单位）。
14. 可选：选择启用 NAT 模式以确保 VPN 连接正常工作，即使网络中存在 NAT 设备也是如此。
    1. 指定本地隧道 IP 地址以便于 NAT 遍历。
15. 可选：配置站点子网设置：
    1. 在站点子网下，单击添加子网。
    2. 指定站点子网。
    3. 指定描述。
    4. 单击 。
16. 单击创建。
    QuWAN Orchestrator 即会创建基于路由的 VPN 连接。
17. 在 QuWAN 拓扑/基于路由的 VPN 页面中，找到 FortiGate® 基于路由的 VPN 连接。
18. 单击 启用基于路由的 VPN 连接。

QuWAN Orchestrator 即会建立 QNAP 路由器与 Fortinet® FortiGate® 设备间的站点到站点 VPN 连接。