Search
本内容经过机器翻译。请参见机器翻译免责声明
切换为英语

How do I set up a site-to-site VPN between a QuWAN device and an AWS VPC?
如何在 QuWAN 设备和 AWS VPC 之间设置站点到站点的 VPN?

最后修订日期: 2025-09-22

适用产品

硬件

  • QHora-301W
  • QHora-321
  • QHora-322
  • QMiroPlus-201W
  • QMiro-201W

软件

  • QuWAN Orchestrator
  • QuRouter 2.4.0 及更高版本
  • 一个亚马逊网络服务(AWS)账户

详细信息

本教程解释了如何在 QuWAN SD-WAN 设备和 AWS 虚拟私有云(VPC)之间配置基于路由的 VPN。在基于路由的 VPN 中,QuWAN 设备与 AWS 虚拟私有网关建立 IPsec 隧道,并使用定义的路由表在本地网络和 AWS VPC 之间路由流量。只有已添加到 QuWAN Orchestrator 的 QNAP 路由器才能用于此设置。QuWAN Orchestrator 管理隧道,处理路由,并保持连接,而 AWS 通过虚拟私有网关路由流量,允许您的网络与云资源之间进行安全、持续的通信。

步骤涵盖配置 AWS VPC 组件、创建和附加 VPN 网关、下载 AWS VPN 配置文件,并在 QuWAN Orchestrator 中应用相应的设置。

重要提示
  • QuWAN 站点到站点 VPN 仅支持 IKEv2。
  • 两个设备(QuWAN 设备和 AWS VPC)必须使用相同的配置设置,VPN 才能正常工作。
  • 在配置站点到站点 VPN 之前,必须将您的 QNAP 设备添加到 QuWAN Orchestrator。要将您的 QNAP 设备添加到 QuWAN Orchestrator,请参阅配置中的章节QuWAN 和 QuWAN Orchestrator 网页帮助
警告

实施站点到站点 VPN 会增加网络的复杂性。在启用之前,请确保您了解安全影响。

步骤

注意
AWS 设置和界面可能会随时间变化。有关全新信息,请参阅AWS 文档

在您的 QNAP 路由器和 AWS 虚拟私有云(VPC)之间创建站点到站点连接 VPN

A. 创建虚拟私有云

  1. 登录到https://console.aws.amazon.com/vpc/
    VPC 仪表板页面出现。
  2. 点击创建 VPC
    创建 VPC页面出现。
  3. VPC 设置,选择仅限 VPC。
  4. 可选:为 VPC 指定一个名称标签,例如:QNAP-RouteBasedVPN
  5. IPv4 CIDR 块,选择IPv4 CIDR 手动输入。
  6. 以 CIDR 格式指定 IPv4 地址(例如,10.20.10.0/24)。
  7. IPv6 CIDR 块,选择无 IPv6 CIDR 块。
  8. 可选:选择一个租赁选项。
    注意
    选择此 VPC 中的 EC2 实例是使用共享服务器(默认)还是仅用于您账户的专用服务器。
  9. 定义一个或多个标签以帮助识别您的资源,并为每个标签分配一个值。
  10. 可选:点击预览代码以可视化配置的 VPC 资源之间的关系。
  11. 点击创建 VPC
    AWS 创建 VPC。

B. 创建子网

  1. 在 VPC 仪表板侧边栏,转到虚拟私有云>子网。
  2. 点击创建子网。页面创建子网出现。
  3. 从下拉菜单中选择您的 VPC。
  4. 为子网指定一个名称标签。
  5. 可选:从下拉菜单中选择一个可用区,或保持无偏好以让 AWS 选择一个。
  6. 指定 IPv4 子网 CIDR 块。
  7. 可选:定义一个或多个标签以帮助识别 VPC 子网,并为每个标签分配一个值。
  8. 点击创建子网。

C. 创建互联网网关

  1. 在 VPC 仪表板侧边栏,转到虚拟私有云>互联网网关。
  2. 点击创建互联网网关.
  3. 可选:定义一个或多个标签以帮助识别 VPC 互联网网关,并为每个标签分配一个值。
  4. 为互联网网关指定一个名称标签。
  5. 点击创建互联网网关
    AWS 创建互联网网关。
  6. 点击操作,然后点击附加到 VPC。附加到 VPC页面出现。
  7. 点击搜索栏下的可用 VPC,然后选择 QuWAN VPC。
  8. 点击附加互联网网关
    AWS 将配置的互联网网关附加到 QuWAN VPC。

D. 将互联网网关添加到路由表

  1. 在 VPC 仪表板侧边栏,进入虚拟私有云>路由表。
  2. 识别与 QuWAN VPC 关联的路由表。
  3. 点击路由表 ID。路由表页面出现。
  4. 点击编辑路由
    编辑路由页面出现。
  5. 点击添加路由。
  6. 输入0.0.0.0/0作为目标。
  7. 点击目标下拉菜单,并选择互联网网关
    互联网网关下出现一个次要字段。
  8. 从下拉菜单中选择先前配置的互联网网关。
  9. 点击保存更改
    AWS 更新路由表。

E. 为 VPC 配置安全组

  1. 在 VPC 仪表板侧边栏,进入安全>安全组。
  2. 识别与您的 VPC 关联的安全组。
  3. 点击安全组。
    安全组页面出现。
  4. 点击编辑入站规则。编辑入站规则页面出现。
  5. 点击添加规则。
  6. 类型下,选择所有流量。
  7. 来源下,选择任意位置 -IPv4。
  8. 点击保存规则
    AWS 将安全组添加到 QuWAN VPC。

F. 配置虚拟专用网络 (VPN) 设置

  1. 在 VPC 仪表板侧边栏,前往虚拟专用网络 (VPN)>虚拟专用网关。
  2. 点击创建虚拟专用网关。
  3. 为 VPN 指定一个名称标签。
  4. 自治系统编号 (ASN)下,选择Amazon 默认 ASN。
    注意
    ASN(自治系统编号)在 VPN 连接中标识 AWS。默认值为 64512,但如果与您的网络冲突,可以更改。
  5. 可选:定义一个或多个标签以帮助识别 VPC 子网,并为每个标签分配一个值。
  6. 点击创建虚拟专用网关
    AWS 创建虚拟专用网关。
  7. 虚拟专用网关页面,选择您配置的虚拟专用网关。
  8. 点击操作,然后点击附加到 VPC。附加到 VPC页面出现。
  9. 点击搜索栏,在可用 VPC下,然后选择 QuWAN VPC。
  10. 点击附加到 VPC
    AWS 将配置的虚拟专用网关附加到 QuWAN VPC。

G. 确定您的 QNAP 路由器的 LAN 和 WAN IP 地址

  1. 登录到 QuRouter。
  2. 前往 WAN 设置页面:
    • 对于 QHora 路由器:网络>物理网络设置>WAN
    • 对于 QMiro 路由器:网络>WAN 和 LAN>WAN
  3. 识别活动的 WAN 接口。
  4. 复制为 WAN 接口提供的 IP 地址。
  5. 前往 LAN 设置页面:
    • 对于 QHora 路由器:网络>物理网络设置>LAN
    • 对于 QMiro 路由器:网络>WAN 和 LAN>LAN
  6. 识别活动的 LAN 接口。
  7. 复制为 LAN 接口提供的 IP 地址。

H. 将虚拟专用网关添加到路由表

  1. 在 VPC 仪表板侧边栏,前往虚拟私有云>路由表。
  2. 识别与 QuWAN VPC 关联的路由表。
  3. 点击路由表 ID。
    路由表页面出现。
  4. 点击编辑路由
    编辑路由页面出现。
  5. 点击添加路由。
  6. 输入复制的 QuRouter LAN 接口 IP 地址及其子网(CIDR 表示法)作为目标。
  7. 点击目标下拉菜单,选择虚拟私有网关
    互联网网关下出现一个次要字段。
  8. 从下拉菜单中选择先前配置的虚拟私有网关。
  9. 点击保存更改
    AWS 更新路由表。

I. 为 VPC 创建客户网关

  1. 在 VPC 仪表板侧边栏,前往虚拟专用网络 (VPN)>客户网关。
  2. 点击创建客户网关。
  3. 为客户网关指定一个名称标签。
  4. 在 IP 地址字段中输入复制的 QuRouter WAN 接口 IP 地址。
  5. 可选:点击添加新标签以定义一个或多个标签来帮助识别客户网关,并为每个标签分配一个值。
  6. 点击创建客户网关。

J. 创建站点到站点 VPN 连接

  1. 在 VPC 仪表板侧边栏,前往虚拟专用网络 (VPN)>站点到站点 VPN 连接。
  2. 点击创建 VPN 连接。
  3. 为 VPN 连接指定一个名称标签。
  4. 目标网关类型下,选择虚拟私有网关。
  5. 从下拉菜单中选择预配置的虚拟私有网关。
  6. 客户网关下,选择现有的。
  7. 从下拉菜单中选择预配置的客户网关。
  8. 路由选项下,选择静态。
  9. 添加静态 IP 前缀字段中输入 QuRouter LAN 接口 IP 地址及其子网(CIDR 表示法)。
  10. 可选:配置预共享密钥存储、本地 IPv4 网络 CIDR、远程 IPv4 网络 CIDR 字段。
  11. 可选:配置主隧道和次隧道设置。
  12. 可选:点击添加新标签以定义一个或多个标签来帮助识别客户网关,并为每个标签分配一个值。
    注意
    AWS 创建与 QNAP 路由器的站点到站点 VPN 连接。在VPN 连接页面上,验证连接状态更改为可用

K. 下载站点到站点 VPN 配置文件

  1. 在 VPC 仪表板侧边栏,前往虚拟专用网络 (VPN)>站点到站点 VPN 连接。
  2. 找到您在上一步创建的站点到站点 VPN 连接。
  3. 选择 VPN 连接。
  4. 点击下载配置
    出现下载配置窗口。
  5. 供应商下,选择Strongswan。
  6. IKE 版本下,选择ikev2。
  7. 点击下载
    配置文件以 TXT 格式下载。
  8. 点击X下载配置窗口上。

在 AWS 中启动一个 EC2 (弹性云计算) 实例

  1. 前往https://console.aws.amazon.com/ec2/
  2. 在侧边栏,前往实例>实例。
  3. 找到启动实例部分。
  4. 点击启动实例
    出现启动实例页面。
  5. 为实例指定一个名称标签。
  6. 应用程序和操作系统镜像 (Amazon 机器镜像)下,点击Ubuntu。
  7. 密钥对 (登录)下,点击创建新密钥对
    出现创建密钥对窗口。
  8. 为密钥对指定一个名称。
  9. 密钥对类型下,选择RSA。
  10. 私钥文件格式下,选择.pem。
  11. 点击创建密钥对
    AWS 以所选格式下载密钥对配置文件。
  12. 从下拉菜单中选择先前配置的密钥对,在密钥对 (登录)部分。
  13. 点击编辑网络设置部分。
  14. VPC - 必需下,选择预配置的 VPC。
  15. 自动分配公共 IP下,选择启用。
  16. 防火墙 (安全组)下,选择选择现有安全组。
  17. 常用安全组下,选择先前配置的安全组。
  18. 可选:配置存储和优异设置。
  19. 点击启动实例
    AWS 启动 EC2 实例。

在 QuWAN Orchestrator 中配置站点到站点 VPN 设置

    1. 使用您的 QNAP ID 凭据登录QuWAN Orchestrator
    2. 选择您的组织。
    3. 前往QuWAN 拓扑>基于路由的 VPN。
    4. 点击创建新连接
      出现创建新连接窗口。
    5. 配置基于路由的 VPN 连接设置。
      设置描述
      连接名称分配一个描述性名称(例如,AWS 站点到站点 VPN)。
      IPsec 模式选择隧道模式。
      设备指定适当的中心用于连接。
      WAN 接口输入所需的 WAN 接口。
      远程 IP 或 ID指定远程网关设备的公共 IP 地址或主机名。
      测试连接(可选)点击以 ping 设备以确认连接。
      预共享密钥建立一个强大的预共享密钥,确保在远程网关上配置相同。
    6. 点击优异设置  以配置优异基于路由的 VPN 连接设置。
      设置用户操作示例值
      互联网密钥交换(IKE)
      版本选择IKEv2。-
      认证算法选择一个强大的认证算法。AES-128
      加密选择一种强大的加密方法。AES-128
      DH 组选择 DH 组大小以确定在 Diffie-Hellman 交换期间使用的密钥强度。14
      安全关联(SA)生命周期定义 IKE 安全关联(SA)持续时间,以减少与密钥暴露相关的加密风险。480
      本地 ID(可选)如果您使用动态 DNS(DDNS)服务进行基于路由的 VPN 连接,请输入本地 ID。-
      封装安全载荷(ESP)
      认证算法选择一个认证算法。SHA-256
      加密选择一种加密方法。AES-128
      启用完善前向保密(PFS)启用以为每个会话生成新的 Diffie-Hellman(DH)密钥,确保更强的安全性。-
      DH 组选择 DH 组大小以定义 VPN 连接的密钥强度。14
      安全关联(SA)生命周期定义 SA 生命周期持续时间,以指定在重新密钥之前安全关联保持有效的时间。60 分钟
      启用死对等检测(DPD)启用以识别和响应对等设备故障。-
      DPD 超时设置 DPD 超时以定义设备在认为对等方无响应之前等待的时间。10 秒
    7. 选择一个位置设置以指定设备位置的确定方式:
      • 通过 IP 地址定位:自动根据设备的 IP 地址检测位置。
      • 通过 GPS 坐标更新:需要用户手动提供纬度和经度值。
    8. 启用启用 NAT 模式以确保即使网络中存在 NAT 设备,VPN 连接也能正常工作。
    9. 指定本地隧道 IP 地址以促进 NAT 穿越。
    10. 目标配置中,点击添加子网。
    11. 指定您想要访问的远程网络的内部子网。
    12. 点击。
    13. 点击创建。
      注意
      如果基于路由的 VPN 连接成功,状态字段将显示已连接状态。

进一步阅读

这篇文章有帮助吗?

谢谢您,我们已经收到您的意见。

请告诉我们如何改进这篇文章:

如果您想提供其他意见,请于下方输入。

选择规格

      显示更多 隐藏更多
      open menu
      back to top