Site-to-Site VPN
Site-to-Site VPN 服务允许多个固定位置的网络通过 Internet 在彼此之间建立安全连接。
首次设置 Site-to-Site IPSec VPN 时,可能需要将配置文件手动添加到 Synology Router,然后将配置文件导出/导入到另一个支持 VPN Plus 的 Synology 产品中。如果选择手动添加或编辑配置文件,您将看到包含常规和加密选项卡的配置窗口。详情请参见以下部分。
注:
- 如果您将 Site-to-Site VPN 隧道设置到另一个支持 IPSec 的非 Synology 产品设备,则配置文件导出/导入功能不可用。
常规
- 配置文件名称:此配置文件的自定义名称。
- 预共享密钥:指定两个站点的预共享密钥以增强安全性。只有当两个站点指定相同的预共享密钥时,连接才会成功。
- 启用此连接:勾选此复选框以在设置后立即启动连接。只有在两个站点上都启用时,此功能才会生效。
- 本地站点:
- 出站 IP:在 Synology Router 上指定其中一个网络接口,以设置 Site-to-Site VPN 服务。
- 本地 ID:指定本地 ID,可以是公共 IP 地址或 FQDN。
- 专用子网:在专用子网下指定本地网络。
注:下拉列表中的选项已在对象中定义。Site-to-Site VPN 配置不支持 IP 范围类型中的地址池对象。下拉列表中仅显示子网类型的对象。
- 远程站点:
- IP 地址/FQDN:填写您远程站点的公共 IP 地址或 FQDN,以确保外部访问。
- 远程 ID:指定远程 ID,可以是公共 IP 地址或 FQDN。
- 专用子网:在远程站点的专用子网之下的本地网络。
- Dead Peer Detection:
- 启用:勾选该复选框可启用 Dead Peer Detection (DPD)。
- DPD 延迟:指定 DPD 数据包之间的时间间隔。
- DPD 超时:指定一个时间阈值,当系统在超过此时间阈值的时间里未收到任何 DPD 数据包时将确认与远程站点的连接已断开。
注:
- 本地和远程站点的专用子网不能重叠。
- 有关 Dead Peer Detection 的更多技术信息,您可以阅读 RFC 3706 文档。
加密
- IKE 版本:选择 IKEv1 或 IKEv2。两个站点必须具有相同 IKE 版本。
- 模式:选择主模式或积极模式。两个站点必须具有相同模式。
- 加密:从 AES256、AES192、AES128 和 3DES 中任选一个或多个。必须至少选择一个其它站点所采用的加密方法。
- 验证:从 SHA-512、SHA-384、SHA-256、SHA1、MD5 中任选一个或多个。必须至少选择一个其它站点所采用的验证方法。
- DH 群组:为两个站点指定相同 Diffie-Hellman (DH) 群组。
- 密钥使用寿命:指定密钥的有效期。一旦密钥过期,两个站点将交换新密钥。
- 启用完美前向保密 (PFS):启用此选项可能会对性能有细微影响,但会增强安全性。
注:
- 两个站点之间的配置不一致可能导致连接失败。建议将其中一个站点的配置导出/导入到另一个站点,以方便设置并尽量降低出错的可能性。