Site-to-Site VPN
Site-to-Site VPN は、複数の固定場所にあるネットワークがインターネット上でお互いに安全な接続を確立することを許可します。
最初に Site-to-Site IPSec VPN をセットアップしたときに、手動で Synology Router にプロファイルを追加する必要があります。そして、その後プロファイルを VPN Plus がサポートされた Synology 製品にエクスポート/インポートします。 手動でプロファイルを追加または編集することを選択した場合、[全般]と[暗号化]のタブで構成ウィンドウを見ることができます。 詳細は、以下のセクションをお読みください。
注:
- Site-to-Site VPN を Synology 製品以外の他の IPSec サポートのデバイスに設定した場合、プロファイル エクスポート/インポートの機能は利用できません。
一般
- プロファイル名: このプロファイルのカスタマイズ可能な名前。
- 事前共有キー: 事前共有鍵を両方のサイトで指定してセキュリティを高めます。 同一の事前共有鍵が両サイトで指定された場合にのみ接続は成功します。
- この接続を有効化: このチェックボックスにチェックを入れて、セットアップ後すぐに接続を開始してください。 この機能は、両方のサイトで有効化された場合にのみ有効になります。
- ローカル サイト:
- アウトバウンド IP: Synology Router でネットワーク インターフェイスのうちの1つを指定して、Site-to-Site VPN サービスをセットアップします。
- ローカル ID: ローカル ID を指定します。これはパブリック IP アドレスまたは FQDN のいずれかになります。
- プライベート サブネット: プライベート サブネット下のローカル ネットワークを指定します。
注意: ドロップダウン リストのオプションはオブジェクトで定義されています。 IP の範囲のタイプにおけるアドレス プールのオブジェクトは Site-to-Site VPN 構成でサポートされていません。 ドロップダウン リストで[サブネット]タイプのオブジェクトのみを見ることができます。
- リモート サイト:
- IP アドレス/FQDN: 外部アクセスを確保する、リモート サイトのパブリック IP アドレスまたは FQDN を記入します。
- リモート ID: リモート ID を指定します。これはパブリック IP アドレスまたは FQDN のいずれかになります。
- プライベート サブネット: リモート サイトのプライベート サブネット下にあるローカル ネットワーク。
- Dead Peer 検出:
- 有効: チェックボックスにチェックを入れてDead Peer 検出 (DPD) を有効化します。
- DPD 遅延: DPD パケット間の時間間隔を指定します。
- DPD タイムアウト: 時間のしきい値を指定します。システムが、DPD パケットをこの時間のしきい値よりも長い間受信しなかった場合、リモート サイトへの接続の喪失を認識します。
注:
- ローカル サイトとリモート サイトのプライベート サブネットはオーバーラップできません。
- Dead Peer 検出の技術的な詳細情報はRFC 3706ドキュメントをお読みください。
暗号化
- IKE バージョン: IKEv1またはIKEv2を選択します。 両方のサイトが同じ IKE バージョンを持っていなければなりません。
- モード: [Main Mode] または [Aggressive Mode]を選択します。 両方のサイトが同じモードを持っていなければなりません。
- 暗号化: AES256、AES192、AES128、および 3DES から1つまたは複数を選択します。 他方のサイトが採用している暗号化方法を少なくとも1つ選択する必要があります。
- 認証: SHA-512、SHA-384、SHA-256、SHA1、MD5 から1つまたは複数を選択します。 他方のサイトが採用している認証方法を少なくとも1つ選択する必要があります。
- DH グループ: 同じ Diffie-Hellman (DH) グループを両方のサイトに指定します。
- キーの寿命: キーがどれくらいの期間有効になるかを指定します。 キーの有効期限が切れると、両方のサイトが新しいキーを交換します。
- Perfect Forward Secrecy (PFS) の有効化): このオプションを有効化すると、パフォーマンスにわずかに影響が出ることがありますが、セキュリティは強化されます。
注:
- 2つのサイトの構成に不一致があると、接続が失われることがあります。 1つのサイトの構成を他方のサイトにエクスポート/インポートして、セットアップを簡単に行い、エラーの発生を最小化することを推奨します。