Site-to-Site VPN
Site-to-Site VPN을 사용하면 여러 고정 위치의 네트워크가 인터넷을 통해 상호 보안 연결을 설정할 수 있습니다.
Site-to-Site IPSec VPN을 처음 설정하는 경우 Synology Router에서 프로필을 수동으로 추가한 후 프로필을 다른 VPN Plus 지원 Synology 제품으로 내보내고 가져와야 할 수 있습니다. 프로필을 수동으로 추가 또는 편집하는 경우 일반 및 암호화 탭이 있는 구성 창이 표시됩니다. 자세한 내용은 다음 섹션을 참조하십시오.
참고:
- Site-to-Site VPN 터널을 Synology 제품 외 다른 IPSec 지원 장치로 설정하면 프로필 내보내기/가져오기 기능을 사용할 수 없습니다.
일반
- 프로필 이름: 사용자 지정할 수 있는 이 프로필 이름입니다.
- 사전 공유 키: 보안을 강화하기 위해 두 사이트에서 사전 공유 키를 지정합니다. 두 사이트에서 동일한 사전 공유 키를 지정한 경우에만 연결이 가능합니다.
- 이 연결 활성화: 이 확인란을 선택하면 설정 직후 연결이 시작됩니다. 이 기능은 양 사이트 모두에서 활성화한 경우에만 적용됩니다.
- 로컬 사이트:
- 아웃바운드 IP: Synology Router에서 네트워크 인터페이스 중 하나를 지정하여 Site-to-Site VPN 서비스를 설정합니다.
- 로컬 ID: 로컬 ID를 지정합니다. 로컬 ID는 공용 IP 주소이거나 FQDN일 수 있습니다.
- 비공개 서브넷: 비공개 서브넷에서 로컬 네트워크를 지정합니다.
참고: 드롭다운 목록에서의 옵션은 개체에서 지정됩니다. Site-to-Site VPN 구성에서는 IP 범위 유형의 주소 풀 개체가 지원되지 않습니다. 드롭다운 목록의 서브넷 유형에서만 개체를 확인할 수 있습니다.
- 원격 사이트:
- IP 주소/FQDN: 외부 액세스를 위한 원격 사이트의 공용 IP 주소 또는 FQDN을 입력합니다.
- 원격 ID: 원격 ID를 지정합니다. 원격 ID는 공용 IP 주소 또는 FQDN일 수 있습니다.
- 비공개 서브넷: 원격 사이트의 비공개 서브넷에 있는 로컬 네트워크입니다.
- Dead Peer Detection:
- 활성화: 확인란을 선택하면 Dead Peer Detection(DPD)이 활성화됩니다.
- DPD 지연: DPD 패킷 간 시간 간격을 지정합니다.
- DPD 타임아웃: 해당 시간 임계값보다 장기간 DPD 패킷이 수신되지 않은 경우, 원격 사이트로의 연결 손실을 인식할 수 있도록 시스템의 시간 임계값을 지정합니다.
참고:
- 로컬 및 원격 사이트의 비공개 서브넷을 중첩할 수 없습니다.
- Dead Peer Detection의 보다 자세한 기술 정보는 RFC 3706 문서를 참조하십시오.
암호화
- IKE 버전: IKEv1 또는 IKEv2를 선택합니다. 양 사이트의 IKE 버전이 동일해야 합니다.
- 모드: 메인 모드 또는 적극적인 모드를 선택합니다. 양 사이트의 모드는 동일해야 합니다.
- 암호화: AES256, AES192, AES128 및 3DES에서 하나 이상을 선택합니다. 다른 사이트에서 채택된 암호화 방법을 최소 하나 이상 선택해야 합니다.
- 인증: SHA-512, SHA-384, SHA-256, SHA1, MD5에서 하나 이상을 선택합니다. 다른 사이트에서 채택된 인증 방법을 최소 하나 이상 선택해야 합니다.
- DH 그룹: 양 사이트에 동일한 DH(Diffie-Hellman) 그룹을 지정합니다.
- 키 수명: 키 유효 기간을 지정합니다. 키가 만료되면 양 사이트가 새 키를 교환합니다.
- PFS(Perfect Forward Secrecy) 활성화: 이 옵션을 활성화하면 성능이 약간 영향을 받을 수 있지만 보안은 향상됩니다.
참고:
- 두 사이트 간에 구성이 일치하지 않으면 연결되지 않을 수 있습니다. 원활하게 설정하고 오류 가능성을 최소화하려면 한 사이트의 구성을 다른 사이트로 내보내거나 가져오는 것이 좋습니다.