Site-to-Site VPN
Služba Site-to-Site VPN umožňuje navázání vzájemných zabezpečených připojení přes internet mezi sítěmi na více pevných místech.
Při prvním nastavení služby Site-to-Site IPSec VPN může být nutné ručně přidat profil do zařízení Synology Router a poté tento profil exportovat/importovat do dalšího produktu podporujícího službu VPN Plus. Pokud se rozhodnete tento profil přidat nebo upravit ručně, zobrazí se konfigurační okno s kartami Obecné a Šifrování. Podrobné informace se nacházejí v následujících částech.
Poznámka:
- Funkce exportu nebo importu profilu není k dispozici, pokud nastavíte tunel Site-to-Site VPN do jiného zařízení s podporou protokolu IPSec než produktu Synology.
Obecné
- Název profilu: Přizpůsobitelný název tohoto profilu.
- Předsdílený klíč: Zabezpečení je možné zvýšit zadáním předsdíleného klíče na obou serverech. Připojení budou fungovat pouze v případě, že byly na obou serverech zadány stejné předsdílené klíče.
- Povolit toto připojení: Zaškrtnutím tohoto políčka zahájíte připojení ihned po nastavení. Tato funkce bude fungovat pouze v případě, že je povolená na obou serverech.
- Místní server:
- Odchozí IP: Stanovte jedno ze síťových rozhraní na zařízení Synology Router, které se k nastavení služby Site-to-Site VPN použije.
- Místní ID: Zadejte místní ID, které může být buď veřejná IP adresa, nebo FQDN.
- Privátní podsíť: Zadejte místní síť pod privátní podsítí.
Poznámka: Možnosti v rozevíracím seznamu byly nadefinovány v objektu. Konfigurace služby Site-to-Site VPN nepodporuje objekty fondu adres v typu Rozsah IP. V rozevíracím seznamu se zobrazí pouze objekty typu Podsíť.
- Vzdálený server:
- IP adresa / FQDN: Vyplňte veřejnou IP adresu nebo název FQDN vzdáleného serveru, který umožňuje externí přístup.
- Vzdálené ID: Zadejte vzdálené ID, kterým může být buď veřejná IP adresa nebo název FQDN.
- Privátní podsíť: Místní síť pod privátní podsítí vzdáleného serveru.
- Dead Peer Detection:
- Povolit: Zaškrtnutím políčka povolíte funkci Dead Peer Detection (DPD).
- Prodleva DPD: Zadejte časový interval mezi pakety DPD.
- Časový limit DPD: Zadejte mezní hodnotu doby, po které systém rozpozná ztrátu připojení ke vzdálenému webu, pokud neobdrží žádné pakety DPD po dobu delší, než je tato hodnota mezní doby.
Poznámka:
- Privátní podsítě místních a vzdálených webů se nesmí překrývat.
- Další technické informace o funkci Dead Peer Detection se nacházejí v dokumentu RFC 3706.
Šifrování
- Verze IKE: Vyberte možnost IKEv1 nebo IKEv2. Oba servery musí mít nastavenou stejnou verzi IKE.
- Režim: Vyberte možnost Hlavní režim nebo Agresivní režim. Oba servery musí mít nastavený stejný režim.
- Šifrování: Vyberte jednu či více z následujících možností: AES256, AES192, AES128 a 3DES. Musíte vybrat alespoň jeden způsob šifrování, který převezme i druhý server.
- Ověřování: Vyberte jednu či více z následujících možností: SHA-512, SHA-384, SHA-256, SHA1, MD5. Musíte vybrat alespoň jeden způsob ověřování, který převezme i druhý server.
- Skupina DH: Pro oba servery zadejte stejnou skupinu Diffie-Hellman (DH).
- Životnost klíče: Zadejte, jak dlouho bude klíč platný. Po vypršení platnosti klíče si oba servery vymění nový klíč.
- Povolit funkci PFS (Perfect Forward Secrecy): Po povolení této možnosti se možná mírně sníží výkon, zvýší se ale zabezpečení.
Poznámka:
- Neshodné konfigurace obou serverů můžou vést k neúspěšnému připojení. Kvůli zrychlení nastavení a minimalizaci možnosti vzniku chyb doporučujeme konfiguraci exportovat z jednoho serveru a importovat ji do serveru druhého.