Site-to-Site VPN
Site-to-Site VPN ermöglicht sichere Verbindungen zwischen Netzwerken an mehreren fixen Standorten über das Internet.
Wenn Sie zum ersten Mal ein Site-to-Site IPSec VPN einrichten, müssen Sie unter Umständen manuell ein Profil zu Ihrer Synology Router hinzufügen und dann das Profil zu einem anderen von VPN Plus unterstützten Synology-Produkt exportieren bzw. importieren. Wenn Sie das Profil manuell bearbeiten oder hinzufügen, wird das Konfigurationsfenster in den Registerkarten Allgemein und Verschlüsselung angezeigt. Details hierzu finden Sie in den folgenden Abschnitten.
Anmerkung:
- Die Funktion Profilexport/-import ist nicht verfügbar, wenn Sie einen Site-to-Site VPN-Tunnel zu einem IPSec unterstützenden Gerät einrichten, das kein Synology-Produkt ist.
Allgemein
- Profilname: anpassbarer Name dieses Profils.
- Vorinstallierter Schlüssel: Legen Sie den vorinstallierten Schlüssel an beiden Orten fest, um die Sicherheit zu erhöhen. Die Verbindung wird nur hergestellt, wenn an beiden Orten exakt derselbe vorinstallierte Schlüssel angegeben wird.
- Diese Verbindung aktivieren: Aktivieren Sie dieses Kontrollkästchen, um die Verbindung direkt nach der Einrichtung herzustellen. Diese Funktion wird nur wirksam, wenn sie an beiden Orten aktiviert ist.
- Lokaler Ort:
- Ausgehende IP: Geben Sie eine der Netzwerkschnittstellen auf Ihrer Synology Router für die Einrichtung des Site-to-Site-VPN-Diensts an.
- Lokale ID: Geben Sie die Lokale ID an, die eine öffentliche IP-Adresse oder ein FQDN sein kann.
- Privates Subnetz: Geben Sie das lokale Netzwerk unter dem privaten Subnetz an.
Anmerkung: Die Optionen in der Dropdown-Liste wurden in Objekt definiert. Objekte des Adressen-Pools im Typ IP-Bereich werden von der Site-to-Site VPN-Konfiguration nicht unterstützt. Sie sehen nur die Objekte im Typ Subnetz der Dropdown-Liste.
- Remote-Ort:
- IP-Adresse/FQDN: Tragen Sie die öffentliche IP-Adresse oder den FQDN des Remote-Ortes für den externen Zugriff ein.
- Remote-ID: Geben Sie die Remote-ID an, die eine öffentliche IP-Adresse oder ein FQDN sein kann.
- Privates Subnetz: lokales Netzwerk unter dem privaten Subnetz des Remote-Ortes.
- Dead Peer Detection:
- Aktivieren: Markieren Sie das Kontrollkästchen, um Dead Peer Detection (DPD) zu aktivieren.
- DPD-Verzögerung: Geben Sie den Zeitintervall zwischen DPD-Paketen an.
- DPD-Zeitüberschreitung: Geben Sie den Zeitraum an, für den das System eine Verbindungsunterbrechung zum Remote-Ort erkennen kann, wenn für längere Zeit als in diesem Zeitraum keine DPD-Pakete empfangen wurden.
Anmerkung:
- Die privaten Subnetze von lokalen und Remote-Orten dürfen sich nicht überschneiden.
- Weitere technische Informationen über die Funktion Dead Peer Detection finden Sie im Dokument RFC 3706.
Verschlüsselung
- IKE-Version: Wählen Sie IKEv1 oder IKEv2. Beide Orte müssen dieselbe IKE-Version verwenden.
- Modus: Wählen Sie Main Mode oder Aggressive Mode. Beide Orte müssen denselben Modus verwenden.
- Verschlüsselung: Wählen Sie mindestens eine der verfügbaren Optionen AES256, AES192, AES128 und 3DES. Sie müssen mindestens eine Verschlüsselungsmethode auswählen, die vom anderen Ort angenommen wird.
- Authentifizierung: Wählen sie mindestens eine der verfügbaren Optionen SHA-512, SHA-384, SHA-256, SHA1, MD5. Sie müssen mindestens eine Authentifizierungsmethode auswählen, die vom anderen Ort angenommen wird.
- DH-Gruppe: Geben Sie dieselbe Diffie-Hellman-(DH)-Gruppe für beide Orte an.
- Schlüsselgültigkeitsdauer: Geben Sie an, wie lange der Schlüssel gültig ist. Nachdem die Gültigkeit des Schlüssels abgelaufen ist, werden beide Orte den neuen Schlüssel austauschen.
- Perfect Forward Secrecy (PFS) aktivieren: Das Aktivieren dieser Option kann die Leistung leicht beeinträchtigen, erhöht jedoch die Sicherheit.
Anmerkung:
- Eine abweichende Konfiguration an den beiden Orten kann dazu führen, dass die Verbindung fehlschlägt. Wir empfehlen, die Konfiguration eines Ortes zu exportieren und am anderen Ort zu importieren, um die Einrichtung zu erleichtern und potenzielle Fehlerquellen auszuschalten.