Site-to-Site VPN
Met Site-to-Site VPN kunnen netwerken op verschillende vaste locaties veilige onderlinge verbindingen maken via het internet.
Wanneer u Site-to-Site IPSec VPN voor het eerst instelt, moet u mogelijk handmatig een profiel aan uw Synology Router toevoegen en het profiel vervolgens exporteren/importeren naar een ander Synology-product dat VPN Plus ondersteunt. Het configuratiescherm om handmatig een profiel toe te voegen of te bewerken vindt u op de tabbladen Algemeen en Codering. Raadpleeg het onderstaande gedeeltes voor gedetailleerde informatie.
Opmerking:
- de functie profiel exporteren/importeren is niet beschikbaar wanneer u een Site-to-Site VPN-tunnel instelt met een ander IPSec-ondersteund apparaat dan een Synology-product.
Algemeen
- Profielnaam: aanpasbare naam van dit profiel.
- Voorafgedeelde sleutel: voer op beide sites de voorafgedeelde sleutel in om de veiligheid te verbeteren. Succesvolle verbindingen zijn alleen mogelijk wanneer de identieke voorafgedeelde sleutel op beide sites is ingevoerd.
- Deze verbinding inschakelen: schakel dit selectievakje in door onmiddellijk na instelling een verbinding te maken. Deze functie werkt alleen wanneer op beide sites ingeschakeld.
- Lokale site:
- Uitgaande IP: specificeer een van de netwerkinterfaces op uw Synology Router om de Site-to-Site VPN-service in te stellen.
- Lokale ID: Voer de lokale ID in, wat een publiek IP-adres of een FQDN kan zijn.
- Privésubnetwerk: Voer het lokale netwerk in onder het privésubnetwerk.
Opmerking: De opties in de vervolgkeuzelijst zijn bepaald in Object. Adrespoolobjecten in het IP-bereik type is niet ondersteund door Site-to-Site VPN-configuratie. U ziet alleen de objecten in Subnet type in het vervolgkeuzemenu.
- Externe site:
- IP-adres/FQDN: Vul het openbare IP-adres of FQDN van uw externe site in om externe toegang te garanderen.
- Externe ID: Voer de externe ID in, wat een publiek IP-adres of een FQDN kan zijn.
- Privésubnetwerk: lokaal netwerk onder het privésubnetwerk van de externe site.
- Dead Peer Detection:
- Inschakelen: Schakel het selectievakje in om Dead Peer Detection in te schakelen (DPD).
- DPD-vertraging: Geef het tijdsineterval op tussen DPD-pakketten.
- DPD-time-out: Voer een tijdsdrempel in voor het systeem om een verbroken verbinding met de externe site te detecteren wanneer er langer dan deze drempel geen DPD-pakketten zijn ontvangen.
Opmerking:
- De privésubnetwerken van lokale en externe sites mogen elkaar niet overlappen.
- U kunt het RFC 3706-document lezen voor meer informatie over Dead Peer Detection.
Codering
- IKE-versie: selecteer IKEv1 of IKEv2. Beide sites moeten dezelfde IKE-versie hebben.
- Modus: Selecteer Hoofdmodus of Agressieve modus. Beide sites moeten dezelfde modus hebben.
- Codering: selecteer een of meer van AES256, AES192, AES128 en 3DES. U moet minstens een coderingsmethode selecteren die door de andere site wordt gebruikt.
- Verificatie: selecteer een of meer van SHA-512, SHA-384, SHA-256, SHA1, MD5. U moet minstens een verficiatiemethode selecteren die door de andere site wordt gebruikt.
- DH groep: specificeer dezelfde Diffie-Hellman (DH) groep voor beide sites.
- Sleutellevensduur: specificeer hoe lang de sleutel geldig blijft. Zodra de sleutel vervalt, zullen beide sites de nieuwe sleutel uitwisselen.
- Perfect Forward Secrecy (PFS) inschakelen: het inschakelen van deze optie kan de prestaties enigszins beïnvloeden, maar verbetert de beveiliging.
Opmerking:
- configuratie-inconsistenties tussen de twee sites kan verbindingsfouten veroorzaken. We raden u aan om de configuratie van een site naar de andere te kopiëren om de instelling te vereenvoudigen en eventuele fouten te voorkomen.