Site-to-Site VPN
Site-to-Site VPN позволяет нескольким стационарным сетям безопасно подключаться друг к другу через Интернет.
При первой настройке Site-to-Site IPSec VPN может потребоваться вручную добавить профиль вашего Synology Router, а затем экспортировать/импортировать этот профиль в другой продукт Synology с поддержкой VPN Plus. При добавлении или изменении профиля вручную откроется окно конфигурации с вкладками Общие и Шифрование. Дополнительные сведения см. в следующих разделах.
Примечание
- Функция экспорта/импорта профиля недоступна, если туннель Site-to-Site VPN настроен для другого устройства с поддержкой IPSec (не продукт Synology).
Общие
- Имя профиля: изменяемое имя данного профиля.
- Предварительно выданный ключ: укажите предварительно выданный ключ для обоих объектов для повышения уровня безопасности. Подключения будут успешно установлены, только если идентичные предварительно выданные ключи будут указаны на обоих объектах.
- Разрешить данное подключение: установите этот флажок, чтобы запустить подключение сразу после завершения настройки. Эта функция будет запущена, только если она включена на обоих объектах.
- Локальный объект:
- Исходящий IP-адрес: укажите один из сетевых интерфейсов вашего Synology Router для настройки службы Site-to-Site VPN.
- Локальный ИД: укажите локальный ИД (публичный IP-адрес или FQDN).
- Частная подсеть: укажите локальную сеть в частной подсети.
Примечание. Параметры в раскрывающемся списке определены в разделе Объект. Объекты пула адресов с типом Диапазон IP-адресов не поддерживаются конфигурацией Site-to-Site VPN. В раскрывающемся списке отображаются только объекты с типом Подсеть.
- Удаленный объект:
- IP-адрес/FQDN: введите публичный IP-адрес или FQDN удаленного объекта для обеспечения внешнего доступа.
- Удаленный ИД: укажите удаленный ИД (публичный IP-адрес или FQDN).
- Частная подсеть: локальная сеть в частной подсети удаленного объекта.
- Обнаружение неработающих пиров (Dead Peer Detection):
- Включить: установите флажок, чтобы включить Обнаружение неработающих пиров (Dead Peer Detection) (DPD).
- Задержка DPD: укажите временной интервал между пакетами DPD.
- Истекло время ожидания DPD: укажите временной порог, в течение которого система должна обнаружить потерю соединения с удаленным объектом (пакеты DPD должны отсутствовать в течение указанного временного порога).
Примечание
- Частные подсети локальных и удаленных сайтов не должны пересекаться.
- См. документ RFC 3706 для получения дополнительных технических сведений об обнаружении неработающих пиров (Dead Peer Detection).
Шифрование
- Версия IKE: выберите IKEv1 или IKEv2. Оба объекта должны использовать одинаковую версию IKE.
- Режим: выберите Главный режим или Агрессивный режим. Оба объекта должны использовать одинаковый режим.
- Шифрование: выберите один или несколько методов: AES256, AES192, AES128 и 3DES. Необходимо выбрать не менее одного метода шифрования, принятого на другом объекте.
- Аутентификация: выберите один или несколько методов: SHA-512, SHA-384, SHA-256, SHA1, MD5. Необходимо выбрать не менее одного метода аутентификации, принятого на другом объекте.
- Группа DH: укажите одинаковую группу DH (Diffie-Hellman) для обоих объектов.
- Срок действия ключа: укажите срок действия ключа. После истечения срока действия ключа оба объекта получат новый ключ.
- Включить безопасную пересылку (PFS): включение этого параметра может ненавязчиво повлиять на производительность, но уровень безопасности будет повышен.
Примечание
- Несовпадение конфигурации двух объектов может привести к сбою подключения. Рекомендуется экспортировать/импортировать конфигурацию с одного объекта на другой, чтобы упростить процедуру настройки и свести к минимуму возможное количество ошибок.