Site-to-Site VPN
Usługa Site-to-Site VPN umożliwia sieciom znajdującym się w wielu stałych lokalizacjach nawiązywanie bezpiecznych połączeń między sobą za pośrednictwem Internetu.
Podczas pierwszej konfiguracji usługi Site-to-Site IPSec VPN konieczne może być ręczne dodanie profilu w urządzeniu Synology Router, a następnie eksport/import profilu do innego produktu firmy Synology obsługiwanego przez usługę VPN Plus. Gdy zdecydujesz się dodać lub edytować profil ręcznie, wyświetlone zostanie okno konfiguracji z kartami Ogólne oraz Szyfrowanie. Szczegółowe informacje można znaleźć w następujących sekcjach.
Uwaga:
- Funkcja eksportu/importu profilu jest niedostępna w przypadku ustawienia tunelu Site-to-Site VPN na innym urządzeniu obsługującym IPSec, niebędącym produktem firmy Synology.
Ogólne
- Nazwa profilu: modyfikowalna nazwa profilu.
- Klucz wstępny: Określ klucz wstępny w obu lokalizacjach, aby zapewnić odpowiedni poziom bezpieczeństwa. Nawiązywanie połączeń powiedzie się tylko wtedy, gdy w obu lokalizacjach wprowadzono identyczny klucz wstępny.
- Włącz to połączenie: Zaznacz to pole wyboru, aby rozpocząć połączenie od razu po zakończeniu konfiguracji. Funkcja ta będzie działać, tylko wtedy, gdy zostanie włączona w obu lokalizacjach.
- Lokalizacja lokalna:
- Wychodzący adres IP: wskaż jeden z interfejsów sieciowych urządzenia Synology Router, aby skonfigurować usługę Site-to-Site VPN.
- Identyfikator lokalny: określ identyfikator lokalny, którym może być zarówno publiczny adres IP, jak i nazwa FQDN.
- Podsieć prywatna: Określ sieć lokalną w ramach prywatnej podsieci.
Uwaga: Opcje dostępne na liście rozwijanej zostały zdefiniowane w sekcji Obiekt. Obiekty puli adresów o typie Zakres IP nie są obsługiwane w przypadku konfiguracji Site-to-Site VPN. Na liście rozwijanej wyświetlane będą tylko obiekty typu Podsieć.
- Lokalizacja zdalna:
- Adres IP/FQDN: wprowadź publiczny adres IP lub nazwę FQDN, która umożliwia dostęp zewnętrzny.
- Identyfikator zdalny: określ identyfikator zdalny, którym może być zarówno publiczny adres IP, jak i nazwa FQDN.
- Prywatna podsieć: sieć lokalna znajdująca się w prywatnej podsieci lokalizacji zdalnej.
- Dead Peer Detection:
- Włącz: zaznacz to pole wyboru, aby włączyć funkcję Dead Peer Detection (DPD).
- Opóźnienie DPD: określ odstęp czasowy między pakietami DPD.
- Limit czasu DPD: określ limit czasu, po którym system rozpozna utratę połączenia z lokalizacją zdalną, jeżeli nie otrzyma w jego trakcie pakietów DPD.
Uwaga:
- Prywatne podsieci lokalnych i zdalnych lokalizacji nie mogą na siebie nachodzić.
- Aby uzyskać więcej informacji technicznych na temat funkcji Dead Peer Detection, zapoznaj się z dokumentem RFC 3706.
Szyfrowanie
- Wersja IKE: Wybierz IKEv1 lub IKEv2. Obie lokalizacje muszą korzystać z tej samej wersji IKE.
- Tryb: Wybierz Tryb główny lub Tryb agresywny. Obie lokalizacje muszą korzystać z tego samego trybu.
- Szyfrowanie: Wybierz jedną lub więcej metod spośród następujących: AES256, AES192, AES128 i 3DES. Należy wybrać co najmniej jedną metodę szyfrowania stosowaną przez drugą lokalizację.
- Uwierzytelnienie: Wybierz jedną lub więcej metod spośród następujących: SHA-512, SHA-384, SHA-256, SHA1, MD5. Należy wybrać co najmniej jedną metodę uwierzytelniania stosowaną przez drugą lokalizację.
- Grupa DH: określ tę samą grupę DH (Diffie-Hellman) dla obu lokalizacji.
- Czas życia klucza: Określ czas, przez który klucz będzie ważny. Po wygaśnięciu klucza obie lokalizacje wymienią się nowym kluczem.
- Włącz Perfect Forward Secrecy (PFS): włączenie tej opcji może nieznacznie wpłynąć na wydajność, lecz zwiększy bezpieczeństwo.
Uwaga:
- Niespójności konfiguracji obu lokalizacji mogą skutkować niepowodzeniem połączenia. Zaleca się wyeksportowanie/zaimportowanie konfiguracji jednej lokalizacji do drugiej w celu ułatwienia konfiguracji i minimalizacji możliwości wystąpienia błędów.