Site-to-Site VPN
Site-to-Site VPN consente alle reti in varie posizioni fisse di stabilire connessioni sicure fra loro tramite Internet.
Quando si configurare per la prima volta Site-to-Site IPSec VPN, potrebbe essere necessario aggiungere manualmente un profilo in Synology Router, quindi esportare/importare il profilo su un altro prodotto Synology supportato da VPN Plus. Quando si sceglie di aggiungere o modificare manualmente il profilo, la finestra di configurazione verrà visualizzata con le schede Informazioni generali e Crittografia. Per ulteriori degli, consultare le sezioni seguenti.
Nota:
- la funzione di esportazione/importazione profilo non è disponibile se si configura un tunnel Site-to-Site VPN su un altro dispositivo supportato IPSec diverso dal prodotto Synology.
Informazioni generali
- Nome profilo: nome personalizzabile di questo profilo.
- Chiave pre-condivisa: specificare la chiave pre-condivisa su entrambi i siti per migliorare la sicurezza. Le connessioni saranno eseguite correttamente solo quando la chiave pre-condivisa identica viene specifica su entrambi i siti.
- Abilita connessione: spuntare questa casella di controllo per avviare la connessione subito dopo la configurazione. Questa funzione avrà effetto solo se abilitata su entrambi i siti.
- Sito locale:
- IP in uscita: specificare una delle interfacce di rete in Synology Router per configurare il servizio Site-to-Site VPN.
- ID locale: specificare l'ID locale, che può essere un indirizzo IP pubblico o un FQDN.
- Subnet privata: specificare la rete locale sotto la subnet privata.
Nota: le opzioni nell'elenco a discesa sono state definite in Oggetto. Gli oggetti del pool indirizzi nel tipo Intervallo IP non sono supportati dalla configurazione Site-to-Site VPN. Saranno visualizzati solo gli oggetti nel tipo Subnet nell'elenco a discesa.
- Sito remoto:
- Indirizzo IP/FQDN: compilare l'indirizzo IP pubblico del sito remoto oppure l'FQDN che garantisce l'accesso esterno.
- ID remoto: specificare l'ID remoto, che può essere un indirizzo IP pubblico o un FQDN.
- Subnet privata: rete locale sotto la subnet privata del sito remoto.
- Dead Peer Detection:
- Abilita: spuntare la casella di controllo per abilitare Dead Peer Detection (DPD).
- Posticipo DPD: specificare l'intervallo di tempo tra i pacchetti DPD.
- Timeout DPD: specificare un limite di tempo per consentire al sistema di riconoscere la perdita di connessione al sito remoto quando non riceve alcun pacchetto DPD da un periodo di tempo superiore a questo limite.
Nota:
- Le subnet private di siti locali e remoti non possono sovrapporsi.
- per maggiori informazioni tecniche su Dead Peer Detection, leggere il documento RFC 3706.
Crittografia
- Versione IKE: selezionare IKEv1 o IKEv2. Entrambi i siti devono avere la stessa versione IKE.
- Modalità: selezionare Modalità principale o Modalità aggressiva. Entrambi i siti devono avere la stessa modalità.
- Crittografia: selezionare una o più opzioni fra AES256, AES192, AES128 e 3DES. Selezionare almeno un metodo di crittografia che viene adottato dall'altro sito.
- Autenticazione: selezionare una o più opzioni fra SHA-512, SHA-384, SHA-256, SHA1, MD5. Selezionare almeno un metodo di autenticazione che viene adottato dall'altro sito.
- Gruppo DH: specificare lo stesso gruppo Diffie-Hellman (DH) per entrambi i siti.
- Durata codice: specificare per quanto tempo il codice sarà valido. Dopo la scadenza del codice, entrambi i siti scambieranno il nuovo codice.
- Abilita PFS (Perfect Forward Secrecy): l'attivazione di quest'opzione potrebbe influire sulle prestazioni ma fornirà maggiore sicurezza.
Nota:
- l'inconsistenza della configurazione tra i due siti potrebbe causare un errore di connessione. Si consiglia di esportare/importare la configurazione su un sito nell'altro lato per semplificare la configurazione e ridurre al minimo il rischio di errori.