Site-to-Site VPN
Site-to-Site VPN permite que las redes de varias ubicaciones fijas establezcan conexiones seguras entre sí a través de Internet.
Al configurar por primera vez un servidor de VPN IPSec Site-to-Site, puede que tenga que agregar manualmente un perfil en su Synology Router y, a continuación, exportar o importar dicho perfil en otro servidor VPN Plus compatible con el producto de Synology. Cuando decida agregar o editar manualmente el perfil, aparecerá la ventana de configuración con las pestañas General y Cifrado. Consulte las siguientes secciones para obtener más información.
Observación:
- La función de exportación/importación de perfil no se encuentra disponible si ha configurado un túnel de Site-to-Site VPN en otro dispositivo IPSec compatible distinto de los productos de Synology.
General
- Nombre del perfil: el nombre personalizable de este perfil.
- Clave compartida anteriormente: especifique la clave compartida anteriormente en ambos sitios para mejorar la seguridad. Las conexiones se establecerán correctamente cuando se especifique la misma clave en los dos sitios.
- Habilitar esta conexión: marque esta casilla para iniciar la conexión inmediatamente después de la configuración. Esta función solamente tiene efecto cuando está habilitada en ambos sitios.
- Sitio local:
- IP saliente: especifique una de las interfaces de red de su Synology Router para configurar el servicio de Site-to-Site VPN.
- ID local: especifique el ID local, que puede ser una dirección IP pública o FQDN.
- Subred privada: especifique la red local en la subred privada.
Nota: Las opciones disponibles en la lista desplegable se han definido en Objeto. Los objetos del grupo de direcciones en el tipo Rango de IP no son compatibles con la configuración Site-to-Site VPN. Únicamente verá los objetos de tipo Subred en la lista desplegable.
- Sitio remoto:
- Dirección IP/FQDN: rellene el FQDN o la dirección IP pública del sitio remoto, que garantiza el acceso externo.
- ID remota: especifique el ID remoto, que puede ser una dirección IP pública o FQDN.
- Subred privada: red local en la subred privada del sitio remoto.
- Dead Peer Detection:
- Habilitar: marque la casilla de verificación para permitir Dead Peer Detection (DPD).
- Retardo DPD: especifique el intervalo de tiempo entre los paquetes DPD.
- Tiempo de espera DPD: especifique un umbral temporal para que el sistema reconozca la pérdida de conexión al sitio remoto cuando no haya recibido paquetes DPD durante más tiempo que ese umbral de tiempo.
Observación:
- Las subredes privadas de sitios locales y remotos no pueden solaparse.
- Puede leer el documento RFC 3706 para obtener más información técnica sobre Dead Peer Detection.
Cifrado
- Versión de IKE: seleccione IKEv1 o IKEv2. Los dos sitios deben tener la misma versión de IKE.
- Modo: seleccione Modo principal o Modo agresivo. Los dos sitios deben tener el mismo modo.
- Cifrado: seleccione uno o varios métodos de AES256, AES192, AES128 y 3DES. Debe elegir, como mínimo, un método de cifrado que tenga el otro sitio.
- Autenticación: seleccione uno o varios métodos de SHA-512, SHA-384, SHA-256, SHA1 y MD5. Debe elegir, como mínimo, un método de autenticación que tenga el otro sitio.
- Grupo de DH: especifique el mismo grupo de Diffie-Hellman (DH) en ambos sitios.
- Ciclo de vida de la clave: especifique durante cuánto tiempo será válida la clave. Cuando caduque, los dos sitios intercambiarán la nueva clave.
- Habilitar Confidencialidad directa total (PFS): al activar esta opción, el rendimiento puede verse afectado ligeramente, aunque disfrutará de mayor seguridad.
Observación:
- Si hay incoherencias de configuración entre los dos sitios, pueden producirse fallos en la conexión. Recomendamos exportar o importar la configuración de un sitio al otro con el fin de facilitar la configuración y reducir al máximo las posibilidades de que ocurran errores.