Site-to-Site VPN
Site-to-Site VPN permet aux réseaux de plusieurs emplacements fixes d'établir des connexions sécurisées les uns avec les autres sur Internet.
Lorsque vous configurez un VPN IPSec Site-to-Site, vous pouvez être amené à ajouter manuellement un profil sur votre Synology Router, puis à exporter/importer le profil sur un autre produit Synology qui prend en charge VPN Plus. Lorsque vous choisissez d'ajouter ou de modifier manuellement le profil, vous pouvez voir une fenêtre de configuration avec les onglets Général et Chiffrement. Pour plus de détails, reportez-vous aux sections suivantes.
Remarque :
- La fonction d'exportation/importation du profil n'est pas disponible si vous configurez un tunnel Site-to-Site VPN sur un périphérique compatible IPSec différent d'un produit Synology.
Général
- Nom du profil : nom personnalisable de ce profil.
- Clé pré-partagée : indiquez la clé pré-partagée des deux côtés pour améliorer la sécurité. Les connexions ne seront possibles que si la clé pré-partagée identique a été spécifiée sur les deux sites.
- Activer cette connexion : Cochez cette case pour démarrer la connexion juste après la configuration. Cette fonction entre en vigueur uniquement si elle est activée sur les deux sites.
- Site local :
- IP sortante : Spécifiez l'une des interfaces réseau sur votre Synology Router pour configurer le service Site-to-Site VPN.
- ID local : Spécifiez l'ID local, qui peut être une adresse IP publique ou FQDN.
- Sous-réseau privé : Spécifiez le réseau local dans le sou réseau privé.
Remarque : Les options de la liste déroulante ont été définies dans Objet. Les objets de groupe d'adresses dans le type Plage d'IP ne sont pas pris en charge par la configuration Site-to-Site VPN. Vous ne verrez que les objets du type Sous-réseau dans la liste déroulante.
- Site distant :
- Adresse IP/FQDN : Renseignez l'adresse IP publique ou le FQDN d'hôte de votre site qui assure l'accès externe.
- ID distant : Spécifiez l'ID distant, qui peut être une adresse IP publique ou FQDN.
- Sous-réseau privé : réseau local sur le sous-réseau privé du site distant.
- Dead Peer Detection :
- Activer: Cochez la case pour activer Dead Peer Detection (DPD).
- Délai DPD : Spécifiez l'intervalle de temps entre les paquets DPD.
- Expiration DPD : Spécifiez un seuil temporel pour le système pour reconnaître la perte d'une connexion au site distant lorsqu'il n'a pas reçu de paquets DPD pendant une durée supérieure à celle du seuil.
Remarque :
- Les sous-réseau privés de sites locaux et distants ne peuvent pas se recouvrir.
- Vous pouvez lire le document RFC 3706 pour davantage d'informations techniques sur Dead Peer Detection.
Chiffrement
- Version d'IKE : Sélectionnez IKEv1 ou IKEv2. Les deux sites doivent disposer de la même version d'IKE.
- Mode : Sélectionnez Main Mode ou Aggressive Mode. Les deux sites doivent avoir le même mode.
- Chiffrement : Sélectionnez une ou plusieurs des options AES256, AES192, AES128 et 3DES. Vous devez sélectionner au moins une méthode de chiffrement adoptée par l'autre site.
- Authentification : Sélectionnez une ou plusieurs des options SHA-512, SHA-384, SHA-256, SHA1, MD5. Vous devez sélectionner au moins une méthode d'authentification adoptée par l'autre site.
- Groupe DH : Spécifiez le groupe Diffie-Hellman (DH) pour les deux sites.
- Durée de vie de la clé : Spécifiez la durée de validité de la clé. Lorsque la clef expire, les deux sites échangent la nouvelle clé.
- Activer Perfect Forward Secrecy (PFS) : L'activation de cette option peut affecter subtilement les performances, mais améliorera la sécurité.
Remarque :
- Une incohérence de configuration entre les deux sites peut entraîner une défaillance de la connexion. Nous vous recommandons d'exporter/importer la configuration d'un site sur l'autre site afin de faciliter la configuration et de réduire le risque d'erreur.